【技术实现步骤摘要】
一种基于网络处理芯片实现IP分片包同源同宿的系统及方法
本专利技术涉及网络安全
,具体涉及在一级网络设备上基于网络处理芯片实现IP分片包同源同宿的系统。本专利技术同时涉及在一级网络设备上基于网络处理芯片实现IP分片包同源同宿的方法。
技术介绍
在网络链路中,如果传输的IP报文超过了最大传输单元(MTU),为了适应不同物理网的不同MTU长度,需要将此类报文进行分片。串接网络设备连接在路由器之间,需要对之间传输的流量进行相应的处理后,转发到二级服务器。一级网络设备串接在路由器之间,将网络中的流量转发到二级服务器群进行数据分析,二级服务器群收到一级网络设备转发的流量,会对同一会话的报文进行完整的分析处理。考虑到网络中负载均衡以及路由不对称等情况,网络链路中传输的分片报文可能存在分片乱序以及多链路情形,如果一级设备不进行相应的处理,同一会话的分片报文会被转发到多个二级服务器,导致二级服务器无法对同一会话的分片报文进行完整准确的数据分析处理。为了保证对IP分片包进行完整准确的分析处理,需解决如何将同一会话的多份IP分片包输出到同一二级服务器进行分析使IP分片包同源同宿...
【技术保护点】
1.一种基于网络处理芯片实现IP分片包同源同宿的系统,其特征在于,包括:分片学习模块,用以提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作;分片缓存模块,用以将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里;分片提取模块,用以将先到的后续片缓存起来,首片到达后即通过所述同一会话分片报文的信息查找分片缓存表,根据分片缓存表存储的缓存地址按序提取缓存中的后续片,跟首片转发到同一设备。
【技术特征摘要】
1.一种基于网络处理芯片实现IP分片包同源同宿的系统,其特征在于,包括:分片学习模块,用以提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作;分片缓存模块,用以将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里;分片提取模块,用以将先到的后续片缓存起来,首片到达后即通过所述同一会话分片报文的信息查找分片缓存表,根据分片缓存表存储的缓存地址按序提取缓存中的后续片,跟首片转发到同一设备。2.根据权利要求1所述的系统,其特征在于:所述同一会话分片报文的信息为四元组信息,包括源IP、目的IP、协议、分片ID。3.根据权利要求1或2所述的系统,其特征在于:分片学习模块中不区分正常分片还是乱序分片,首片到达即学习分片表;后续片到达即匹配分片表,且后续片与首片走相同动作,不进行分片缓存。4.根据权利要求3所述的系统,其特征在于:在分片缓存模块中,所述分片缓存表中的缓存信息包括后续片数量、缓存地址、以及分片偏移。5.一种基于网络处理芯片实现IP分片包同源同宿的方法,其特征在于,包括以下步骤:(1)、提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作;(2)、将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里;(3)、将先到的后续片缓存起来,首片到达后即通过所述同一会话分片报文的信息查找分片缓存表,根据分片缓存表存储的缓存地址按序提取缓存中的后续片,跟首片转发到同一设备。6.根据权利要求5所述的方法,其特征在于:所述同一会话分片报文的信息为四元组信息,包括源IP、目的IP、协议、分片ID。7.根据权利要求5或6所述的方法,其特征在于:分片学习模块中不区分正常分片还是乱序分片,首片到达即学习分片表;后续片到达即匹配分片表,且后续片与首片走相同动作,不进行分片缓存。8.根据权...
【专利技术属性】
技术研发人员:张家琦,邹昕,李果,贾有春,韩志前,李高超,颜靖华,王维晟,
申请(专利权)人:国家计算机网络与信息安全管理中心,南京中新赛克科技有限责任公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。