CN102904730A - 根据协议、端口和ip地过滤挑选流量的智能加速网卡 - Google Patents
根据协议、端口和ip地过滤挑选流量的智能加速网卡 Download PDFInfo
- Publication number
- CN102904730A CN102904730A CN2012104184876A CN201210418487A CN102904730A CN 102904730 A CN102904730 A CN 102904730A CN 2012104184876 A CN2012104184876 A CN 2012104184876A CN 201210418487 A CN201210418487 A CN 201210418487A CN 102904730 A CN102904730 A CN 102904730A
- Authority
- CN
- China
- Prior art keywords
- network interface
- interface card
- port
- agreement
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提供了一种根据协议、端口和IP地过滤挑选流量的智能加速网卡,所述网卡包括业务单元和与其连接的存储单元。本发明提供的根据协议、端口和IP地过滤挑选流量的智能加速网卡,使业务系统可只处理相关的网络数据包,降低了真实处理总带宽。
Description
技术领域
本发明属于网络通信领域,具体涉及一种根据协议、端口和IP地过滤挑选流量的智能加速网卡。
背景技术
随着网络技术的迅速发展,互联网上的应用种类日益繁多,网络流量总带宽增长迅猛,网络流量的组成也日趋复杂,以使用最广泛的以太网为例,传统以太网络中大多只有IPv4、ARP等少数几种协议的流量,而目前的以太网络中包含了IPv4、IPv6、PPPoE、带VLAN标签的IPv4和IPv6报文、带多层MPLS标签的IPv4和IPv6报文、IPv4 in IPv6隧道报文、IPv6 in IPv4隧道报文、Teredo隧道报文等多种协议格式的报文,相关网络技术的发展推动了互联网的繁荣的同时,也给网络流量监管带来了极大的难度,对国家安全、网民安全带来了极大的挑战。
为了保障网络的和谐稳定,保护国家网络的利益,通常需要在网络出入口部署类IDS(入侵检测和防御系统)检测、阻止潜在的危机,并上报网络安全部门。类IDS系统是整个系统的核心,它承担着检测和阻断非法流量的重要功能,而高效快速有针对性的捕获数据包是核心的基础,传统的类IDS系统通常采用通用网卡基于Linux系统上的libpacp接口捕获所有数据包方式实现。一个数据包到达网卡后,要经过接口层->数据链路层->IP层->TCP层->应用层最后到达应用程序。以太网的设计中主要关注的是传输可靠性,因此数据包在这一过程中要经过大量的检查和内存的拷贝,此外由于linux内存管理的要求,再从网络协议栈所处的内核空间,拷贝到应用程序所处的用户空间。在此过程中数据包的大量检查及由内核空间向用户空间的拷贝开销是巨大的。
为了提高捕包效率,一部分厂商采用零拷贝技术,在用户空间开辟一个共享内存区,通过内存映射这一机制,将网卡得到的数据直接放入用户空间里去。这样即避免了层层协议检测同时又避免了数据包从内核空间向用户空间的拷贝,但其仍旧将全部的网络报文都上传给了应用程序。
而且网络行为特征日趋复杂,攻击和种类也越来多,所以需要多个不同功能的类IDS系统才能实现预期的监管,而传统的类IDS系统都是通过网络设备捕获所有数据包然后进行分析,即基于全流量的处理,由于总带宽巨大所以单一的类IDS系统就很庞大,由多个类IDS系统组成的大系统更是巨大和复杂,这即需要增加采购设备的成本,增加机房和供电等方面的消耗,同时还不便于管理。
现有的类IDS系统大多基于通用libpacp接口或经过优化的零拷贝接口进行捕包分析,其优化着眼于提高捕获数据包的效率和优化业务处理流程,这在一定程度上提高了系统的吞吐量,但当前互联网上的业务日新月异,攻击流量数量和攻击种类日益复杂,网络流量增加迅猛,仅靠优化捕包效率和处理效率仍旧满足不了大流量下全面监管的需求,因此急需一种流量选择技术,使业务系统可只处理相关的网络数据包,降低真实处理总带宽。
发明内容
为克服上述缺陷,本发明提供了一种根据协议、端口和IP地过滤挑选流量的智能加速网卡,使业务系统可只处理相关的网络数据包,降低了真实处理总带宽。
为实现上述目的,本发明提供一种根据协议、端口和IP地过滤挑选流量的智能加速网卡,其改进之处在于,所述网卡包括业务单元和与其连接的存储单元。
本发明提供的优选技术方案中,所述业务单元,接收网络报文,将报文中的源IP、目的IP、源端口、目的端口和协议与存储单元中存储的报文规则进行匹配,如果匹配则按照匹配的规则对报文进行操作,否则丢弃。
本发明提供的第二优选技术方案中,网卡规则是对源IP、目的IP、源端口、目的端口和协议进行设定。
本发明提供的第三优选技术方案中,源IP、目的IP、源端口、目的端口和协议分别是指定的IP地址、端口和协议。
本发明提供的第四优选技术方案中,源IP、目的IP、源端口、目的端口和协议设置的数值为0时,表示选择的IP地址、端口和协议是任意的。
本发明提供的第五优选技术方案中,对报文进行操作包括:上传给主机、丢弃、转发和打标签。
本发明提供的第六优选技术方案中,所述业务单元采用FPGA芯片。
本发明提供的第七优选技术方案中,所述FPGA芯片的型号为XC5VLX110T。
本发明提供的第八优选技术方案中,所述存储单元,用于缓冲数据包和存放网卡规则。
本发明提供的第九优选技术方案中,所述存储单元采用容量为4G的DDR3存储器。
与现有技术比,本发明提供的一种根据协议、端口和IP地过滤挑选流量的智能加速网卡,可以根据业务系统的需求,只上传与该业务相关的流量,过滤掉与业务无关的流量,从而降低了该业务需要处理的带宽,有效的减少了投资规模;因为过滤掉的流量与本业务无关,所以对业务也没有影响,同时该卡对需求上传的数据进行了优化处理,进一步的提高了处理的效率;智能加速网卡集成了FPGA芯片和4GB内存,可支持用户配置25万条规则,并根据规则选择上传或过滤相关的流量,此外本卡可实现无中断的零拷贝捕包,为高效率、低功耗、低投入的类IDS系统的基础平台打下了基础。
附图说明
图1为智能加速网卡的结构示意图。
具体实施方式
如图1所示,一种根据协议、端口和IP地过滤挑选流量的智能加速网卡,所述网卡包括业务单元和与其连接的存储单元。
所述业务单元,接收网络报文,将报文中的源IP、目的IP、源端口、目的端口和协议与存储单元中存储的报文规则进行匹配,如果匹配则按照匹配的规则对报文进行操作,否则丢弃。
网卡规则是对源IP、目的IP、源端口、目的端口和协议进行设定。
源IP、目的IP、源端口、目的端口和协议分别是指定的IP地址、端口和协议。
源IP、目的IP、源端口、目的端口和协议设置的数值为0时,表示选择的IP地址、端口和协议是任意的。
对报文进行操作包括:上传给主机、丢弃、转发和打标签。
所述业务单元采用FPGA芯片。所述FPGA芯片的型号为XC5VLX110T。
所述存储单元,用于缓冲数据包和存放网卡规则。
所述存储单元采用容量为4G的DDR3存储器。
通过以下实施例对根据协议、端口和IP地过滤挑选流量的智能加速网卡做进一步描述。
一款可根据协议、端口和IP地址过滤挑选流量的智能加速网卡,该卡是一个基于FPGA芯片的PCIe接口插卡式产品,该卡可根据协议、端口和IP地址组成的规则上传或过滤流量,支持规则25万条,业务系统只需将需要的流量特征映射成网卡规则,并通过配置文件或函数接口的方式下发给网卡,网卡即可按照业务系统的需求挑选相关流量上传,对其他流量可选择丢弃或转发,该技术有效降低业务处理带宽,该卡对需要上传的流量实现了无中断零拷贝的捕包,且实现了硬件64队列同源同宿的分流,全面帮助用户打破通用网卡进行高速报文处理的瓶颈。
为了减少传递给主机的网络报文数目,提高系统的工作效率,曙光公司研发了一款可选择流量的智能加速卡,该卡核心部件是一个专用FPGA芯片,通过芯片内部的逻辑电路实现根据协议、端口和IP地址过滤挑选流量的目的,同时该卡还将且TCP/IP协议栈的大部分工作下移到硬件来完成,从而大大减轻了系统的负载。
整个智能加速卡上集成了4GB内存,负责缓冲高速数据包和存放规则,该卡共可容纳25万条规则,命中规则后的动作可以是上传给主机、丢弃、转发、打标签等。业务系统只需根据需求将需要的流量特征转化为网卡规则,然后通过配置文件或函数接口的方式下发给网卡,之后网卡就可根据规则挑选用户关心的流量上传,且挑选流量过程完全采用网卡上的FPGA芯片内部的逻辑电路实现,可达10Gbps线速挑选且不占用主机资源,访方案极大的降低了业务系统处理的实际带宽,有效的缩减了类IDS系统的规模。
需要声明的是,本发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用,不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理启发下,可作各种修改、等同替换、或改进。但这些变更或修改均在申请待批的保护范围内。
Claims (10)
1.一种根据协议、端口和IP地过滤挑选流量的智能加速网卡,其特征在于,所述网卡包括业务单元和与其连接的存储单元。
2.根据权利要求1所述的智能加速网卡,其特征在于,所述业务单元,接收网络报文,将报文中的源IP、目的IP、源端口、目的端口和协议与存储单元中存储的报文规则进行匹配,如果匹配则按照匹配的规则对报文进行操作,否则丢弃。
3.根据权利要求2所述的智能加速网卡,其特征在于,网卡规则是对源IP、目的IP、源端口、目的端口和协议进行设定。
4.根据权利要求3所述的智能加速网卡,其特征在于,源IP、目的IP、源端口、目的端口和协议分别是指定的IP地址、端口和协议。
5.根据权利要求3所述的智能加速网卡,其特征在于,源IP、目的IP、源端口、目的端口和协议设置的数值为0时,表示选择的IP地址、端口和协议是任意的。
6.根据权利要求2所述的智能加速网卡,其特征在于,对报文进行操作包括:上传给主机、丢弃、转发和打标签。
7.根据权利要求1或者2所述的智能加速网卡,其特征在于,所述业务单元采用FPGA芯片。
8.根据权利要求7所述的智能加速网卡,其特征在于,所述FPGA芯片的型号为XC5VLX110T。
9.根据权利要求1所述的智能加速网卡,其特征在于,所述存储单元,用于缓冲数据包和存放网卡规则。
10.根据权利要求9所述的智能加速网卡,其特征在于,所述存储单元采用容量为4G的DDR3存储器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104184876A CN102904730A (zh) | 2012-10-26 | 2012-10-26 | 根据协议、端口和ip地过滤挑选流量的智能加速网卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104184876A CN102904730A (zh) | 2012-10-26 | 2012-10-26 | 根据协议、端口和ip地过滤挑选流量的智能加速网卡 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102904730A true CN102904730A (zh) | 2013-01-30 |
Family
ID=47576784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104184876A Pending CN102904730A (zh) | 2012-10-26 | 2012-10-26 | 根据协议、端口和ip地过滤挑选流量的智能加速网卡 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102904730A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103209169A (zh) * | 2013-02-23 | 2013-07-17 | 北京工业大学 | 一种基于fpga的网络流量过滤系统与方法 |
| CN103546326A (zh) * | 2013-11-04 | 2014-01-29 | 北京中搜网络技术股份有限公司 | 一种网站流量统计的方法 |
| CN107786447A (zh) * | 2017-11-09 | 2018-03-09 | 锐捷网络股份有限公司 | 一种基于fpga的报文转发方法及设备 |
| CN111539829A (zh) * | 2020-07-08 | 2020-08-14 | 支付宝(杭州)信息技术有限公司 | 一种基于区块链一体机的待过滤交易识别方法及装置 |
| CN111738859A (zh) * | 2020-07-08 | 2020-10-02 | 支付宝(杭州)信息技术有限公司 | 区块链一体机及区块链网络 |
| CN113204570A (zh) * | 2021-04-14 | 2021-08-03 | 福建星瑞格软件有限公司 | 一种基于数据特征的数据库协议识别方法及装置 |
| CN113839889A (zh) * | 2021-09-18 | 2021-12-24 | 深圳震有科技股份有限公司 | 一种报文处理方法、终端及计算机可读存储介质 |
| US11336660B2 (en) | 2020-07-08 | 2022-05-17 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for identifying replay transaction based on blockchain integrated station |
| US11444783B2 (en) | 2020-07-08 | 2022-09-13 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for processing transactions based on blockchain integrated station |
| CN115134284A (zh) * | 2021-03-24 | 2022-09-30 | 中国电信股份有限公司 | 通过多个分流器实现同源同宿分流的方法、装置和介质 |
| US11665234B2 (en) | 2020-07-08 | 2023-05-30 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for synchronizing data based on blockchain integrated station |
| US11783339B2 (en) | 2020-07-08 | 2023-10-10 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for transferring transaction based on blockchain integrated station |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050050467A (ko) * | 2003-11-25 | 2005-05-31 | 한국전자통신연구원 | 티디엠 회선 트래픽과 아이피 데이터 트래픽을인터페이스하는 장치 및 방법 |
| CN101296228A (zh) * | 2008-06-19 | 2008-10-29 | 上海交通大学 | 基于流量分析的ssl vpn协议检测方法 |
| CN101656634A (zh) * | 2008-12-31 | 2010-02-24 | 暨南大学 | 基于IPv6网络环境的入侵检测系统及方法 |
| CN102497298A (zh) * | 2011-12-19 | 2012-06-13 | 曙光信息产业(北京)有限公司 | 一种基于流量统计网卡的网络审计设备和方法 |
| CN102739473A (zh) * | 2012-07-09 | 2012-10-17 | 南京中兴特种软件有限责任公司 | 一种应用智能网卡的网络检测方法 |
-
2012
- 2012-10-26 CN CN2012104184876A patent/CN102904730A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050050467A (ko) * | 2003-11-25 | 2005-05-31 | 한국전자통신연구원 | 티디엠 회선 트래픽과 아이피 데이터 트래픽을인터페이스하는 장치 및 방법 |
| CN101296228A (zh) * | 2008-06-19 | 2008-10-29 | 上海交通大学 | 基于流量分析的ssl vpn协议检测方法 |
| CN101656634A (zh) * | 2008-12-31 | 2010-02-24 | 暨南大学 | 基于IPv6网络环境的入侵检测系统及方法 |
| CN102497298A (zh) * | 2011-12-19 | 2012-06-13 | 曙光信息产业(北京)有限公司 | 一种基于流量统计网卡的网络审计设备和方法 |
| CN102739473A (zh) * | 2012-07-09 | 2012-10-17 | 南京中兴特种软件有限责任公司 | 一种应用智能网卡的网络检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 曾宇;刘朝晖;云晓春;孙凝晖: "一种可重构智能网卡的设计及实现", 《全国网络与信息安全技术研讨会论文集(下册)》 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103209169A (zh) * | 2013-02-23 | 2013-07-17 | 北京工业大学 | 一种基于fpga的网络流量过滤系统与方法 |
| CN103209169B (zh) * | 2013-02-23 | 2016-03-09 | 北京工业大学 | 一种基于fpga的网络流量过滤系统与方法 |
| CN103546326A (zh) * | 2013-11-04 | 2014-01-29 | 北京中搜网络技术股份有限公司 | 一种网站流量统计的方法 |
| CN103546326B (zh) * | 2013-11-04 | 2017-01-11 | 北京中搜网络技术股份有限公司 | 一种网站流量统计的方法 |
| CN107786447A (zh) * | 2017-11-09 | 2018-03-09 | 锐捷网络股份有限公司 | 一种基于fpga的报文转发方法及设备 |
| CN107786447B (zh) * | 2017-11-09 | 2020-06-16 | 锐捷网络股份有限公司 | 一种基于fpga的报文转发方法及设备 |
| US11463553B2 (en) | 2020-07-08 | 2022-10-04 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for identifying to-be-filtered transaction based on blockchain integrated station |
| US11665234B2 (en) | 2020-07-08 | 2023-05-30 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for synchronizing data based on blockchain integrated station |
| CN111539829B (zh) * | 2020-07-08 | 2020-12-29 | 支付宝(杭州)信息技术有限公司 | 一种基于区块链一体机的待过滤交易识别方法及装置 |
| CN111738859B (zh) * | 2020-07-08 | 2021-07-13 | 支付宝(杭州)信息技术有限公司 | 区块链一体机及区块链网络 |
| US11783339B2 (en) | 2020-07-08 | 2023-10-10 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for transferring transaction based on blockchain integrated station |
| CN111738859A (zh) * | 2020-07-08 | 2020-10-02 | 支付宝(杭州)信息技术有限公司 | 区块链一体机及区块链网络 |
| US11336660B2 (en) | 2020-07-08 | 2022-05-17 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for identifying replay transaction based on blockchain integrated station |
| US11444783B2 (en) | 2020-07-08 | 2022-09-13 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods and apparatuses for processing transactions based on blockchain integrated station |
| CN111539829A (zh) * | 2020-07-08 | 2020-08-14 | 支付宝(杭州)信息技术有限公司 | 一种基于区块链一体机的待过滤交易识别方法及装置 |
| CN115134284A (zh) * | 2021-03-24 | 2022-09-30 | 中国电信股份有限公司 | 通过多个分流器实现同源同宿分流的方法、装置和介质 |
| CN115134284B (zh) * | 2021-03-24 | 2023-07-14 | 中国电信股份有限公司 | 通过多个分流器实现同源同宿分流的方法、装置和介质 |
| CN113204570A (zh) * | 2021-04-14 | 2021-08-03 | 福建星瑞格软件有限公司 | 一种基于数据特征的数据库协议识别方法及装置 |
| CN113839889A (zh) * | 2021-09-18 | 2021-12-24 | 深圳震有科技股份有限公司 | 一种报文处理方法、终端及计算机可读存储介质 |
| CN113839889B (zh) * | 2021-09-18 | 2024-04-05 | 深圳震有科技股份有限公司 | 一种报文处理方法、终端及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102904730A (zh) | 根据协议、端口和ip地过滤挑选流量的智能加速网卡 | |
| CN104580222B (zh) | 基于信息熵的DDoS攻击分布式检测与响应方法 | |
| CN102904729B (zh) | 根据协议、端口分流支持多应用的智能加速网卡 | |
| CN105245555B (zh) | 一种用于电力串口服务器通信协议安全防护系统 | |
| CN102739473A (zh) | 一种应用智能网卡的网络检测方法 | |
| CN1319332C (zh) | 基于Linux内核的高速网络流量测量器及流量测量方法 | |
| CN101795230A (zh) | 一种网络流量还原方法 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN105471907A (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
| CN108600053A (zh) | 一种基于零拷贝技术的无线网络数据包捕获方法 | |
| CN105359472A (zh) | 一种用于OpenFlow网络的数据处理方法和装置 | |
| CN104283742B (zh) | 基于fpga的网络数据包过滤方法 | |
| CN106850547A (zh) | 一种基于http协议的数据还原方法及系统 | |
| CN101753639A (zh) | 基于流量通信模式的服务角色识别方法 | |
| CN103731364B (zh) | 基于x86平台实现万兆大流量快速收包的方法 | |
| Tang et al. | SFTO-Guard: Real-time detection and mitigation system for slow-rate flow table overflow attacks | |
| CN102098291A (zh) | 一种基于fpga的网络安全日志处理方法和装置 | |
| CN102497372A (zh) | 一种基于ip报文目的端口过滤策略的系统和方法 | |
| CN101964759B (zh) | 支持多用户的高速报文分流方法 | |
| CN105099799A (zh) | 僵尸网络检测方法和控制器 | |
| CN103944886A (zh) | 一种端口安全的实现方法及系统 | |
| CN102739433A (zh) | 一种基于三层交换机多网段环境下部署网管软件对局域网电脑进行控制的方法 | |
| CN105207946A (zh) | 一种网络数据包负载均衡和预解析方法 | |
| CN105162901B (zh) | 一种基于sopc的nat的实现方法及装置 | |
| CN101800698B (zh) | 一种基于网络处理器的流量限制系统及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130130 |
|
| RJ01 | Rejection of invention patent application after publication |