CN1545253A - 动态发现IPsec隧道PMTU的方法 - Google Patents
动态发现IPsec隧道PMTU的方法 Download PDFInfo
- Publication number
- CN1545253A CN1545253A CNA2003101135169A CN200310113516A CN1545253A CN 1545253 A CN1545253 A CN 1545253A CN A2003101135169 A CNA2003101135169 A CN A2003101135169A CN 200310113516 A CN200310113516 A CN 200310113516A CN 1545253 A CN1545253 A CN 1545253A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- pmtu
- ipsec tunnel
- mtu
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种动态发现IPsec隧道PMTU的方法,包括以下步骤:步骤一:计算和保存IPsec隧道PMTU信息;步骤二:传递IPsec隧道PMTU信息;步骤三:更新IPsec隧道PMTU信息。本发明能够克服现有技术存在的标准PMTU动态发现机制不能确定被丢弃报文的源主机,无法有效应用在IPsec隧道环境的缺点,实现主机动态发现通过IPsec隧道的PMTU,避免IP包在IPsec隧道传输路径中发生分片和重组,更有效的利用网络带宽。
Description
技术领域
本发明涉及计算机领域,尤其涉及计算机系统中的信息安全技术。
背景技术
随着计算机系统在各个领域中得到日益广泛的应用,随着互联网日益深入到社会生活的各个层面,对于计算机系统和互联网的安全问题,也日益成为一个受到广泛关注的问题。一般情况下,在Internet上使用IPsec(IPSecurity,因特网安全协议)部署VPN(Virtual Private Network,虚拟专用网)时,需要使用IPsec协议为VPN网关之间穿越公共网的IP隧道提供加密和认证保护,IPsec协议通过AH(Authentication Head,IP认证头协议)和ESP(Encapsulating Security Payload,IP封装安全载荷协议)为IP(InternetProtocol,因特网协议)报文提供安全保护。当主机发送的IP包到达IPsec网关时,网关在本地的SPD(Security Policy Database,安全策略数据库)中查找对应的SP(Security Policy,安全策略),SP主要包括三种安全策略:直接通过(Bypass)、丢弃(Drop)和应用IPsec。如果SP规定对某个IP包应用IPsec保护,就需要规定如何保护该IP包,并提供相应的一个或多个SA(Security Association,安全联盟)。SA规定了为IP包提供安全保护所使用的安全协议(AH或/和ESP)、加密和认证算法、密钥和密钥长度等信息。具体内容参见IETF(Internet Engineering Task Force,因特网工程任务组)的《RFC 2401:IPsec协议体系结构》。IPsec网关根据SA提供的参数在主机发送的IP包外层添加AH报头和/或ESP报头报尾,并添加外层IP报头,其中源地址和目的地址是IPsec隧道两端的网关,这个过程称为IPsec隧道封装。如果原来IP报头的DF(Don’t Fragment,不允许分片)标志被设置时,IPsec隧道封装时外层IP报头的DF标志也应该同时设置。
IETF的《RFC 1191:路径MTU发现》提出了主机动态发现PMTU(PathMaximum Transmission Unit,路径最大传输单元)的标准方法。主机发送IP包时在报头设置DF标志,如果传输路径上某个路由器发现这个IP包的长度大于它的下一跳MTU(Maximum Transmission Unit,最大传输单元),就丢弃当前IP包,并向源地址发送一个ICMP(Internet Control MessageProtocol,因特网控制消息协议)报文。这个ICMP报文的类型为3,错误代码为4,表示“需要分片,但是设置了DF标志”,此外,ICMP报头中还带有路由器下一跳的MTU,数据部分带有被丢弃IP包的IP报头和64比特的部分载荷。源主机收到这个ICMP报文后减小对PMTU的估计,重复上述过程可以动态发现PMTU。
当IP包的传输路径中存在IPsec隧道时,如果隧道内部某个路由器的下一跳MTU小于IPsec隧道封装后的报文长度,并且外层IP报头的DF标志被设置,路由器就放弃转发报文,同时向源地址(即进行IPsec隧道封装的网关)发送一个类型为3,错误代码为4的ICMP报文。由于路由器将这个ICMP报文发送给IPsec网关而不是源主机,同时IPsec网关收到的ICMP报文的数据部分只携带了被丢弃报文的外层IP报头和64比特的部分AH报头或ESP报头,这些有限的信息不足以确定被丢弃报文的源主机,因此在实际系统中,标准的PMTU动态发现机制无法有效应用在IPsec隧道环境中,目前也没有解决这一问题的有效方法。
发明内容
本发明的目的是克服现有技术存在的标准PMTU动态发现机制不能确定被丢弃报文的源主机,无法有效应用在IPsec隧道环境的缺点,以期提出一种能够准确确定被丢弃报文的源主机,以便更有效地保证数据安全传输的动态发现IPsec隧道PMTU的方法。
为实现上述目的,本发明提出了一种动态发现IPsec隧道PMTU的方法,其特征在于,包括以下步骤:
步骤一:计算和保存IPsec隧道PMTU信息;
步骤二:传递IPsec隧道PMTU信息;
步骤三:更新IPsec隧道PMTU信息。
上述步骤进一步包括以下步骤:
第一步:IPsec网关使用下一跳链路的MTU减去IPsec隧道封装需要的开销,计算结果MTU’作为对IPsec隧道PMTU的初始估计,并记录在相应的SP中;
第二步:主机发送的带有DF标志的IP包到来后,IPsec网关首先查找相应的SP,同时判断出该IP包的长度大于SP中记录的MTU’;
第三步:IPsec网关丢弃该IP包,向源主机发送一个ICMP报文,通知下一跳MTU为MTU’;
第四步:源主机收到ICMP报文后,更新PMTU估计,减小发送IP包的长度;IPsec网关对其进行IPsec封装后长度小于MTU,同时将内层IP报头的DF标志复制到外层IP报头中;
第五步:路由器发现经过IPsec隧道封装的IP报文长度大于下一跳链路MTU,放弃转发并返回ICMP报文通知源地址其下一跳MTU是MTU2;
第六步:IPsec网关收到IPsec隧道内部传来的类型为3错误代码为4的ICMP报文后,使用其中的MTU2减去IPsec隧道封装开销,用计算结果MTU2’去更新相应SP中记录的MTU’;
第七步:主机再次发送的带有DF标志的IP包到来时,IPsec网关使用第二步和第三步中的方法通知源主机使用MTU2’更新PMTU估计;
第八步:IPsec网关每次在SP中记录IPsec隧道PMTU信息时,同时设置一个计时器。计时到期后从第一步开始重复上述步骤。
对于存在多层IPsec隧道嵌套的情况,在第六步中,IPsec网关首先计算外层IPsec隧道的PMTU,记录到对应的SP中,然后进一步减去内层IPsec隧道封装的开销,得到内层IPsec隧道PMTU并记录到对应的SP中。
本发明所述方法在不需要对主机和路由器进行改动的情况下,实现主机动态发现通过IPsec隧道的PMTU,避免IP包在IPsec隧道传输路径中发生分片和重组,更有效的利用网络带宽。
附图说明
图1是本发明所述方法的流程图。
图2是作为本发明具体实施方式的过程图。
图3是IPsec隧道嵌套状态图。
图4是IPsec隧道封装嵌套时SP和SA的数据结构图。
具体实施方式
本发明主要是提出了一种在IPsec隧道系统环境中动态发现PMTU的方法。
许多IPsec网关能够针对不同的TCP或UDP端口配置不同的安全策略,这种IPsec网关往往需要对所有IP包分片进行重组来得到传输层协议和端口,然后才能进一步查找安全策略。这往往造成所有经过IPsec网关的IP分片都先进行重组,执行IPsec处理后再次被分片转发,和普通路由器直接转发IP包分片相比,IPsec网关的处理负担很重,容易造成网络阻塞。使用本发明提出的方法后,主机发送的IP包在IPsec隧道中传送时很少发生分片,避免IPsec网关因为执行大量分片和重组而出现阻塞。
如图1所示,本发明提出的动态发现IPsec隧道PMTU方法,要求IPsec网关在收到来自隧道内部带有PMTU信息的ICMP报文后,计算IPsec隧道PMTU并记录在相应的SP中,然后在下一次查询SP时确定引发ICMP报文的源主机,最后构造新的ICMP报文将PMTU信息传递给源主机。这种方法不需要对Internet上的主机和路由器的标准PMTU动态发现机制进行任何改动。
图2是作为本发明具体实施方式的过程图。动态发现IPsec隧道PMTU的过程。图中主机的下一跳链路的MTU为MTU1,IPsec网关下一跳链路的MTU为MTU2,路由器右端链路的MTU为MTU3,同时MTU1大于或等于MTU2,而MTU3小于MTU2。具体过程如下:
1.IPsec网关使用下一跳链路的MTU(图中是MTU2)减去IPsec隧道封装需要的开销,计算结果(记为MTU2’)作为对IPsec隧道PMTU的初始估计,并记录在相应的SP中。
2.主机发送的带有DF标志的IP包到来后,IPsec网关首先查找相应的SP,同时判断出IP包的长度大于SP中记录的MTU2’。
3.IPsec网关丢弃这个IP包,向源主机发送一个ICMP报文,通知下一跳MTU为MTU2’。
4.源主机收到ICMP报文后,更新PMTU估计(参见IETF的《RFC 1191:路径MTU发现》),减小发送IP包的长度。IPsec网关对其进行IPsec封装后长度小于MTU2,同时将内层IP报头的DF标志复制到外层IP报头中。
5.路由器发现经过IPsec隧道封装的IP报文长度大于下一跳链路MTU,放弃转发并返回ICMP报文通知源地址(注:外层IP报头的源地址是IPsec网关)它的下一跳MTU是MTU3(参见IETF的《RFC1191:路径MTU发现》)。
6.IPsec网关收到IPsec隧道内部传来的ICMP报文后,使用其中的MTU3减去IPsec隧道封装开销,用计算结果MTU3’去更新相应SP中记录的MTU2’。
7.主机再次发送的带有DF标志的IP包到来时,IPsec网关使用步骤2、3中的方法通知源主机使用MTU3’更新PMTU估计。
8.IPsec网关每次在SP中记录IPsec隧道PMTU信息时,同时设置一个计时器。计时到期后从步骤1开始重复上述步骤。
对于存在多层IPsec隧道嵌套的情况,本发明提出的方法和系统同样有效,这时在步骤6中,IPsec网关首先计算外层IPsec隧道的PMTU,记录到对应的SP中,然后进一步减去内层IPsec隧道封装的开销,得到内层IPsec隧道PMTU并记录到对应的SP中。
综合以上步骤,结合附图1到4,可以将本发明所述的动态发现IPsec隧道PMTU方法分为IPsec隧道PMTU的计算和保存、IPsec隧道PMTU信息的传递和IPsec隧道PMTU的更新三个大的方面,具体说明如下:
一、IPsec隧道PMTU的计算和保存:
IPsec网关用下一跳链路MTU减去IPsec隧道封装的开销,计算结果作为对IPsec隧道内部实际PMTU的初始估计,然后把它保存在相应的SP中。
IPsec网关接收到来自隧道内部路由器传来的带有PMTU信息的ICMP报文后,首先从ICMP报头中取出路由器下一跳MTU,从ICMP数据部分取出IPsec隧道封装的外层IP报头和64比特部分AH报头或ESP报头。接着从外层IP报头中提取出目的地址和IPsec协议,从64比特的部分AH报头或ESP报头中提取出SPI(Security Parameter Index,安全参数索引)。对于AH报头,SPI字段范围是第33到64比特,对于ESP报头,SPI字段的范围是1到32比特。然后根据{目的地址,IPsec协议,SPI}三元组能在SAD(Security Association Database,安全联盟数据库)中唯一确定一个SA,每一个SA都有指向对应SP的反向指针,进一步找到被丢弃IP包对应的SP;最后,IPsec网关用传递来的路由器下一跳MTU减去IPsec隧道封装开销,计算出来的结果作为新的IPsec隧道PMTU估计,记录在SP中。
二、IPsec隧道PMTU信息的传递
主机发送的IP包到达IPsec安全网关时,首先查看SPD,找到相应的SP。如果IP报头的DF标志被设置,同时IP包长度大于SP中记录的隧道PMTU,IPsec网关就像普通路由器那样放弃IPsec隧道封装和转发,并构造一个类型为3、错误代码为4的ICMP报文发送给被丢弃IP包的源主机。ICMP报头的下一跳MTU字段携带SP中记录的IPsec隧道PMTU。源主机收到这个ICMP报文后得到PMTU信息。
在图3所示的IPsec隧道嵌套的情况下,IPsec隧道PMTU信息是由外层IPsec隧道向内层隧道逐级传递的,下面分两个方向详细描述PMTU信息的传递过程。
主机A到主机B方向:图3中主机A发往主机B的IP包分别经过IPsec网关C和D进行了两次IPsec隧道封装,如果这时的IP包长度大于路由器R的下一跳MTU,路由器R就会向IPsec网关D发送带有PMTU信息的ICMP报文。IPsec网关D计算外层IPsec隧道PMTU并保存在SP中,IPsec网关C对主机A后续发送的IP包进行IPsec隧道封装后传送到IPsec网关D,如果SP中记录的外层IPsec隧道PMTU小于IP包长度,IPsec网关D就会向IPsec网关C发送ICMP报文,通告外层IPsec隧道的PMTU,IPsec网关C收到ICMP报文后计算内层IPsec隧道PMTU并记录到相应SP中。当主机A再次发送的带DF标志的IP包到达IPsec网关C时,如果IP包长度大于内层IPsec隧道PMTU,IPsec网关C就会向主机A发送ICMP报文,将PMTU信息传递给主机A。
主机B到主机A方向:图3中的主机B发往A的IP包在IPsec网关E先后进行了两次IPsec隧道封装,在SPD中对应着嵌套的安全策略,SP和SA采用如图4所示的数据结构。对应内层IPsec隧道的SP1通过指针连接对应外层IPsec隧道的SP2,同时SP2有一个反向指针指向SP1。经过两层IPsec隧道封装的IP包传送到路由器R时,如果IP包的长度大于路由器R的下一跳MTU,路由器R就会向IPsec网关E发送带有PMTU信息的ICMP报文。IPsec网关E计算出外层IPsec隧道PMTU并保存在SP2中,接着通过反向指针找到SP1,并把进一步计算出来的内层IPsec隧道PMTU保存到SP1中。当主机B再次发送的带DF标志的IP包到达IPsec网关E时,如果IP包长度大于SP1中保存的内层IPsec隧道PMTU,IPsec网关E就会向主机B发送ICMP报文,将PMTU信息传递给主机B。
通过IPsec隧道PMTU信息的传递,主机能够迅速发现IPsec隧道PMTU的减小。
三、IPsec隧道PMTU的更新
IPsec网关在SP中记录IPsec隧道PMTU信息的同时设置一个计时器,计时器到期后IPsec网关用下一跳链路MTU减去IPsec隧道开销,并把计算结果更新到SP中。再经过上述IPsec隧道PMTU信息的传递过程,可以重新动态发现当前IPsec隧道PMTU。通过这种定期更新机制,能够缓慢发现IPsec隧道PMTU的增大。
Claims (6)
1、一种动态发现IPsec隧道PMTU的方法,其特征在于,包括以下步骤:
步骤一:计算和保存IPsec隧道PMTU信息;
步骤二:传递IPsec隧道PMTU信息;
步骤三:更新IPsec隧道PMTU信息。
2、根据权利要求1所述的动态发现IPsec隧道PMTU的方法,其特征在于,所述步骤一包括以下步骤:IPsec网关使用下一跳链路的MTU减去IPsec隧道封装需要的开销,计算结果MTU’作为对IPsec隧道PMTU的初始估计,并记录在相应的SP中。
3、根据权利要求2所述的动态发现IPsec隧道PMTU的方法,其特征在于,具体包括以下步骤:
(1)IPsec网关接收来自隧道内部路由器传来的带有PMTU信息的ICMP报文;
(2)从ICMP报头中取出路由器下一跳MTU,从ICMP数据部分取出IPsec隧道封装的外层IP报头和64比特部分AH报头或ESP报头;
(3)从外层IP报头中提取出目的地址和IPsec协议,从64比特的部分AH报头或ESP报头中提取出SPI;
(4)根据{目的地址,IPsec协议,SPI}三元组在SAD中唯一确定一个SA,每一个SA都有指向对应SP的反向指针,进一步找到被丢弃IP包对应的SP;
(5)IPsec网关用传递来的路由器下一跳MTU减去IPsec隧道封装开销,计算出来的结果作为新的IPsec隧道PMTU估计,记录在SP中。
4、根据权利要求1所述的动态发现IPsec隧道PMTU的方法,其特征在于,所述步骤二包括以下步骤:
第一步:主机发送的带有DF标志的IP包到来后,IPsec网关首先查找相应的SP,同时判断出该IP包的长度大于SP中记录的MTU’;
第二步:IPsec网关丢弃该IP包,向源主机发送一个ICMP报文,通知下一跳MTU为MTU’;
第三步:源主机收到ICMP报文后,更新PMTU估计,减小发送IP包的长度;IPsec网关对其进行IPsec封装后长度小于MTU,同时将内层IP报头的DF标志复制到外层IP报头中;
第四步:路由器发现经过IPsec隧道封装的IP报文长度大于下一跳链路MTU,放弃转发并返回ICMP报文通知源地址其下一跳MTU是MTU2;
第五步:IPsec网关收到IPsec隧道内部传来的类型为3、错误代码为4的ICMP报文后,使用其中的MTU2减去IPsec隧道封装开销,用计算结果MTU2’去更新相应SP中记录的MTU’;
第六步:主机再次发送的IP包到来时,IPsec网关使用第一步和第二步中的方法通知源主机使用MTU2’更新PMTU估计。
5、根据权利要求4所述的动态发现IPsec隧道PMTU的方法,其特征在于,在第五步中,对于存在多层IPsec隧道嵌套的情况,IPsec网关首先计算外层IPsec隧道的PMTU,记录到对应的SP中,然后进一步减去内层IPsec隧道封装的开销,得到内层IPsec隧道PMTU并记录到对应的SP中。
6、根据权利要求1所述的动态发现IPsec隧道PMTU的方法,其特征在于,所述步骤三包括以下步骤:IPsec网关每次在SP中记录IPsec隧道PMTU信息时,同时设置一个计时器,计时到期后从步骤一开始重复上述步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101135169A CN100375433C (zh) | 2003-11-13 | 2003-11-13 | 动态发现IPsec隧道PMTU的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101135169A CN100375433C (zh) | 2003-11-13 | 2003-11-13 | 动态发现IPsec隧道PMTU的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1545253A true CN1545253A (zh) | 2004-11-10 |
CN100375433C CN100375433C (zh) | 2008-03-12 |
Family
ID=34336891
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2003101135169A Expired - Fee Related CN100375433C (zh) | 2003-11-13 | 2003-11-13 | 动态发现IPsec隧道PMTU的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100375433C (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102131189A (zh) * | 2010-12-28 | 2011-07-20 | 中国电信股份有限公司 | 采集仪、移动监管方法和系统 |
CN103297348A (zh) * | 2013-05-10 | 2013-09-11 | 汉柏科技有限公司 | 防止esp/ah报文分片的方法 |
US8670369B2 (en) | 2009-04-21 | 2014-03-11 | Huawei Technologies Co., Ltd. | Method, relay node, and system for processing data on relay link |
CN103944832A (zh) * | 2014-04-18 | 2014-07-23 | 杭州华三通信技术有限公司 | 一种pmtu值的确定方法、设备和系统 |
CN102821051B (zh) * | 2012-08-21 | 2015-11-18 | 神州数码网络(北京)有限公司 | 通用路由封装隧道中路径最大传输单元更改方法 |
CN106330706A (zh) * | 2015-07-01 | 2017-01-11 | 中兴通讯股份有限公司 | 一种获取设备接口mru值的方法和装置 |
CN106411677A (zh) * | 2016-09-06 | 2017-02-15 | 杭州迪普科技有限公司 | 一种确定vpn数据通道的最优mtu的方法和装置 |
CN110191066A (zh) * | 2019-06-14 | 2019-08-30 | 迈普通信技术股份有限公司 | 一种确定最大传输单元pmtu的方法、设备及系统 |
CN111614538A (zh) * | 2020-04-30 | 2020-09-01 | 网络通信与安全紫金山实验室 | 一种基于IPsec封装协议的报文转发方法 |
CN111988309A (zh) * | 2020-08-18 | 2020-11-24 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
CN112787905A (zh) * | 2020-12-25 | 2021-05-11 | 北京中科网威信息技术有限公司 | Mtu确定方法及系统、电子设备及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3511969B2 (ja) * | 2000-03-07 | 2004-03-29 | 日本電気株式会社 | Ipネットワークにおけるpmtu見積もり値検出の方法およびそのシステム |
WO2003084144A1 (en) * | 2002-03-29 | 2003-10-09 | Samsung Electronics Co., Ltd. | Method for path mtu discovery on ip network and apparatus thereof |
EP1491005A4 (en) * | 2002-03-29 | 2006-09-13 | Samsung Electronics Co Ltd | METHOD FOR MODIFYING PMTU IN A DYNAMIC IP NETWORK AND APPARATUS USING THE SAME |
-
2003
- 2003-11-13 CN CNB2003101135169A patent/CN100375433C/zh not_active Expired - Fee Related
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8670369B2 (en) | 2009-04-21 | 2014-03-11 | Huawei Technologies Co., Ltd. | Method, relay node, and system for processing data on relay link |
CN102131189A (zh) * | 2010-12-28 | 2011-07-20 | 中国电信股份有限公司 | 采集仪、移动监管方法和系统 |
CN102821051B (zh) * | 2012-08-21 | 2015-11-18 | 神州数码网络(北京)有限公司 | 通用路由封装隧道中路径最大传输单元更改方法 |
CN103297348A (zh) * | 2013-05-10 | 2013-09-11 | 汉柏科技有限公司 | 防止esp/ah报文分片的方法 |
CN103944832B (zh) * | 2014-04-18 | 2018-05-15 | 新华三技术有限公司 | 一种pmtu值的确定方法、设备和系统 |
CN103944832A (zh) * | 2014-04-18 | 2014-07-23 | 杭州华三通信技术有限公司 | 一种pmtu值的确定方法、设备和系统 |
CN106330706A (zh) * | 2015-07-01 | 2017-01-11 | 中兴通讯股份有限公司 | 一种获取设备接口mru值的方法和装置 |
CN106411677A (zh) * | 2016-09-06 | 2017-02-15 | 杭州迪普科技有限公司 | 一种确定vpn数据通道的最优mtu的方法和装置 |
CN110191066A (zh) * | 2019-06-14 | 2019-08-30 | 迈普通信技术股份有限公司 | 一种确定最大传输单元pmtu的方法、设备及系统 |
CN110191066B (zh) * | 2019-06-14 | 2022-05-20 | 迈普通信技术股份有限公司 | 一种确定最大传输单元pmtu的方法、设备及系统 |
CN111614538A (zh) * | 2020-04-30 | 2020-09-01 | 网络通信与安全紫金山实验室 | 一种基于IPsec封装协议的报文转发方法 |
CN111614538B (zh) * | 2020-04-30 | 2022-03-29 | 网络通信与安全紫金山实验室 | 一种基于IPsec封装协议的报文转发方法 |
CN111988309A (zh) * | 2020-08-18 | 2020-11-24 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
CN111988309B (zh) * | 2020-08-18 | 2022-07-05 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
CN112787905A (zh) * | 2020-12-25 | 2021-05-11 | 北京中科网威信息技术有限公司 | Mtu确定方法及系统、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN100375433C (zh) | 2008-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Borman et al. | TCP extensions for high performance | |
US7526577B2 (en) | Multiple offload of network state objects with support for failover events | |
US7254637B2 (en) | Method to offload a network stack | |
Ziemba et al. | Security considerations for IP fragment filtering | |
TWI411279B (zh) | 封包聚合的方法與系統 | |
US6934257B2 (en) | Transferring transmission control protocol packets | |
CA2425706C (en) | Method to synchronize and upload an offloaded network stack connection with a network stack | |
US7818564B2 (en) | Deciphering of fragmented enciphered data packets | |
US8135016B2 (en) | System and method for identifying upper layer protocol message boundaries | |
JP5394482B2 (ja) | パケットフラグメントの処理 | |
US20040179477A1 (en) | Method and apparatus for processing network packets | |
US20050036511A1 (en) | Method, system and article for improved TCP performance during packet reordering | |
CN1545253A (zh) | 动态发现IPsec隧道PMTU的方法 | |
JPH11112574A (ja) | 異種ネットワークでデータ・パケットを生成する方法およびシステム | |
US8385204B1 (en) | Buffer overflow prevention for network devices | |
US20070217424A1 (en) | Apparatus and method for processing packets in secure communication system | |
CN115242561B (zh) | IPSec传输模式超限包后分片处理方法、设备及介质 | |
Borman et al. | Rfc 7323: Tcp extensions for high performance | |
EP1515511B1 (en) | Multiple offload of network state objects with support for failover events | |
US7668163B2 (en) | Transparent network service enhancement | |
US7886146B2 (en) | Network cryptography system and method | |
CN1777174A (zh) | 因特网安全协议高速处理ip分片的方法 | |
Stewart et al. | Stream control transmission protocol: Errata and issues in RFC 4960 | |
JP2006236080A (ja) | 不正アクセス検知装置および方法 | |
Parichehreh et al. | VPN over satellite: Performance improving of E2E secured TCP flows |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080312 Termination date: 20141113 |
|
EXPY | Termination of patent right or utility model |