JP2007336551A - 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品 - Google Patents
少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品 Download PDFInfo
- Publication number
- JP2007336551A JP2007336551A JP2007155528A JP2007155528A JP2007336551A JP 2007336551 A JP2007336551 A JP 2007336551A JP 2007155528 A JP2007155528 A JP 2007155528A JP 2007155528 A JP2007155528 A JP 2007155528A JP 2007336551 A JP2007336551 A JP 2007336551A
- Authority
- JP
- Japan
- Prior art keywords
- tcp
- data
- data segment
- segment
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004590 computer program Methods 0.000 title description 7
- 239000000872 buffer Substances 0.000 claims description 63
- 230000008569 process Effects 0.000 claims description 8
- 230000001960 triggered effect Effects 0.000 claims description 3
- 230000036039 immunity Effects 0.000 abstract 1
- 238000012546 transfer Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000002265 prevention Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001427 coherent effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000796 flavoring agent Substances 0.000 description 1
- 235000019634 flavors Nutrition 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000011012 sanitization Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Abstract
【課題】デバイスをより秘匿させることにより、インラインコンテンツアナライザの攻撃に対する耐性を高める。
【解決手段】TCPデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法は、TCP送出機とTCP受信機との間の所与のTCP接続に対応する第1のTCPデータセグメントストリームをTCP送出機から受信すること、TCPデータセグメントストリームから第1のバイトストリームを抽出するとともに再組み立てすること、第1のバイトストリームから導出される第2のバイトストリームを、第2のバイトストリームに対してコンテンツ解析を実行するようになっているコンテンツアナライザ(200)に渡すこと、及び、コンテンツアナライザに渡されたバイトストリームと全体的に一致するバイトストリームコンテンツを有する第2のTCPデータセグメントストリームをTCP受信機へ中継することを含む。
【選択図】図1
【解決手段】TCPデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法は、TCP送出機とTCP受信機との間の所与のTCP接続に対応する第1のTCPデータセグメントストリームをTCP送出機から受信すること、TCPデータセグメントストリームから第1のバイトストリームを抽出するとともに再組み立てすること、第1のバイトストリームから導出される第2のバイトストリームを、第2のバイトストリームに対してコンテンツ解析を実行するようになっているコンテンツアナライザ(200)に渡すこと、及び、コンテンツアナライザに渡されたバイトストリームと全体的に一致するバイトストリームコンテンツを有する第2のTCPデータセグメントストリームをTCP受信機へ中継することを含む。
【選択図】図1
Description
[発明の分野]
本発明は、包括的には、インターネット等のデータ送信ネットワークに関する。より具体的には、本発明は、カットスルー、すなわち、インラインバイトストリーム解析を実行するための設備に関する。このような解析は、アプリケーションレベル、すなわち、送信レベルよりも上のレベルで行われる攻撃の検出のために行うことができる。
本発明は、包括的には、インターネット等のデータ送信ネットワークに関する。より具体的には、本発明は、カットスルー、すなわち、インラインバイトストリーム解析を実行するための設備に関する。このような解析は、アプリケーションレベル、すなわち、送信レベルよりも上のレベルで行われる攻撃の検出のために行うことができる。
伝送制御プロトコル(「TCP」)は、インターネットエンジニアリングタスクフォース(IETF)のコメント要求(RFC)793で定義されたインターネットの基本プロトコルの1つである。
順序が逆転した(後に送信されて先に受信された)セグメントは、TCPよりも上位の論理レイヤのアプリケーションに渡される前に適切な順序に再組み立てする必要があり、この順序が逆転したセグメントを許容することがTCPの基本的な特徴である。したがって、TCPの通常の実施態様は、データの受信機が、いずれかの欠落したセグメントの受信を待つ間、順序が逆転したデータを再組み立てバッファに保持することを提供する。受信機は、順序が逆転して受信された各セグメントに対する受信確認応答メッセージであって、有効に受信された最後のシーケンス番号(SeqNo)を示す受信確認応答(「ACK」)メッセージを送信する。送信機側では、受信確認応答を受けていないセグメントが、再送バッファに保持される。送信において喪失されたセグメントは受信確認応答されないので、このような喪失されたセグメントを送信機がこのプロセスにより素早く再送できる。
[発明の背景]
現代のデータ送信システムは、たとえば、データ注入タイプの攻撃等、ますます精巧になった攻撃を受けやすい。このような攻撃の原理は以下の通りである。真正なデータパケットが送信されるが、このデータパケットは、誤った値を有するように変更されたチェックサムパラメータを有する。それによって、そのデータパケットは、有効な状態であるにもかかわらず、受信機側で廃棄される。その後、第2のパケットが送信される。この第2のパケットは、同じパケット番号、すなわち、TCPプロトコルの観点から同じシーケンス番号を有するが、破損したペイロードを有する。この第2のパケットは、したがって、ネットワークの出口に設けられたプロテクションスキームを回避することができる。
現代のデータ送信システムは、たとえば、データ注入タイプの攻撃等、ますます精巧になった攻撃を受けやすい。このような攻撃の原理は以下の通りである。真正なデータパケットが送信されるが、このデータパケットは、誤った値を有するように変更されたチェックサムパラメータを有する。それによって、そのデータパケットは、有効な状態であるにもかかわらず、受信機側で廃棄される。その後、第2のパケットが送信される。この第2のパケットは、同じパケット番号、すなわち、TCPプロトコルの観点から同じシーケンス番号を有するが、破損したペイロードを有する。この第2のパケットは、したがって、ネットワークの出口に設けられたプロテクションスキームを回避することができる。
敵からの損傷を防止するか又は少なくとも制限するために、多くの努力がなされてきた。これらの多くの努力は、IDS(「侵入検知システム」)又はIPS(「侵入防止システム」)として知られているような解決策に結びついている。侵入検知システムは、悪意のあるアクティビティの存在を受信機に警告することしかできないという意味で、純粋な受動型であるのに対して、侵入防止システムは、インライン(すなわち、カットスルー)を動作させる。すなわち、侵入防止システムは、ネットワークトラフィックの中間ストリームを解析する。
2005年8月の14th USENIX Security Symposiumの会報の65〜80ページにあるSarang Dharmapurikar及びVern Paxsonによる論文「Robust TCP Stream Reassembly In the Presence of Adversaries」から、標的にされた攻撃に対してロバストであるハードウェアベースの高速TCP再組み立てメカニズムが知られている。このメカニズムは、さまざまなネットワーク解析システム、特に侵入防止システムを構築するのに使用されるモジュールとして機能することを目的としている。
[発明の概要]
本発明の目的は、デバイスをより秘匿させることによって、インラインコンテンツアナライザの攻撃に対する耐性をさらに高めることである。
本発明の目的は、デバイスをより秘匿させることによって、インラインコンテンツアナライザの攻撃に対する耐性をさらに高めることである。
本発明の目的は、TCPバイトストリームがそれらの宛先で再構築される前にTCPバイトストリームのコンテンツをチェックできるTCPバイトストリームアナライザを与える方法及びデバイスを提供することである。
したがって、本発明の第1の態様によれば、少なくとも1つのTCPデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法であって、
TCP送出機とTCP受信機との間の所与のTCP接続に対応する第1のTCPデータセグメントストリームをTCP送出機から受信すること、
TCPデータセグメントストリームから第1のバイトストリームを抽出するとともに再組み立てすること、
第1のバイトストリームから導出される第2のバイトストリームを、当該第2のバイトストリームに対してコンテンツ解析を実行するようになっているコンテンツアナライザに渡すこと、及び
コンテンツアナライザに渡されたバイトストリームと全体的に一致するバイトストリームコンテンツを有する第2のTCPデータセグメントストリームをTCP受信機に中継すること
を含む、方法が提案されている。
TCP送出機とTCP受信機との間の所与のTCP接続に対応する第1のTCPデータセグメントストリームをTCP送出機から受信すること、
TCPデータセグメントストリームから第1のバイトストリームを抽出するとともに再組み立てすること、
第1のバイトストリームから導出される第2のバイトストリームを、当該第2のバイトストリームに対してコンテンツ解析を実行するようになっているコンテンツアナライザに渡すこと、及び
コンテンツアナライザに渡されたバイトストリームと全体的に一致するバイトストリームコンテンツを有する第2のTCPデータセグメントストリームをTCP受信機に中継すること
を含む、方法が提案されている。
本発明の実施の形態によれば、第2のTCPデータセグメントストリームは、第1のTCPデータセグメントストリームと同じ個数のデータセグメントを有し、第2のTCPデータセグメントストリームのすべてのセグメントは、第1のTCPデータセグメントストリームの対応するセグメントと同じサイズであり、同じヘッダを有する。
本発明の第2の態様は、少なくとも1つのTCPセグメントストリームをインラインコンテンツ解析にサブミットするためのデバイスであって、第1の態様による方法を実施するための手段を備える、デバイスに関する。
本発明の第3の態様は、第1の態様による方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体を対象とする。
最後に、本発明の第4の態様は、プロセッサにとってアクセス可能であり、且つ、そのプロセッサによって実行されると、第1の態様による方法をそのプロセッサに実行させる、1つ又は複数記憶された命令シーケンスを備えるコンピュータプログラム製品に関する。
従来のTCPリアセンブラと異なり、本発明の実施の形態によるデバイスは、同じ個数のデータセグメントを受信機へ転送し、各データセグメントは、送出機から受信されたセグメントと同じサイズであり、同じヘッダを有することに留意すべきである。新たに受信されたパケットデータがすでに受信されたデータと重なる場合には常に、転送されるセグメントに対する唯一可能な変更は、それらのコンテンツに関するものである。
添付図面の図で本発明を限定ではなく一例として説明する。添付図面では、同じ参照符号は同様の要素を指す。
[好ましい実施形態の説明]
以下の説明は、たとえば、アプリケーションレベル、すなわちTCPよりも上のレベルで行われる攻撃を検出するためにコンテンツアナライザにTCPバイトストリームをサブミットするようになっているインラインデバイスの主要なアーキテクチャの原理を定義することを目的としている。これ以降、インラインデバイスは「TCPスヌーパ」又は「スヌーパ」と呼ばれる。
以下の説明は、たとえば、アプリケーションレベル、すなわちTCPよりも上のレベルで行われる攻撃を検出するためにコンテンツアナライザにTCPバイトストリームをサブミットするようになっているインラインデバイスの主要なアーキテクチャの原理を定義することを目的としている。これ以降、インラインデバイスは「TCPスヌーパ」又は「スヌーパ」と呼ばれる。
インラインバイトストリーム解析は、TCP接続のエンドポイント間で動作する。各TCP接続は、次の4つ組、すなわち、送信機のIPアドレス、送信機のTCPポート番号、受信機のIPアドレス、受信機のTCPポート番号、によって定義される。
スヌーパは、観測トラフィックに与える影響を最小にするように、すなわち、できる限り秘匿されるように設計され、且つ、さらに、標的にされ得る攻撃に対して耐性を有するように設計される。
解析される情報及び保護されるアプリケーションは、上位のネットワークレイヤ、すなわち、ISOモデル(「国際標準化機構」)のレイヤスタックのレイヤ4(すなわち、トランスポートレイヤ)よりも上のレイヤに存在する。レイヤ4から情報を取り出すには、特にTCPが必要とされる場合に、コストがかかる。本発明の実施形態の基礎となるアイデアは、したがって、レイヤ4までの処理をレイヤ4よりも上の処理から切り離すことである。以下では、インターネットプロトコルスタックのレイヤ4までの部分をデータプレーンと呼ぶ一方、レイヤ4よりも上の部分をアプリケーションプレーンと呼ぶ。
攻撃は、両方のプレーンで行われる可能性があり、サービスの保護には、これらの2つのプレーンにわたるトラフィック解析及び衛生設備が必要とされる。さらに、標的にされた攻撃に対する耐性だけでなく、アプリケーションプレーン処理の信頼できるソースも提供する効率的でロバストなデータプレーン処理を実施しなければならない。
この設備は、あらゆる所与のTCP接続のすべてのトラフィックを観察できるように、ネットワークの入り口ポイント又は出口ポイントに配置することができる。(入り口における)ネットワークに入るすべてのトラフィックの衛生化、又は(出口における)特定のサービス若しくはアプリケーションの保護の2つのタイプの介入を可能な限り行うことができる。解析/変更機能のロケーションは、その実施に影響を与える。
前述のコンテンツ解析の内容の説明及び攻撃方法の説明を取り扱うことはできるが、これらの説明は、本発明の範囲を超えている。したがって、本説明は、スヌーパの実施態様及びオペレーションに焦点を当てる。
TCP再組み立て
観察されるTCP接続が、ポート番号及びIPアドレス等の特定の情報に基づいて選択される。正確なスヌーピングを実行するため、すなわち、両方の接続端の間で交換されるデータとまさに同じデータにアクセスできるようにするために、TCP接続の確立及びティアダウンのメッセージ交換が追跡され、それらの正確さがチェックされる。
観察されるTCP接続が、ポート番号及びIPアドレス等の特定の情報に基づいて選択される。正確なスヌーピングを実行するため、すなわち、両方の接続端の間で交換されるデータとまさに同じデータにアクセスできるようにするために、TCP接続の確立及びティアダウンのメッセージ交換が追跡され、それらの正確さがチェックされる。
図1を参照すると、TCPスヌーパ100の機能は、TCPバイトストリームアナライザ200に、再構成されるTCPバイトストリームを供給することである。アナライザ200は、TCPバイトストリームがその宛先で再構成される前に、TCPバイトストリームのコンテンツをチェックし、次に、疑わしいコンテンツが検出される場合に、TCPセグメントストリームに作用することを決定することができる。TCPバイトストリームアナライザ200は、このように、TCP接続のエンドポイント間に挿入されることができる。TCPスヌーパ100は、両方向のTCP接続上を通過するデータ、すなわち、TCPデータセグメント及び受信確認応答(TCP ACK又はACK)を入力として取り込む。
単純且つ簡潔にするために、ここでは、一方向のTCP接続のみを処理する時のスヌーパ100のオペレーションを説明することにする。換言すれば、図1に示すように、スヌーパは、一方向(左から右へ)のデータセグメントのみ及び逆方向(右から左へ)の受信確認応答のみを処理するとみなす。しかしながら、実際には、スヌーパは、両方向のTCP接続を処理する。これは、スヌーパが両方向のTCP接続を処理し、両方向の対応する受信確認応答も同様に処理することを意味する。その上、TCPスヌーパは、重要な個数のTCP接続、たとえば、ネットワークの入り口と出口との間の数万個のTCP接続をハンドリングするように設計されていることは言うまでもない。
TCPスヌーパの基本的な特徴は次の通りである。
TCPスヌーパは、TCPのエンドツーエンドの振る舞いに対してできる限り動的にトランスペアレントである。
スヌーパによってコンテンツアナライザに提供されるバイトストリームコンテンツは、全体的にコヒーレントである。すなわち、このバイトストリームコンテンツは、受信エンドポイントへ配信されるバイトストリームコンテンツと一致している。
TCPスヌーパは、TCPのエンドツーエンドの振る舞いに対してできる限り動的にトランスペアレントである。
スヌーパによってコンテンツアナライザに提供されるバイトストリームコンテンツは、全体的にコヒーレントである。すなわち、このバイトストリームコンテンツは、受信エンドポイントへ配信されるバイトストリームコンテンツと一致している。
動的なトランスペアレンシ
あらゆる所与のTCP接続について、TCPスヌーパは、両方の接続エンドポイントで実施されるTCP輻輳制御及びエラー回復メカニズムの中断も変更もしないようになっている。
あらゆる所与のTCP接続について、TCPスヌーパは、両方の接続エンドポイントで実施されるTCP輻輳制御及びエラー回復メカニズムの中断も変更もしないようになっている。
ACKクロッキングメカニズムは中断されない。その目的のために、スヌーパによって受信されたセグメントはすべて、できるだけ短い遅延で、且つ、受信された順序と同じ順序で転送される。同様に、ACKもトランスペアレントに転送される。すなわち、ACKは、スヌーパによって受信されたものと同様であり、且つ、大幅な遅延が追加されることなく転送される。
これらの備えは、いくつかの利点を提供する。すなわち:
スヌーパは、できる限り秘匿され続ける。
TCP性能劣化が回避される。及び
ボーガスな実施態様を含めて、「Tahoe」、「Reno」[RFC2581]、「New−Reno」[RFC2582][RFC3782]、SACK(選択的ACK)[RFC2018]、送信制限(Limited Transmit)[RFC3042]等のすべてのTCPフレーバ(TCP flavor)がサポートされるか又は許容される。
スヌーパは、できる限り秘匿され続ける。
TCP性能劣化が回避される。及び
ボーガスな実施態様を含めて、「Tahoe」、「Reno」[RFC2581]、「New−Reno」[RFC2582][RFC3782]、SACK(選択的ACK)[RFC2018]、送信制限(Limited Transmit)[RFC3042]等のすべてのTCPフレーバ(TCP flavor)がサポートされるか又は許容される。
セマンティックコヒーレンシ(semantic coherency)
受信機の振る舞いに対して1つの仮定が行われる。すなわち、受信機は、受信データが再配列されない限り受信データの処理を開始しない。
受信機の振る舞いに対して1つの仮定が行われる。すなわち、受信機は、受信データが再配列されない限り受信データの処理を開始しない。
順序が逆転したセグメント、すなわち、非連続セグメント又は再配列されていないセグメントが受信されても、コンテンツ解析は、依然として、再配列されたデータ又は部分的に再配列されたデータに対して実行される。
(再送又は欠陥/悪意のあるインプリメンテーションにより)再組み立てバッファにすでに記憶されたデータと重なっているデータを含むセグメントが受信された時は常に、その新しく受信されたデータは無視され、スヌーパの再組み立てバッファにすでに存在するデータによって置き換えられる。これは、(ACKが受信機と送信機との間で喪失されない時は常に)受信機によって通知された受信機のウィンドウ状態に従って再組み立てバッファの境界を維持することにより達成される。
そうすることによって、エンド受信機により受信されたデータは、スヌーパによりアナライザに提供されるデータとの一致を維持する。
一般的なアーキテクチャ及びオペレーションの原理
図2のブロック図は、本発明の実施形態によるTCPスヌーパの一般的なアーキテクチャ及びオペレーションの原理を示している。
図2のブロック図は、本発明の実施形態によるTCPスヌーパの一般的なアーキテクチャ及びオペレーションの原理を示している。
セグメント及びACKは、再組み立てバッファ管理ユニット110によって使用される。再組み立てバッファ管理ユニット110は、これらのパケットによって運ばれた情報を利用して、TCP接続ごとに再組み立てバッファを保持する。また、受信セグメントは、セグメント記述子キュー120にも供給される。セグメント記述子キュー120は、さらに中継するためにパケット受信オーダを実施する。アナライザコントローラ130は、再組み立てバッファマネージャ110のステータスに基づいて、コンテンツアナライザの起動を制御する。また、アナライザコントローラ130は、再組み立てバッファマネージャ110及びコンテンツアナライザ200によって提供された情報に基づいて、セグメント送信ユニット140によるセグメントの中継も管理する。ユニット140は、再組み立てバッファマネージャ110及びセグメント記述子キュー120からデータを受信する。スヌーパによって受信されたACKは、遅延なしでそれらの受信エンドポイントへ転送される。
セグメント記述子キュー120のオペレーションは以下の通りである。セグメントがスヌーパにより受信されて受け付けられると、そのセグメントの記述子が作成されて、対応するTCP接続のキューに追加される。各TCP接続は、セグメントによって運ばれるIPアドレス及びポート番号から導出される異なった識別子を有する。セグメント記述子は、そのセグメントに特有のTCP情報及びIP情報を含む。すなわち、IPヘッダ(IPオプションは無視される)の最初の2つの32ビットワードと、チェックサム及びポート番号を除くTCPヘッダ全体とを含む。TCPオプションは、無視することはできず、最大で44バイトに達し得る(その理由は、たとえば、セグメントがデータ及びSACK、すなわち選択的ACKの両方を搬送する場合があるからである)。そのすべての情報を収めるには、64バイトで十分であるが、リンク情報は、別の構造体に保持してもよい。
以下に与える表1は、標準的なIPv4及びTCPのヘッダを示している一方、表2は、セグメント記述子キュー120に保持される、コンパクト化された64バイトセグメント記述子を示している。
セグメントヘッダに最初に存在する以下のフィールドは、記述子を圧縮するために無視することができる。
IPアドレス。IPアドレスは、TCP接続の識別子から再生成できるからである。
IPフラグメンテーション情報。IPデータグラムのデフラグメンテーションは、デフラグメントされたパケットをスヌーパへ配信する専用モジュールによって実行される。
IP TTL。これは、セグメントを中継する時に、注意深く選ばれた任意の値によって置き換えることができる。
IPプロトコル。IPプロトコルは、(IPプロトコルがTCPであることを考えると)一定の値であるからである。
IPヘッダチェックサム。これは、セグメントの中継の実行中に再生成することができる。
TCPポート番号。これも、TCP接続の識別子から再生成することができる。
TCPチェックサム。これは、セグメントの中継の実行中に再生成することができる。
IPアドレス。IPアドレスは、TCP接続の識別子から再生成できるからである。
IPフラグメンテーション情報。IPデータグラムのデフラグメンテーションは、デフラグメントされたパケットをスヌーパへ配信する専用モジュールによって実行される。
IP TTL。これは、セグメントを中継する時に、注意深く選ばれた任意の値によって置き換えることができる。
IPプロトコル。IPプロトコルは、(IPプロトコルがTCPであることを考えると)一定の値であるからである。
IPヘッダチェックサム。これは、セグメントの中継の実行中に再生成することができる。
TCPポート番号。これも、TCP接続の識別子から再生成することができる。
TCPチェックサム。これは、セグメントの中継の実行中に再生成することができる。
この記述子は、セグメントを中継する時に、完全なTCP及びIPv4のヘッダを生成するのに使用することができる。キューは、送信オペレーション時に、セグメントの到着順序でセグメントを転送するのに使用される。セグメントを転送する時、対応する記述子は解放される。
次に、図3を参照して、再組み立てバッファのオペレーションをより詳細に説明する。
セグメントがスヌーパによって受信されると、そのペイロードは、そのシーケンス番号に従って、対応する接続の再組み立てバッファに挿入される。再組み立てバッファの下位境界(LowBuffBoundと呼ばれる)は、セグメントの方向とは逆の方向のACKによって搬送されたACKシーケンス番号を解釈することによって保持される。下位境界は、最初に、TCP接続確立ハンドシェークの期間中に交渉された値に設定される。
再組み立てバッファの上位境界(UpBuffBoundと呼ばれる)は、現在のUpBuffBound、並びに、最新の受信ACKによって運ばれたACKシーケンス番号とウィンドウサイズ情報との合計の最大値である。スヌーパがTCP送信機の下流に配置されていることを考えると、UpBuffBoundを計算するこの方法によって、そのUpBuffBoundが送信機のものと常に一致することが保証される。
再組み立てバッファは、一組の、個々に固定されたサイズを有するn個のメモリブロック(複数可)310から成る。メモリブロック310は、すべてのTCP接続の間で共有されるメモリブロックのプールから得られる。メモリブロックは、所与の接続に割り当てられる。すなわち、メモリブロックは、セグメントの受信時に以下に示すようにその接続の再組み立てバッファに挿入又は追加される。すなわち:
セグメントによってカバーされるシーケンス番号の範囲が、再組み立てバッファのシーケンス番号の範囲に属し、すなわち、[LowBuffBound,UpBuffBound]内に含まれ、
セグメントによってカバーされるシーケンス番号の範囲が、その接続の再組み立てバッファにすでに割り当てられているメモリブロック(複数可)によってカバーされるシーケンス番号の範囲(複数可)に完全には含まれず、且つ、
その接続の再組み立てバッファにすでに割り当てられている最大n−1個のメモリブロックが存在する
ように行われる。
セグメントによってカバーされるシーケンス番号の範囲が、再組み立てバッファのシーケンス番号の範囲に属し、すなわち、[LowBuffBound,UpBuffBound]内に含まれ、
セグメントによってカバーされるシーケンス番号の範囲が、その接続の再組み立てバッファにすでに割り当てられているメモリブロック(複数可)によってカバーされるシーケンス番号の範囲(複数可)に完全には含まれず、且つ、
その接続の再組み立てバッファにすでに割り当てられている最大n−1個のメモリブロックが存在する
ように行われる。
各接続について、nエントリーポインタテーブル320が、再組み立てバッファを構成するメモリブロックへのポインタを保持するのに使用される。このポインタテーブルは、TCPウィンドウ全体をカバーするようになっている。これは、ポインタの個数がTCPウィンドウのサイズをメモリブロックのサイズで割ったものに等しいことを意味する(上記メモリブロックは固定サイズである)。ポインタテーブルは、パケットシーケンス番号に関して連続である。
バイトストリーム及び解析が進行すると、メモリブロックは解放されて、メモリブロックのプールへ戻される。
各再組み立てバッファには、再組み立てバッファのホールについての情報を記憶するデータ構造体が関連付けられる。ホールを取り囲むデータは、以下ではエッジと呼ばれる。上位エッジは、それらの上位エッジが取り囲むホールと比較して大きなシーケンス番号を有し、下位エッジは、それらの下位エッジが取り囲むホールと比較して小さなシーケンス番号を有する。
パケットは可変サイズであるので、メモリギャップが形成される。それにもかかわらず、上述したようなポインタテーブルを使用することによって、必要となる連鎖リストを管理することなく受信データの再組み立てを管理することが可能になる。
図4は、再組み立てバッファのハンドリングを示している。再組み立てバッファのホール記録は、以下でより詳細にさらに説明するように、データをいつコンテンツアナライザに渡さなければならないかを判断するのに使用することができる。
このバッファのホール記録によって、再組み立てバッファごとに最大で所与のk個のホールまでを追跡することが可能になる。ここで、kは1よりも大きな整数である。図4には3つのホールが表されている。図4において、4つの長方形は、シーケンス番号によって並べられた受信データを示している。この受信データは、LowBuffBoundとUpBuffBoundとの間のバッファに記憶されている。下位エッジが最小のシーケンス番号を有するホールは、以下では最下位ホールと呼ばれる。
次に、スヌーパによって実行されるアナライザ制御及びパケットハンドリングを説明する。
アナライザ制御
アナライザ200とスヌーパ100との間のデータ転送に利用可能な帯域幅に応じて2つのポリシーが可能である。その帯域幅がネットワークリンク帯域幅と同じ大きさである場合、データは、受信される時にアナライザへ渡される方がより好ましく、アナライザは、再組み立てバッファのコピーを保持することを強制される(ポリシー1)。一方、両方のエンティティの間の帯域幅がリンクの帯域幅よりもはるかに大きい場合、連続したデータ、すなわち、最初に遭遇するホールまでのデータのみをアナライザに渡すことに本質があるもう1つの転送ポリシーを適用することが可能である(ポリシー2)。
アナライザ200とスヌーパ100との間のデータ転送に利用可能な帯域幅に応じて2つのポリシーが可能である。その帯域幅がネットワークリンク帯域幅と同じ大きさである場合、データは、受信される時にアナライザへ渡される方がより好ましく、アナライザは、再組み立てバッファのコピーを保持することを強制される(ポリシー1)。一方、両方のエンティティの間の帯域幅がリンクの帯域幅よりもはるかに大きい場合、連続したデータ、すなわち、最初に遭遇するホールまでのデータのみをアナライザに渡すことに本質があるもう1つの転送ポリシーを適用することが可能である(ポリシー2)。
いずれの場合も、アナライザに渡される最も大きなデータシーケンス番号を示すポインタ(AnalysisPointerと呼ばれる)が保持される。このポインタも、上述した図4の図解に見られる。
ポリシー1を適用する場合、アナライザは、解析が行われると、どのセグメントを再送できるかを示すことを全体的に担当する。
ポリシー2が適用される場合、或るホールが満たされると、そのホールのデータ及び次のホールまでの連続したデータがアナライザに渡される。しかし、あまりにも長いデータバーストがアナライザとスヌーパとの間のリンクをあまりにも長い間占有しないように、転送に使用される帯域幅は分割されなければならない場合がある。そのリンクへのアクセスを定期的に調停するスケジューラを実装することができる。
1つ又は複数の基準を使用して、データがコンテンツアナライザへ送信される接続をスケジューリングすることができる。この1つ又は複数の基準は、
アナライザにまだ渡されていない、再組み立てバッファに存在するバイトの個数、
最も古く記憶されたセグメント(=中継されることを待っている最初のセグメント)を有する接続、又は
AnalysisPointerの現在の値よりも大きな最下位ホールが、すべての接続にわたって最も近時である接続(この基準は、自身のホールを最も迅速に満たす接続、すなわち、長く生存するホールを作成することによって解析プロセスを低速化しようと試みる敵により中断されない短いRTT、有効なSACKに有利に働く)
である。
アナライザにまだ渡されていない、再組み立てバッファに存在するバイトの個数、
最も古く記憶されたセグメント(=中継されることを待っている最初のセグメント)を有する接続、又は
AnalysisPointerの現在の値よりも大きな最下位ホールが、すべての接続にわたって最も近時である接続(この基準は、自身のホールを最も迅速に満たす接続、すなわち、長く生存するホールを作成することによって解析プロセスを低速化しようと試みる敵により中断されない短いRTT、有効なSACKに有利に働く)
である。
スケジューリングの目的は、接続トラフィックシェープの変更をできるだけ少なくし、すなわち、データを受信するとデータをできるだけ早く解析できるようにし、あまりにも多くのデータが解析を待っている接続を促進しないことである。
解析が実行されると、コンテンツアナライザ200は、解析が完了したシーケンス番号の範囲を指定する情報を返す。スヌーパ100は、次に、シーケンス番号がその範囲に正確に含まれるセグメントを中継する。
パケットハンドリング
セグメントは、アナライザ200によって提供されるシーケンス番号の範囲情報に基づいて転送される。セグメントは、それらの記述子がセグメント記述子キューに現れる順序で転送され、それらのシーケンス番号がシーケンス番号の範囲に含まれる場合に、転送を許可される。
セグメントは、アナライザ200によって提供されるシーケンス番号の範囲情報に基づいて転送される。セグメントは、それらの記述子がセグメント記述子キューに現れる順序で転送され、それらのシーケンス番号がシーケンス番号の範囲に含まれる場合に、転送を許可される。
セグメントがスヌーパによって転送されると、対応するセグメント記述子が参照されて、そのセグメントのシーケンス番号及び長さが取り出される。この情報は、次に、再組み立てバッファからペイロードを取り出すのに使用され、ペイロードは、次に、残りの記述子情報と融合されて、セグメントのIPエンベロープ及びTCPエンベロープが構築される。記述子キューを調べる時に、転送プロセスは、中継されるセグメントのシーケンス番号が前に中継されたセグメントよりも大きいことをチェックする。そうである場合、セグメントのシーケンス番号が増加していることを条件に、中継プロセスは、キューの消費及びセグメントの中継を続ける。前に中継されたセグメントよりも小さなセグメント番号を有する記述子が見つかる時は常に、以下の2つの代替案のいずれか一方が可能である。すなわち:
セグメントがアナライザによってすでに処理された範囲に属している場合、中継プロセスが継続する。この場合、再組み立てバッファから読み出された対応するペイロードがまだ利用可能であるとき、そのペイロードとともにセグメントが中継される。利用可能でないときは、セグメントは、そのまま中継される。又は、
セグメントのコンテンツ(ペイロード)が、まだ解析されていない範囲に含まれるか、又はその範囲を含む場合、中継プロセスは、コンテンツアナライザによって再び明示的にトリガされるまで停止される。
セグメントがアナライザによってすでに処理された範囲に属している場合、中継プロセスが継続する。この場合、再組み立てバッファから読み出された対応するペイロードがまだ利用可能であるとき、そのペイロードとともにセグメントが中継される。利用可能でないときは、セグメントは、そのまま中継される。又は、
セグメントのコンテンツ(ペイロード)が、まだ解析されていない範囲に含まれるか、又はその範囲を含む場合、中継プロセスは、コンテンツアナライザによって再び明示的にトリガされるまで停止される。
こうすることによって、中継プロセスは、ACKクロッキングメカニズムが中断されないことを保証し、特に、複製ACKの受信に基づいてTCP送信機で「高速再送」アルゴリズムが動作できることを保証する(複製ACKは、ホールの後に続くセグメントの受信時に受信機によって送出される)。
中継メカニズムによってこのように提供されるもう1つの特徴は、スヌーパから出て行くすべてのセグメントのコンテンツが、体系的に解析されているか、又は少なくとも再組み立てバッファに記憶されているということである。
セグメントの受信
セグメントが受信されると、そのシーケンス番号が、再組み立てバッファの境界(LowBuffBound及びUpBuffBound)と照合される。セグメントのバイト範囲が、再組み立てバッファの境界内にある場合、記述子が作成されて、さらに転送するために記述子のキューに追加される。再組み立てホールバッファ記録は、場合によっては更新され、再組み立てバッファは、セグメントのペイロードを用いて更新される。
セグメントが受信されると、そのシーケンス番号が、再組み立てバッファの境界(LowBuffBound及びUpBuffBound)と照合される。セグメントのバイト範囲が、再組み立てバッファの境界内にある場合、記述子が作成されて、さらに転送するために記述子のキューに追加される。再組み立てホールバッファ記録は、場合によっては更新され、再組み立てバッファは、セグメントのペイロードを用いて更新される。
セグメントのペイロードは、そのセグメントのシーケンス番号に従って、対応する接続の再組み立てバッファに挿入される。
UpBuffBoundの値よりも大きなシーケンス番号を有する受信セグメントは、好ましくは廃棄される。この理由は、(i)ACKの受信時、及び(ii)新たなセグメントが、送信機によって受信された最新のACKによって通知されたウィンドウ(ACKシーケンス番号+ウィンドウサイズ)に属する場合にのみに、TCP送信機が新たなセグメントを送出することを許可されているからである。このウィンドウの値は、現在のUpBuffBoundよりも小さい場合がある(上記に与えたUpBuffBound計算の説明を参照)。
スヌーパによって受信された、LowBuffBoundよりも小さなシーケンス番号、すなわち、最新の受信ACKよりも小さなシーケンス番号を有するセグメントは、好ましくは転送される。すなわち、それらのセグメントは、エンド受信機によって処理されるべきではなく、ACKがスヌーパと送信機との間で喪失された場合、ほとんど、これらの「ウィンドウ未満(below-window)」のセグメントによって、受信機による最新のACKの送出がトリガされる。再組み立てバッファの下部境界が、LowBuffBoundによって指し示されているメモリブロックに依然として記憶されているバイト範囲に「ウィンドウ未満」のセグメントのペイロードが対応するようなものである場合、セグメントは、そのペイロードと共に転送される。
ペイロードを再組み立てバッファに挿入する時、新しく受信されたペイロードの重ならない部分を保持することによって、すなわち、ペイロードの再組み立てバッファのホール(複数可)を満たす部分のみを保持することによって、重なる部分が正常化(normalize)される。1つのペイロードがいくつかのホールを満たすことが可能な場合も考慮される。
このセグメントの正常化及び挿入の方式を図5によって示す。図5において、新たなセグメントで受信されたペイロードの、再組み立てバッファのホールを満たす部分は、破線により示されている。新たなセグメントのペイロードの残りの部分は、重なるデータを構成する。
セグメントが受信されると、以下の擬似コードにより記載されたアルゴリズムに従って、オペレーションが実行される。
if seqnum > UpBuffBound
セグメントを廃棄する
else
セグメント記述子を作成する
記述子をキューに追加する
if LowBuffBound < seqnum < UpBuffBound
ペイロードを正常化してバッファに挿入する
ホール記録を更新する
if セグメントは最下位のホールを満たす
アナライザを起動する
endif
endif
endif
if seqnum > UpBuffBound
セグメントを廃棄する
else
セグメント記述子を作成する
記述子をキューに追加する
if LowBuffBound < seqnum < UpBuffBound
ペイロードを正常化してバッファに挿入する
ホール記録を更新する
if セグメントは最下位のホールを満たす
アナライザを起動する
endif
endif
endif
受信確認応答の受信
スヌーパによって利用される情報は、ACKシーケンス番号、すなわち、エンド受信機によってまだ処理されていない最初のバイトのシーケンス番号である。アナライザの処理は、エンド受信機よりも進んでいる可能性がある。コンテンツアナライザは、ホールデータが最終的に受信された時に、そのホールデータの解析を実行可能とするのに必要な各ホールの下位エッジのポインタを保持する。ACKが、受信されていない最初のセグメントのシーケンス番号を常に示し、この最初のセグメントがホールに対応し得るので、再組み立てバッファの下位境界は、ACKシーケンス番号と最下位ホールの下位エッジのポインタとの間で選ばれる最小バイトシーケンス番号として定義されなければならない。この最下位ホールの下位エッジは、下位解析境界(AnalysisPointer)と呼ばれる。
スヌーパによって利用される情報は、ACKシーケンス番号、すなわち、エンド受信機によってまだ処理されていない最初のバイトのシーケンス番号である。アナライザの処理は、エンド受信機よりも進んでいる可能性がある。コンテンツアナライザは、ホールデータが最終的に受信された時に、そのホールデータの解析を実行可能とするのに必要な各ホールの下位エッジのポインタを保持する。ACKが、受信されていない最初のセグメントのシーケンス番号を常に示し、この最初のセグメントがホールに対応し得るので、再組み立てバッファの下位境界は、ACKシーケンス番号と最下位ホールの下位エッジのポインタとの間で選ばれる最小バイトシーケンス番号として定義されなければならない。この最下位ホールの下位エッジは、下位解析境界(AnalysisPointer)と呼ばれる。
ACKが受信されると、以下の擬似コードによって反映されるオペレーションが実行される。条件LowBuffBound<AnalysisPointerが常に満たされるとして:
if seqnum < LowBuffBound
何もしない
if AnalysisPointer > seqnum > LowBuffBound
LowBuffBound = seqnum
再組み立てバッファを更新する
ホール記録を更新する
if seqnum > AnalysisPointer
再組み立てバッファがTCP受信機と同期していないこと(エラー)をアナライザに示す
if seqnum < LowBuffBound
何もしない
if AnalysisPointer > seqnum > LowBuffBound
LowBuffBound = seqnum
再組み立てバッファを更新する
ホール記録を更新する
if seqnum > AnalysisPointer
再組み立てバッファがTCP受信機と同期していないこと(エラー)をアナライザに示す
本発明は、ハードウェア、ソフトウェア、又は、ハードウェアとソフトウェアとの組み合わせで実施することができる。本明細書で説明した機能を実行するように適合されたものならば、どのプロセッサ、コントローラ、又は他の装置も適している。
また、本発明は、コンピュータプログラム製品に組み込むこともできる。コンピュータプログラム製品は、本明細書で説明した方法の実施を可能にするすべての特徴を含み、情報処理システムにロードされると、これらの方法を実行することができる。本文脈におけるコンピュータプログラム手段又はコンピュータプログラムは、情報処理能力を有するシステムに特定の機能を直接実行させるか、又は、次のa)別の言語への変換のいずれか又は両方の後に実行させることを目的とした一組の命令の、任意の言語、コード、又は表記によるいずれの表現も意味する。このようなコンピュータプログラムは、コンピュータ可読媒体又は機械可読媒体に記憶することができる。この媒体は、データ、命令、メッセージ又はメッセージパケット、及び他の機械可読情報を当該媒体から読み出すことを可能にする。コンピュータ可読媒体又は機械可読媒体は、ROM、フラッシュメモリ、ディスクドライブメモリ、CD−ROM、及び他の永久ストレージ等の不揮発性メモリを含んでもよい。加えて、コンピュータ可読媒体又は機械可読媒体は、たとえば、RAM、バッファ、キャッシュメモリ、及びネットワーク回路等の揮発性ストレージも含んでもよい。さらに、コンピュータ可読媒体又は機械可読媒体には、有線ネットワーク又は無線ネットワークを含めて、デバイスがコンピュータ可読情報又は機械可読情報を読み出すことを可能にする、ネットワークリンク及び/又はネットワークインターフェース等の一時的な状態の媒体のコンピュータ可読情報又は機械可読情報も含まれ得る。
本発明の好ましい実施形態と現在考えられるものを図示して説明してきたが、本発明の真の範囲から逸脱することなく、さまざまな他の変更を行うことができ、均等物に置き換えることができることが当業者に理解されよう。加えて、本明細書で説明した中心となる発明の概念から逸脱することなく、特定の状況を本発明の教示に適合させるために多くの変更を行うこともできる。さらに、本発明の一実施形態は、上述した特徴のすべてを含むとは限らない。したがって、本発明は開示された特定の実施形態に限定されるものでないことが意図されており、本発明は、添付の特許請求の範囲内に含まれるすべての実施形態を含むことが意図されている。
Claims (21)
- 少なくとも1つのTCPデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法であって、
TCP送出機とTCP受信機との間の所与のTCP接続に対応する第1のTCPデータセグメントストリームを前記TCP送出機から受信すること、
前記TCPデータセグメントストリームから第1のバイトストリームを抽出するとともに再組み立てすること、
前記第1のバイトストリームから導出される第2のバイトストリームを、該第2のバイトストリームに対してコンテンツ解析を実行するようになっているコンテンツアナライザ(200)に、渡すこと、及び
前記コンテンツアナライザに渡された前記バイトストリームと全体的に一致するバイトストリームコンテンツを有する第2のTCPデータセグメントストリームを前記TCP受信機へ中継すること
を含み、
前記第2のTCPデータセグメントストリームは、前記第1のTCPデータセグメントストリームと同じ個数のデータセグメントを有し、
前記第2のTCPデータセグメントストリームのすべてのセグメントは、前記第1のTCPデータセグメントストリームの対応するセグメントと同じサイズであり、同じヘッダを有することを特徴とする、
少なくとも1つのTCPデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法。 - 前記TCP受信機から受信される受信確認応答セグメント、すなわちACKが受信されると、該ACKは、いかなる遅延もなく前記TCP送出機に転送される、請求項1に記載の方法。
- 前記第2のTCPデータセグメントストリームを中継することは、たとえば、どのデータセグメントを中継できるかを示す情報を含む、前記コンテンツアナライザによって提供される情報に、基づいて続けられる、請求項1又は2に記載の方法。
- 受信データセグメント及び受信ACKは、TCP接続ごとに再組み立てバッファ(図3)を保持するのに使用され、
受信データセグメントは、さらに中継するために該データセグメントの受信オーダを実施するデータセグメント記述子キュー(120)にさらに供給される、請求項1〜3のいずれか一項に記載の方法。 - 前記再組み立てバッファの下位境界(LowBuffBound)よりも小さなシーケンス番号を有する受信データセグメントは、前記第2のTCPデータセグメントストリームの一部として中継され、且つ/又は
前記再組み立てバッファの上位境界(UpBuffBound)よりも大きなシーケンス番号を有する受信データセグメントは、廃棄される、請求項4に記載の方法。 - 前記再組み立てバッファにすでに記憶されているデータと重なっているデータを含むデータセグメントが受信された時は常に、該新しく受信されたデータは、無視され、前記第2のバイトストリームにおいて、前記再組み立てバッファにすでに存在する前記データによって置き換えられる(図5)、請求項4又は5に記載の方法。
- データセグメント記述子が、そのデータセグメントに特有のTCP情報及びIP情報であって、該データセグメントを前記第2のTCPデータセグメントストリームの一部として中継する時に完全なTCPヘッダを生成するのに使用できるTCP情報及びIP情報を含む、請求項4〜6のいずれか一項に記載の方法。
- 受信データセグメントは、それらの各データセグメント記述子が前記データセグメント記述子キューに現れる順序で、前記第2のTCPデータセグメントストリームの一部として中継される、請求項4〜7のいずれか一項に記載の方法。
- 中継される現在のデータセグメントの前記シーケンス番号が、前に中継されたデータセグメントの前記シーケンス番号よりも大きいことが、前記データセグメント記述子キューを調べることによってチェックされ、
前記前に中継されたセグメントの前記シーケンス番号よりも小さな前記シーケンス番号を有するデータセグメント記述子が見つかるときは常に、
前記現在のデータセグメントのコンテンツが前記コンテンツアナライザによりすでに処理された範囲に属する場合には、前記現在のデータセグメントは中継され、
そうでない場合には、前記現在のデータセグメントの前記中継プロセスは、前記コンテンツアナライザによって再びトリガされるまで停止される、請求項8に記載の方法。 - 前記再組み立てバッファは、一組の、個々に固定されたサイズを有するn個のメモリブロック(310)から成り、
該メモリブロックは、すべてのTCP接続の間で共有されるメモリブロックのプールから得られ、ここで、nは1よりも大きな整数である、請求項4〜9のいずれか一項に記載の方法。 - メモリブロックは、所与の接続に割り当てられ、すなわち、セグメントの受信時に該接続の再組み立てバッファに挿入又は追加され、その割り当ては、以下の通り、すなわち:
前記セグメントによってカバーされる前記シーケンス番号の範囲が、前記再組み立てバッファのシーケンス番号の範囲に属し、
前記セグメントによってカバーされる前記シーケンス番号の範囲が、前記接続の再組み立てバッファにすでに割り当てられている前記メモリブロック(複数可)によってカバーされる前記シーケンス番号の範囲(複数可)に完全には含まれず、且つ、
前記接続の再組み立てバッファにすでに割り当てられている最大n−1個のメモリブロックが存在する
ように行われる、請求項10に記載の方法。 - 各接続について、nエントリーポインタテーブル(320)が、前記再組み立てバッファを構成する前記メモリブロックへのポインタを保持するのに使用される、請求項10又は11に記載の方法。
- 前記再組み立てバッファのホールについての情報を記憶するデータ構造体が、各再組み立てバッファに関連付けられる、請求項4〜12のいずれか一項に記載の方法。
- データが受信される時に、該データは前記コンテンツアナライザに渡される、請求項1〜13のいずれか一項に記載の方法。
- 連続したデータのみ、すなわち、最初に遭遇したホールまでのデータのみが、前記コンテンツアナライザに渡される、請求項13に記載の方法。
- ホールが満たされると、該ホールのデータ及び次のホールまでの前記連続したデータが、前記アナライザに渡される、請求項15に記載の方法。
- 前記アナライザに渡される最も大きなデータシーケンス番号を示すポインタが保持される、請求項14〜16のいずれか一項に記載の方法。
- データが前記コンテンツアナライザへ送信される前記接続をスケジューリングするのに使用される基準は、以下のもの、すなわち:
前記アナライザにまだ渡されていない、前記再組み立てバッファに存在するバイトの個数と、
すべての接続にわたって最も古く記憶されたセグメントと、
前記アナライザに渡される最も大きなデータシーケンス番号を示すポインタの現在の値よりも大きな最下位ホールがすべての接続にわたって最も近時であるという事実と
のうちの1つ又は複数を含む、請求項4〜17のいずれか一項に記載の方法。 - 請求項1〜18のいずれか一項に記載の方法を実施するための手段を備える、少なくとも1つのTCPセグメントストリームをインラインコンテンツ解析にサブミットするためのデバイス(100)。
- 請求項1〜18のいずれか一項に記載の方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体。
- プロセッサにとってアクセス可能であり、且つ、該プロセッサによって実行されると、請求項1〜18のいずれか一項に記載の方法を該プロセッサに実行させる、1つ又は複数記憶された命令シーケンスを含むコンピュータプログラム製品。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP06290954.4A EP1868321B1 (en) | 2006-06-12 | 2006-06-12 | In-line content analysis of a TCP segment stream |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013131482A Division JP5661868B2 (ja) | 2006-06-12 | 2013-06-24 | 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007336551A true JP2007336551A (ja) | 2007-12-27 |
Family
ID=37031223
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007155528A Pending JP2007336551A (ja) | 2006-06-12 | 2007-06-12 | 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品 |
| JP2013131482A Expired - Fee Related JP5661868B2 (ja) | 2006-06-12 | 2013-06-24 | 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013131482A Expired - Fee Related JP5661868B2 (ja) | 2006-06-12 | 2013-06-24 | 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8155108B2 (ja) |
| EP (1) | EP1868321B1 (ja) |
| JP (2) | JP2007336551A (ja) |
| CN (1) | CN101132396B (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009207099A (ja) * | 2008-02-29 | 2009-09-10 | Mitsubishi Electric Corp | 通信記録装置、通信データ処理方法および通信データ処理プログラム |
| JP2016503602A (ja) * | 2012-10-31 | 2016-02-04 | 中興通訊股▲ふん▼有限公司 | 無線ネットワーク毛管路性能を評価する方法及び装置 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7602785B2 (en) * | 2004-02-09 | 2009-10-13 | Washington University | Method and system for performing longest prefix matching for network address lookup using bloom filters |
| US8015313B2 (en) * | 2008-03-04 | 2011-09-06 | Sony Corporation | Method and apparatus for managing transmission of TCP data segments |
| CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
| US9148446B2 (en) | 2013-05-07 | 2015-09-29 | Imperva, Inc. | Selective modification of encrypted application layer data in a transparent security gateway |
| US9515777B2 (en) | 2014-10-23 | 2016-12-06 | International Business Machines Corporation | Snoop virtual receiver time |
| EP3065341B1 (en) * | 2015-03-05 | 2019-04-10 | Mitsubishi Electric R&D Centre Europe B.V. | Content classification medthod and device |
| US10089339B2 (en) * | 2016-07-18 | 2018-10-02 | Arm Limited | Datagram reassembly |
| CN107332839B (zh) * | 2017-06-28 | 2020-03-06 | 杭州迪普科技股份有限公司 | 一种报文传输方法及装置 |
| US10831479B2 (en) * | 2019-02-20 | 2020-11-10 | International Business Machines Corporation | Instruction to move data in a right-to-left direction |
| CN114448969B (zh) * | 2021-12-27 | 2023-06-23 | 天翼云科技有限公司 | 数据上传存储方法、装置、计算机设备及存储介质 |
| US20230308392A1 (en) * | 2022-03-28 | 2023-09-28 | Ebay Inc. | Linked Packet Tracing for Software Load Balancers |
| CN115190090A (zh) * | 2022-07-12 | 2022-10-14 | 国泰君安证券股份有限公司 | 基于哈希表和队列结构的tcp流重组行情监控处理方法、系统、装置、处理器及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003223375A (ja) * | 2002-01-30 | 2003-08-08 | Toshiba Corp | 不正アクセス検知装置および不正アクセス検知方法 |
| JP2004503146A (ja) * | 2000-06-21 | 2004-01-29 | ネットレイク コーポレーション | サービス拒否攻撃を防ぐための方法 |
| JP2004146931A (ja) * | 2002-10-22 | 2004-05-20 | Toshiba Corp | パケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法 |
| JP2004179999A (ja) * | 2002-11-27 | 2004-06-24 | Mitsubishi Electric Corp | 侵入検知装置およびその方法 |
| JP2007507763A (ja) * | 2003-09-10 | 2007-03-29 | フィデリス・セキュリティー・システムズ | 高性能のネットワーク内容解析プラットフォーム |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5016A (en) * | 1847-03-13 | Improvement in clevises for plows | ||
| JP3648520B2 (ja) * | 1998-09-11 | 2005-05-18 | 剛 石井 | ネットワーク通信の監視・制御方法及びこれを利用した監視・制御装置並びにネットワーク通信の監視・制御プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| IL136324A0 (en) * | 2000-05-24 | 2001-05-20 | Softcom Computers Ltd | Method of surveilling internet communication |
| US7171440B2 (en) * | 2001-07-17 | 2007-01-30 | The Boeing Company | System and method for virtual packet reassembly |
| US7310815B2 (en) * | 2003-10-29 | 2007-12-18 | Sonicwall, Inc. | Method and apparatus for datastream analysis and blocking |
| US7114181B2 (en) * | 2004-01-16 | 2006-09-26 | Cisco Technology, Inc. | Preventing network data injection attacks |
| US7257840B2 (en) * | 2004-01-16 | 2007-08-14 | Cisco Technology, Inc. | Preventing network data injection attacks using duplicate-ACK and reassembly gap approaches |
| US8042182B2 (en) * | 2004-03-30 | 2011-10-18 | Telecom Italia S.P.A. | Method and system for network intrusion detection, related network and computer program product |
| US7826457B2 (en) * | 2004-05-11 | 2010-11-02 | Broadcom Corp. | Method and system for handling out-of-order segments in a wireless system via direct data placement |
| JP2005354334A (ja) * | 2004-06-10 | 2005-12-22 | Mitsubishi Electric Corp | データ列検索装置、不正侵入検知遮断装置、データ列検索方法およびデータ列検索プログラム |
| US8074275B2 (en) * | 2006-02-01 | 2011-12-06 | Cisco Technology, Inc. | Preventing network denial of service attacks by early discard of out-of-order segments |
| US20070226362A1 (en) * | 2006-03-21 | 2007-09-27 | At&T Corp. | Monitoring regular expressions on out-of-order streams |
| EP1912402B1 (en) * | 2006-10-10 | 2019-08-28 | Mitsubishi Electric R&D Centre Europe B.V. | Protection of the data transmission network systems against buffer oversizing attacks |
-
2006
- 2006-06-12 EP EP06290954.4A patent/EP1868321B1/en not_active Not-in-force
-
2007
- 2007-06-11 US US11/761,090 patent/US8155108B2/en active Active
- 2007-06-12 JP JP2007155528A patent/JP2007336551A/ja active Pending
- 2007-06-12 CN CN200710152693.6A patent/CN101132396B/zh not_active Expired - Fee Related
-
2013
- 2013-06-24 JP JP2013131482A patent/JP5661868B2/ja not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004503146A (ja) * | 2000-06-21 | 2004-01-29 | ネットレイク コーポレーション | サービス拒否攻撃を防ぐための方法 |
| JP2003223375A (ja) * | 2002-01-30 | 2003-08-08 | Toshiba Corp | 不正アクセス検知装置および不正アクセス検知方法 |
| JP2004146931A (ja) * | 2002-10-22 | 2004-05-20 | Toshiba Corp | パケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法 |
| JP2004179999A (ja) * | 2002-11-27 | 2004-06-24 | Mitsubishi Electric Corp | 侵入検知装置およびその方法 |
| JP2007507763A (ja) * | 2003-09-10 | 2007-03-29 | フィデリス・セキュリティー・システムズ | 高性能のネットワーク内容解析プラットフォーム |
Non-Patent Citations (1)
| Title |
|---|
| JPN6011063256; SARANG DHARMAPURIKAN, VERN PAXSON: 'Robust TCP Stream Reassembly In the Presence of Adversaries' Proceedings of the 14th USENIX SECURITY SYMPOSIUM , 200508 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009207099A (ja) * | 2008-02-29 | 2009-09-10 | Mitsubishi Electric Corp | 通信記録装置、通信データ処理方法および通信データ処理プログラム |
| JP2016503602A (ja) * | 2012-10-31 | 2016-02-04 | 中興通訊股▲ふん▼有限公司 | 無線ネットワーク毛管路性能を評価する方法及び装置 |
| US9544215B2 (en) | 2012-10-31 | 2017-01-10 | Zte Corporation | Method and apparatus for evaluating performance of wireless network capillary channel |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1868321A1 (en) | 2007-12-19 |
| EP1868321B1 (en) | 2016-01-20 |
| US8155108B2 (en) | 2012-04-10 |
| CN101132396A (zh) | 2008-02-27 |
| JP5661868B2 (ja) | 2015-01-28 |
| JP2013243694A (ja) | 2013-12-05 |
| CN101132396B (zh) | 2014-03-26 |
| US20070291662A1 (en) | 2007-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5661868B2 (ja) | 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品 | |
| Blanton et al. | A conservative selective acknowledgment (SACK)-based loss recovery algorithm for TCP | |
| CN104025525B (zh) | 用于发送分组的方法和设备以及交换机装置 | |
| Ford et al. | TCP extensions for multipath operation with multiple addresses | |
| US8194675B2 (en) | Parsing out of order data packets at a content gateway of a network | |
| US7103674B2 (en) | Apparatus and method of reducing dataflow distruption when detecting path maximum transmission unit (PMTU) | |
| Ong et al. | An introduction to the stream control transmission protocol (SCTP) | |
| US7839873B1 (en) | Systems and methods for accelerating TCP/IP data stream processing | |
| EP1755314A2 (en) | TCP normalisation engine | |
| CA2548476C (en) | Preventing network data injection attacks using duplicate-ack and reassembly gap approaches | |
| JP4743894B2 (ja) | データ・パケットを伝送しながらセキュリティを改良するための方法及び装置 | |
| EP1345382A2 (en) | System and method for identifying upper layer protocol message boundaries | |
| US8259728B2 (en) | Method and system for a fast drop recovery for a TCP connection | |
| JP2010016838A (ja) | Tcp/ipを使用した高速度データ送信システムおよび方法 | |
| EP2798813B1 (en) | Obtaining information from data items | |
| US7480301B2 (en) | Method, system and article for improved TCP performance during retransmission in response to selective acknowledgement | |
| US20070291782A1 (en) | Acknowledgement filtering | |
| US6996105B1 (en) | Method for processing data packet headers | |
| Eddy | Rfc 9293: Transmission control protocol (tcp) | |
| US10461892B2 (en) | Low latency communications | |
| EP1357721A2 (en) | System and method for identifying upper layer protocol message boundaries | |
| JP4506430B2 (ja) | アプリケーションモニタ装置 | |
| Ong et al. | RFC3286: An Introduction to the Stream Control Transmission Protocol (SCTP) | |
| EP1898586A1 (en) | Protection for data transmission network systems against SYN flood denial of service attacks | |
| Dakhane et al. | UDP-Based Multi-Stream Communication Protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100524 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111110 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120306 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120309 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120330 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121002 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20121226 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20121226 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121227 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20121226 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130312 |