JP2010148090A - パケット処理方法及びこれを用いたtoe装置 - Google Patents
パケット処理方法及びこれを用いたtoe装置 Download PDFInfo
- Publication number
- JP2010148090A JP2010148090A JP2009208615A JP2009208615A JP2010148090A JP 2010148090 A JP2010148090 A JP 2010148090A JP 2009208615 A JP2009208615 A JP 2009208615A JP 2009208615 A JP2009208615 A JP 2009208615A JP 2010148090 A JP2010148090 A JP 2010148090A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- payload
- header
- unit
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】TCP/IPを迅速に処理するためにハードウェアを用いるTOE(TCP/IP Offload Engine)装置に、ネットワークトラフィックの静的/動的攻撃に対する検査及びリアルタイム遮断を目的とする侵入防止システムハードウェアを構築したTOE装置及びTOE装置におけるパケット処理方法に関するものであって、ネットワークプロトコル加速ハードウェアであるTOE装置を通じてネットワークを介した侵入を防止することができるため、ネットワークサーバなどのようなシステム内の装置に別途のアプリケーションプログラムなどを追加設置することなくネットワーク侵入防止システムを稼働することができる。
【選択図】図2
Description
図1に示された通り、TOE装置はギガビットイーサネットなどのような高速ネットワークとホストプロセッサーの間でTCP/IPの迅速な処理を図る。
図2は、ネットワークを介した侵入を防止するために必要な構成が追加されたTOE装置を概略的に示したブロック図である。
ネットワークを介した侵入を防止するための構成部分は、パケットからヘッダー(header)とペイロード(payload)を抽出するヘッダー抽出部、抽出したヘッダーを検査するヘッダー検査部、抽出されたペイロードを検査しホストに伝達するペイロード処理部を含む。
図3は、本発明によるTOE装置において受信したパケットを処理する方法を概略的に示したプローチャートである。
Claims (20)
- パケットを受信して、ヘッダーとペイロードを抽出し、
前記ペイロードに対してパターンマッチング検査後、検査をパスしたペイロードをホストに伝達し、
前記ヘッダーに対して、前記パケットが侵入パケットであるかどうかを判別するヘッダー検査及びTCP/IP処理を実行することを含むTOE(TCP/IP Offload Engine)装置のパケット処理方法。 - 前記ペイロードに対するパターンマッチング検査は、前記ペイロードが単一のパケットのペイロードであるか、分割パケットのペイロードであるかを判断し、
前記判断の結果、
前記ペイロードが単一のパケットのペイロードであれば、パターンマッチング検査を実行し、
前記ペイロードが分割パケットのペイロードであれば、パケットを再組合してパターンマッチング検査を実行する請求項1に記載のTOE装置のパケット処理方法。 - 前記分割パケットに対するパケット再組合は、
前記分割パケットがIP分割パケットである場合は、IPプロトコル処理後にパケットを再組合し、
前記分割パケットがTCP分割パケットである場合は、トランスポートプロトコル処理後にパケットを再組合する請求項2に記載のTOE装置のパケット処理方法。 - 前記TCP分割パケットのペイロードに対するパターンマッチング検査は、
前記パケット再組合によるペイロードの大きさが基準値以上の場合にのみ実行する請求項3に記載のTOE装置のパケット処理方法。 - 前記ペイロードのパターン検査の結果、
前記パケットが侵入パケットと判断されれば、前記ペイロードを削除し、前記パケットの情報を保存し、
前記保存したパケット情報を周期的にホストに伝送する請求項2に記載のTOE装置のパケット処理方法。 - 前記ホストから周期的に新たなシグネチャーを受信する請求項5に記載のTOE装置のパケット処理方法。
- 前記ヘッダー検査では、前記パケットを伝送したノードがアクセス制御リストに含まれているかどうかを判断するアクセス制御リスト検査及び保存されている攻撃パケットのシグネチャーが前記ヘッダーのパターンとマッチングされるかどうかを判断するシグネチャー検査を含み、
前記TCP/IP処理は、前記アクセス制御リスト及びシグネチャー検査をパスしたヘッダーに対してIPプロトコル処理及びトランスポートプロトコル処理を実行する請求項1に記載のTOE装置のパケット処理方法。 - 前記ヘッダー検査は、前記IPプロトコル処理されたヘッダーに対するセッション検査をさらに含み、
前記トランスポートプロトコル処理は、前記セッション検査をパスしたヘッダーに対して実行される請求項7に記載のTOE装置のパケット処理方法。 - 前記セッション検査は、
保存しているソケット情報と比較して、前記パケットが正常連結されたソケットから受信したパケットであるかどうかを検査する請求項8に記載のTOE装置のパケット処理方法。 - 前記セッション検査は、
前記パケットのセッション帯域幅が基準値以内であるかどうかを検査する請求項8に記載のTOE装置のパケット処理方法。 - 前記ヘッダー検査の結果、
受信したパケットが侵入パケットと判断されれば、前記パケットを削除し、前記パケットの情報を保存し、
前記保存したパケット情報を周期的にホストに伝達する請求項7または8に記載のTOE装置のパケット処理方法。 - 前記ホストから周期的に新たなシグネチャーを受信する請求項11に記載のTOE装置のパケット処理方法。
- 受信したパケットのヘッダーとペイロードを抽出するヘッダー抽出部と、
前記抽出されたペイロードを処理するペイロード処理部と、
前記抽出されたヘッダーを検査するヘッダー検査部と、及び
前記ヘッダーに対するTCP/IP処理を実行するTCP/IP処理部と、を含むTOE装置。 - 前記ペイロード処理部は、ペイロードに対するパターンマッチング検査を実行するペイロードパターンマッチング部を含み、
前記TCP/IP処理部は、受信したペイロードを保存するペイロード保存部と、侵入パケットと判断されたパケットの情報を保存する遮断パケット情報保存部と、を含み、
前記パターンマッチング部は、
前記ペイロード保存部に保存されたペイロードに対して、パターンマッチング検査を実行して、侵入パケットのペイロードと判断された場合は、遮断パケット情報保存部に前記侵入パケットの情報を保存し、侵入パケットのペイロードでないと判断された場合は、前記ペイロードをホストに伝達する請求項13に記載のTOE装置。 - 前記受信パケットがIP分割パケットである場合に、
前記TCP/IP処理部は、前記ペイロード保存部に前記分割パケットのペイロードを保存し、前記分割パケットのヘッダーに対するIPプロトコル処理後に、前記分割パケットのペイロードを再組合し、
前記ペイロード処理部は、前記再組合されたペイロードに対するパターンマッチング検査を実行する請求項14に記載のTOE装置。 - 前記受信パケットがTCP分割パケットである場合に、
前記TCP/IP処理部は、前記ペイロード保存部に前記分割パケットのペイロードを保存し、前記分割パケットのヘッダーに対するトランスポートプロトコル処理後に、前記分割パケットのペイロードを再組合し、
前記ペイロード処理部は、前記再組合されたペイロードに対するパターンマッチング検査を実行する請求項14に記載のTOE装置。 - 前記ペイロード処理部は、
前記再組合されたペイロードの大きさが基準値以上の場合にのみ、パターンマッチング検査を実行する請求項16に記載のTOE装置。 - 前記TCP/IP処理部は、侵入パケットと判断されたパケットの情報を保存する遮断パケット情報保存部を含み、
前記ヘッダー検査部は、アクセス制御リスト(Access Control List;ACL)を保存したACL保存部と、ホストから周期的に受信したシグネチャーを保存したシグネチャー保存部と、前記ヘッダーに対して、前記アクセス制御リストに含まれているかどうかを検査するACL検査部と、前記ヘッダーに対して、前記シグネチャーとのマッチング有無を検査するシグネチャーマッチング検査部と、を含み、
前記ACL検査部及びシグネチャーマッチング検査部は、前記検査の結果、前記ヘッダーが侵入パケットのヘッダーと判断した場合は、前記侵入パケットの情報を前記遮断パケット情報保存部に保存し、前記ヘッダーが侵入パケットのヘッダーでないと判断した場合は、前記ヘッダーをTCP/IP処理部に伝達する請求項13に記載のTOE装置。 - 前記ヘッダー検査部は、ヘッダーに対するセッション検査を実行するセッション検査部をさらに含み、
前記セッション検査部は、前記TCP/IP処理部でIPプロトコル処理されたヘッダーに対して、前記パケットが正常連結されたソケットから受信したパケットであるかまたは前記パケットのセッション帯域幅が基準値以内であるかどうかを検査し、
前記TCP/IP処理部は、前記セッション検査をパスしたヘッダーに対して、トランスポートプロトコル処理を実行する請求項18に記載のTOE装置。 - 前記遮断パケット情報保存部は、
保存した遮断パケットの情報を周期的に前記ホストに伝達する請求項14ないし19のうちいずれか一つに記載のTOE装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080131746A KR101221045B1 (ko) | 2008-12-22 | 2008-12-22 | 패킷 처리 방법 및 이를 이용한 toe 장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010148090A true JP2010148090A (ja) | 2010-07-01 |
Family
ID=42268109
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009208615A Pending JP2010148090A (ja) | 2008-12-22 | 2009-09-09 | パケット処理方法及びこれを用いたtoe装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20100162382A1 (ja) |
JP (1) | JP2010148090A (ja) |
KR (1) | KR101221045B1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120020374A1 (en) * | 2010-07-26 | 2012-01-26 | Kenneth Jonsson | Method and System for Merging Network Stacks |
US8776243B2 (en) | 2012-04-27 | 2014-07-08 | Ixia | Methods, systems, and computer readable media for combining IP fragmentation evasion techniques |
CN102970329A (zh) * | 2012-10-26 | 2013-03-13 | 广东石油化工学院 | 基于历史特征的fast tcp公平性改进算法 |
KR102280543B1 (ko) | 2014-12-01 | 2021-07-26 | 삼성전자주식회사 | 전자 디바이스의 작업 수행 장치 및 방법 |
JP6598188B2 (ja) * | 2015-02-27 | 2019-10-30 | 株式会社エヴリカ | 情報処理装置、方法およびプログラム |
KR101639428B1 (ko) * | 2015-04-29 | 2016-07-13 | 한전케이디엔 주식회사 | 보드기반 단방향 통신제어 시스템 |
CN106302351B (zh) * | 2015-06-03 | 2019-10-15 | 华为技术有限公司 | 收集访问控制列表的方法、装置及系统 |
TWI735585B (zh) * | 2017-05-26 | 2021-08-11 | 瑞昱半導體股份有限公司 | 具有網路功能的資料管理電路及基於網路的資料管理方法 |
GB2559431B (en) * | 2017-06-01 | 2020-09-02 | Garrison Tech Ltd | Web server security |
CN110958213B (zh) * | 2018-09-27 | 2021-10-22 | 华为技术有限公司 | 处理tcp报文的方法、toe组件以及网络设备 |
KR102151987B1 (ko) * | 2018-11-23 | 2020-09-04 | 한국과학기술원 | 프록시 서버에서 프록시 서버 기능을 호스트에서 네트워크 어댑터로 동적으로 이양하는 방법 및 이를 수행하는 프록시 서버 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005269486A (ja) * | 2004-03-22 | 2005-09-29 | Hitachi Ltd | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 |
JP2005354334A (ja) * | 2004-06-10 | 2005-12-22 | Mitsubishi Electric Corp | データ列検索装置、不正侵入検知遮断装置、データ列検索方法およびデータ列検索プログラム |
JP2006041969A (ja) * | 2004-07-28 | 2006-02-09 | Mitsubishi Electric Corp | ネットワーク監視装置及びネットワーク監視方法及びプログラム |
JP2006100874A (ja) * | 2004-09-28 | 2006-04-13 | Nippon Telegr & Teleph Corp <Ntt> | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ |
WO2007027508A2 (en) * | 2005-08-29 | 2007-03-08 | Winnow Technologies, Inc. | Method and system for reassembling packets prior to searching |
WO2007079095A2 (en) * | 2005-12-30 | 2007-07-12 | Pandya Ashish A | Runtime adaptable search processor |
JP2008524970A (ja) * | 2004-12-21 | 2008-07-10 | クゥアルコム・インコーポレイテッド | クライアント援用ファイヤウオール構造 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8176298B2 (en) * | 2002-10-08 | 2012-05-08 | Netlogic Microsystems, Inc. | Multi-core multi-threaded processing systems with instruction reordering in an in-order pipeline |
KR100490729B1 (ko) * | 2003-05-20 | 2005-05-24 | 한국전자통신연구원 | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 |
KR100558658B1 (ko) * | 2003-10-02 | 2006-03-14 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
US6996070B2 (en) * | 2003-12-05 | 2006-02-07 | Alacritech, Inc. | TCP/IP offload device with reduced sequential processing |
US20060168273A1 (en) * | 2004-11-03 | 2006-07-27 | Ofir Michael | Mechanism for removing data frames or packets from data communication links |
KR100639996B1 (ko) * | 2004-12-07 | 2006-10-31 | 한국전자통신연구원 | 패킷 재조합을 이용한 패턴 매칭 방법 및 그 장치 |
-
2008
- 2008-12-22 KR KR1020080131746A patent/KR101221045B1/ko not_active IP Right Cessation
-
2009
- 2009-09-03 US US12/553,799 patent/US20100162382A1/en not_active Abandoned
- 2009-09-09 JP JP2009208615A patent/JP2010148090A/ja active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005269486A (ja) * | 2004-03-22 | 2005-09-29 | Hitachi Ltd | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 |
JP2005354334A (ja) * | 2004-06-10 | 2005-12-22 | Mitsubishi Electric Corp | データ列検索装置、不正侵入検知遮断装置、データ列検索方法およびデータ列検索プログラム |
JP2006041969A (ja) * | 2004-07-28 | 2006-02-09 | Mitsubishi Electric Corp | ネットワーク監視装置及びネットワーク監視方法及びプログラム |
JP2006100874A (ja) * | 2004-09-28 | 2006-04-13 | Nippon Telegr & Teleph Corp <Ntt> | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ |
JP2008524970A (ja) * | 2004-12-21 | 2008-07-10 | クゥアルコム・インコーポレイテッド | クライアント援用ファイヤウオール構造 |
WO2007027508A2 (en) * | 2005-08-29 | 2007-03-08 | Winnow Technologies, Inc. | Method and system for reassembling packets prior to searching |
JP2009510815A (ja) * | 2005-08-29 | 2009-03-12 | 株式会社コネクトテクノロジーズ | サーチ前のパケットのリアセンブル方法及びシステム |
WO2007079095A2 (en) * | 2005-12-30 | 2007-07-12 | Pandya Ashish A | Runtime adaptable search processor |
JP2009523275A (ja) * | 2005-12-30 | 2009-06-18 | アシシュ エイ パンドヤ | ランタイム適応サーチプロセッサ |
Also Published As
Publication number | Publication date |
---|---|
US20100162382A1 (en) | 2010-06-24 |
KR101221045B1 (ko) | 2013-01-10 |
KR20100073153A (ko) | 2010-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2010148090A (ja) | パケット処理方法及びこれを用いたtoe装置 | |
US7797749B2 (en) | Defending against worm or virus attacks on networks | |
US8121148B2 (en) | Protocol stack using shared memory | |
US7440406B2 (en) | Apparatus for displaying network status | |
JP4743894B2 (ja) | データ・パケットを伝送しながらセキュリティを改良するための方法及び装置 | |
JP2009534001A (ja) | 悪質な攻撃の検出システム及びそれに関連する使用方法 | |
US20090086736A1 (en) | Notification of out of order packets | |
US20090055930A1 (en) | Content Security by Network Switch | |
CN111800401B (zh) | 业务报文的防护方法、装置、系统和计算机设备 | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
US8687505B2 (en) | Apparatus and method for controlling traffic | |
EP3948615A1 (en) | Applying attestation to segment routing | |
US11252184B2 (en) | Anti-attack data transmission method and device | |
CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
JP2008205954A (ja) | 通信情報監査装置、方法及びプログラム | |
WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
EP3346663B1 (en) | Apparatus, system, and method for accelerating security inspections using inline pattern matching | |
US20090285207A1 (en) | System and method for routing packets using tags | |
CN101364895B (zh) | 高性能宽带互联网网络行为实时分析及管理系统 | |
CN108900383B (zh) | 基于私有head的数据镜像方法 | |
US8149709B2 (en) | Serialization queue framework for transmitting packets | |
WO2020158896A1 (ja) | 通信装置 | |
CN113453278A (zh) | 一种基于5g upf下的tcp包分段组包方法及终端 | |
CN107277060B (zh) | 一种数据包处理的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110223 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110318 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110617 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110621 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110622 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110816 |