TW201031141A - Packets inspection device and method - Google Patents
Packets inspection device and method Download PDFInfo
- Publication number
- TW201031141A TW201031141A TW098103466A TW98103466A TW201031141A TW 201031141 A TW201031141 A TW 201031141A TW 098103466 A TW098103466 A TW 098103466A TW 98103466 A TW98103466 A TW 98103466A TW 201031141 A TW201031141 A TW 201031141A
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- value
- hash function
- processing module
- information
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Description
201031141 六、發明說明: - 【發明所屬之技術領域】 - 本發明係關於一種封包檢測裝置及方法,更詳而言 之,係關於一種應用於擷取封包之網路設備,用以進行封 包狀態檢測之封包檢測裝置及方法。 【先前技術】 傳輸控制協定(Transmission Control Protocol,TCP)以 及網際網路協定(Internet Protocol,IP)為網際網路的重要
A 通訊協定,可使不同的電腦設備與作業環境透過通訊協定 來互通信息,而資料在TCP/IP上是以封包的形式來傳送。 於TCP層進行資料傳輸時,必須先建立起兩者之間的 連線關係,TCP層連線的建立是透過帶有連線控制訊息的 封包在兩端主機間傳遞,再藉由TCP封包標頭(Header)資 訊和狀態機制(State machine)的檢測,經一番交談(Session) 後,發送端與接收端進入連線狀態。經由此連線請求、連 ❺ 線確認、連線成功的程序,便形成了三方交握(3-way handshaking)。 隨著網路攻擊的數量與複雜度與日俱增,其中最流行 的網路攻擊之一為 SYN(Synchrony)、SYN/ACK、 ACK(Acknowledge) DoS attack(拒絕服務攻擊),例如 SYN 洪流攻擊(Flooding Attack),伺服器在接收到用戶端發送之 SYN封包後發出SYN/ACK封包,卻一直無法收到用戶端 的ACK封包,在這種情況下伺服器會再次發送SYN/ACK 封包給用戶端並等待一段時間後丢棄(drop)這個未完成的 4 111095 201031141 連接,如果惡意地大量發送SYN封包,祠服器端將為了維 * 護一個非常大的半連線狀態而消耗CPU資源和記憶體。 . 目前習知技術提出了狀態檢查機制(Stateful
Inspection Module Architecture),其方法為紀錄封包流的狀 態,於封包紀錄表中搜尋封包流的狀態紀錄,以判斷進入 的封包是否為正常的封包,而搜尋資料的方法分為下列三 種:一種從資料的第1筆資料開始比較,從頭到尾以確認 資料是否存在,例如:線性搜尋法,一種為使用樹狀結構 搜尋法,例如樹狀資料結構(AVL Tree),另一種為在硬體 方面的改善,例如增加一個内容定址記憶體(Content Address Momery,CAM)。 然而,上述習知技術存在以下問題: (1)封包檢測速度慢。於檢測封包狀態時,利用線性 搜尋法搜尋連線紀錄,使插入封包狀態和更新封包狀態時 所搜尋的時間與連線紀錄成正比。 φ (2)佔用記憶體空間多。利用樹狀結構搜尋法可加快 速度’相對而言’也佔用了記憶體儲存空間。 (3)成本高。利用内容定址記憶體雖可快速地進行封 包檢測以及減少佔用記憶體空間,但是缺點為成本昂貴而 無法普及使用。 綜上所述’如何能提供一種封包檢測裝置及方法,能 快速檢測封包狀態、減少佔用記憶體空間以及降低成本’ 以抵擋網路惡意封包攻擊,遂成為目前亟待解決的課題。 【發明内容】 5 111095 201031141 鑑於上述習知技術之缺點,本發明提供—種封包檢測 .顧賴齡封包^料備,軸包檢測裝置係 -^括=遲處理模組’係以於Tcp層交握時,對該封包 比對以及筛選,該延遲處理模組係包括用以將 函數值之記《單==單元與用以儲存該雜凑 處理模組所筛選之封包建立組’係依據該延遲 ❹ 理模組之雜凑函數單元將特,輪連線,其中,該延遲處 數值並進行雜凑函數值二封;=資訊轉換為雜凑函 料與該雜湊函數單元所轉換之雜=己憶體單元所儲存之資 雜凑函數值存入讀記憶體單元以建2值不相同,則將該 憶體單元所儲存之資 立—對話連線’若該記 數值相同,則進行封包d單元所轉換之雜凑函 本發明另提供一種封包^包筛選。 處理模組與對話處理模組之封包^=,係應用於具有延遲 法係包括以下步驟:⑴令該 置,該封包檢測方 透過雜凑函數單元蔣所接处理模組於TCP層交握時 函數值並進行比對,若記憶體票頭資訊轉換為雜湊 函數單元所轉換之雜湊函數值不相同斤儲存之資料與該雜湊 函數值相同,進至步驟數單元所轉換之雜泰 線,進至步驟⑷项將該封包與;;==組建立對話連 狀態進行比對,者狀態不符合=封包之對話連線之 合,則進至步驟(4);以及(4)令該延=該封包,若狀態符 义處理模組持續進行交 111095 6 201031141 握或將該封包傳至該對話處理模組以建立傳輸連線。 - 於一較佳態樣中,步驟(1)復包括:(1-1)將該封包之標 . 頭資訊以雜湊函數轉換為位址值;(1-2)將該封包之標頭資 訊以雜湊函數轉換為鍵值;以及(1·3)將該位址值内之資訊 與該封包之鍵值進行比對,若該不相同,則將該封包之鍵 值存入該位址值,若相同,則進行封包狀態比對以及封包 篩選。 相較於習知技術,本發明利用設置於封包檢測裝置之 m 延遲處理模組之雜湊函數單元將封包標頭資訊轉換為雜湊 函數值,並與延遲處理模組之記憶體單元進行雜湊函數值 比對,再進行與對應該封包之對話連線之狀態進行比對, 經由對話處理模組依據該延遲處理模組所筛選之封包建立 傳輸連線,進而抵擋網路惡意封包攻擊。 因此,本發明之封包檢測裝置及方法具有增加封包狀 態檢測速度、減少記憶體佔用空間以及降低成本之功效, © 得以解決習知技術中封包檢測之既有的缺點。 【實施方式】 以下係藉由特定的具體實施例說明本發明之實施方 式,熟悉此技術之人士可由本說明書所揭示之内容輕易地 了解本發明之其他優點與功效。本發明亦可藉由其他不同 的具體實施例加以施行或應用,本說明書中的各項細節亦 可基於不同觀點與應用,在不悖離本發明之精神下進行各 種修飾與變更。 以下實施例係近一步詳細說明本發明之觀點,但並非 7 111095 201031141 以任何觀點限制本發明之範轉。 ' 请參閱第1圖,係表示本發明之封包檢測裝置之‘構 • 示意圖。如圖所示,本發明之封包檢測裝置1係設置於擷 取封包之網路設備(在此未予以圖示),其中,網路設備係 作為電腦設備連接網際網路的媒介。於本實施例中’用戶 端裝置2與飼服器3透過網路設備連接網際網路,而網路 設備可為交換設備、傳輸設備、寬頻接取設備、區域網路 設備、寬頻網路應用設備及/或用戶端設備。 ® 用戶端設備可為數據機(Modem),有線區域網路設備 可為網卡(NIC)或集線器(Hub),交換設備可為交換機 (switch)或路由器(router)。 本發明之封包檢測裝置1包括延遲處理模組11以及 對話處理模組12。 延遲(Pending)處理模組11,係用以於傳輸控制協定 TCP層進行三方交握時,對該封包進行儲存、比對以及薛 ❹選。 對話(Session)處理模組12,係依據延遲處理模組u 所篩選之封包建立傳輸連線。 延遲處理模組11復包括雜湊函數單元111以及I己情 體單元112。 雜湊函數單元111,係用以將資訊轉換為雜凑函數 (Hashing function)值。 記憶體單元112,係用以儲存該雜湊函數值。 具體實施時,首先,延遲處理模組11接收到用戶端 111095 8 201031141 裝置2所4送之—SYN封包,利用存取規則表(a⑽μ Control+List’ ACL)(在此未予以圖式)判斷是否接受該syn 封包,。若不接收料棄(Dn)p)。接受該 SYN封包後,雜湊 函數早兀111將該SYN封包之標财訊轉換為雜凑函數值 並進行雜凑0數值比對,若記憶體單元⑴中無相同之雜 湊函數值’則將該SYN封包存人記憶體單元ιι2中以建立 對話連線右n己憶體單元ln中有相同之雜凑函數值,則
將該SYN爿包料飼服器3並將連線狀態更新為等待 SYN/ACK封包之狀態。 接著(遲處理模組u在接收到伺服器3所發送之 SYN/ACK封包’雜凑函數單元lu將該syn/ack封包之 才示頭資訊#換為雜溱函數值並進行雜凑函數值比對,若記 k體單元112中無相同之雜湊函數值,則將該sYN/ACK 封包丢茱’若記憶體單元112中有相同之雜凑函數值,則 將SYN/ACK封包傳予用戶端裝置2並將連線狀態更新為 等待ACK封包之狀態。 最後’延遲處理模組11在接收到用戶端裝置2所發 送之ACK封包’雜湊函數單元111將該ACK封包之標頭 資訊轉換為雜湊函數值並進行雜湊函數值比對,若記憶體 單元112中無相同之雜湊函數值,則丢棄該ACK封包, 若記憶體單元112中有相同之雜湊函數值,則將該ACK 封包傳至對話處理模組12以建立傳輸連線,並於TCP層 傳輸結束時’將該ACK封包從對話處理模組12中刪除。 其中,若進行比對的時間值(Timestamp)超過一特定值 9 111095 201031141 (Threshold),則刪除逾時的封包以接受新的封包。 • 請參閱第2A圖,其係本發明之封包檢測裝置之雜湊 . 函數單元以及記憶體單元之進行雜湊函數值比對之示意 圖,如圖所示,雜湊函數單元41係包括第一函數轉換器 411、第二函數轉換器412以及比對器413,記憶體單元42 係用以儲存位址值42卜位址值之資訊422a以及422b,其 中,資訊422a與資訊422b之資訊係不相同,且每一筆資 訊代表一個封包連線紀錄。 封包之標頭資訊40為來源IP、來源port、目的地IP 以及目的地port。 第一函數轉換器411,係用以將該封包之標頭資訊40 以一雜湊函數轉換為位址值。 第二函數轉換器412,係用以將該封包之標頭資訊40 以另一雜湊函數轉換為鍵值。 比對器413,係用以取出記憶體單元42中之位址值 φ 421内之資訊422a以及422b與該封包之鍵值依序進行比 對,若不相同,則將該鍵值存入該位址值421,若相同, 則進行封包狀態比對以及封包篩選。 本發明之封包檢測裝置復包括内容定址記憶體 43(content addressable memory, CAM),係用以於記憶體單 元42中之位址值421已滿時儲存該封包之鍵值。 具體實施時,首先,延遲處理模組於接到一封包時, 第一函數轉換器411將封包之標頭資訊40轉換為位址值, 且第二函數轉換器412將封包之標頭資訊40轉換為鍵值, 10 111095 201031141 接著’由比對器413於記憶體單元42中找到符合該封包之 '位址值421 ’並將封包之鍵值與位址值421内之資訊422a ’ 及422b進行比對’若資訊422a及資訊422b之其中之一資 訊是空的且另一資訊是不相同的,則將封包之鍵值存入該 位址值421内’若皆不相同且資訊422a及資訊422b已滿 時’將該封包之鍵值存入内容定址記憶體43中,以等待 接收下一個封包’若資訊422a及資訊422b之其中之一資 ❹δΤΙ與封包之鍵值相同時,則進行封包狀態之比對,若狀態 符合,則令延遲處理模組持續進行交握或將該封包傳至對 話處理模組以建立傳輸連線,若狀態不符合,則將該封包 丢棄。 上述封包狀態之比對方法為狀態追蹤(state tracking)、封包存活期間(Time τ〇 Live,TTL)追縱、以及序 列追蹤(Sequence tracking)及 / 或確認追蹤(Ackn〇wledge tracking)。 叫參閱第2B圖,係用以表示本發明之封包檢測裝置 之雜湊函數元件之轉換鍵值示意圖。本發明之封包檢測裝 ^之較佳態樣為第二函數轉換器412復包括複數個雜凑函 ^件彻,於本實施例中,Hl至&為雜凑函數,· ==件4121係用以將封包之標頭資訊4〇以複數個相異 〈雜凑函數轉換為鍵值。 第一 且雜 具體實施時’首先’延遲處理模組於接 ^數轉換器411將封包之標頭資訊轉換為位址值, 凑函數兀件4丨21利用雜凑函數Μ%將封包之標頭 111095 11 201031141 資訊40轉換為鍵值1至鍵值4。 接著,由比對器41搜尋到符合該封包之位址值之記 - 憶體單元42的位址值421,並取出位址值421中之資訊 422a及資訊422b進行比對。 將封包之鍵值1與資訊422a内之第一筆資料以及與 資訊422b内之第一筆資料進行比對,若符合,則進行該封 包之狀態資料比對,若不符合則將該封包之鍵值存入位址 值421内或於位址值421已滿時存入内容定址記憶體43, 若封包之狀態比對符合,則持續進行交握或進行傳輸連 線,若封包之狀態比對不符合,則將該封包之鍵值2與資 訊422a内之第二筆資料與資訊422b内之第二筆資料進行 比對,以此類推,直到鍵值4比對完成且封包狀態也不符 合時,將該封包丟棄。 因為雜凑函數H!至H4具有獨立性(independence),同 一封包以不同之雜湊函數不會計算出相同之位址值421, ❹ 但是不同之封包以相同之雜湊函數則可能會計算出相同之 位址值421,因此本發明於一記憶體單元42之位址值421 内設有多個資訊422a〜422b,而每一筆資訊422代表一個 封包紀錄,以供封包之鍵值比對,以降低因不同的封包對 應到同一位址值421而無法連線之機率,並在位址值421 之資訊422内設有多筆資料(在此為予以圖示),以供該封 包於鍵值1比對成功後,且在進行封包狀態比對不符合 時,取出該封包之鍵值2再次與資訊422之内容進行比對, 以降低了無法連線之機率,因此,本發明之檢測裝置加快 12 111095 201031141 :封包檢測之速度以及減少記憶體佔有之空間,此外,於 肉t!之封包核測裝置設置有一内容定址記憶體43,由於 斜地=礼體43具有快速比對雜湊函數值之特性但相 :地知格昂貴,所以本發明僅於該記憶體單元42中之位址 切已滿_存該封包之鍵值且於記㈣單元A)中搜尋 不到相同鍵值時搜尋内容 Ο 封包,及維持Si:::憶體A以更快速地進行 之流程:閱:封31: ’其用以表示本發明之封包檢測方法 對話處理模組之:包應用於具有延遲處理模組與 ^圖所示’本發明之封包檢測方法係包括以下步驟: 過雜凑延遲處理模組於TCP層交握時透 數值並進行比對包之標頭資訊轉換為雜凑函 著進至步驟S22。 雜凑函數值為位址值與鍵值。接 函數ZS22巾’軌憶料元巾衫具有相同之雜渗 對下一封包進行檢測。 ;乂驟S24中,將該封包與對應兮 狀態進行比對。接著進至步驟奶。…、、連線之 後之S25巾’該封包是否符合對應該封包之對·^連 之若是,則進至步驟以,若否,則進至奶 :步驟S26中,令該延遲處理模組持續進行交握或將 111095 201031141
該封包傳至該對話處理模組以建立傳輸連線,其中,於TCP - 層傳輸結束時,將該封包於該對話處理模組中刪除。 - 於步驟S27中,丟棄該封包。 請參閱第3B圖,為前述步驟S21與步驟S22之詳細 運作流程,用以表示本發明之封包檢測方法中進行雜湊函 數值比對之流程圖。如圖所示,首先執行步驟S31,將該 封包之標頭資訊以雜湊函數轉換為位址值。接著進至步驟 S32 ° 於步驟S32中,將該封包之標頭資訊以雜湊函數轉換 為鍵值。接著進至步驟S33。 於步驟S33中,將該位址值内之資訊與該封包之鍵值 進行比對。接著進至步驟S34。 於步驟S34中,該位址值内之資訊是否與該封包之鍵 值相同,若是,則進至步驟S35,若否,則進至步驟S36。 於步驟S35中,進行封包狀態比對以及封包篩選。 ❹ 於步驟S36中,將該封包之鍵值存入該位址值。 透過上述實施例得以瞭解,本發明之封包檢測方法利 用雜湊函數將封包之標頭資訊轉換成位址值及鍵值,以於 記憶體單元中進行快速比對,俾增加封包檢測速度以及減 少記憶體佔用空間,進而抵擋網路惡意封包攻擊。 請參閱第4圖,其係本發明之封包檢測裝置及方法之 應用實施例示意圖。於本實施例中,本發明之封包檢測裝 置係加載於擷取封包之網路設備,係用以當一封包進入具 有延遲處理模組及對話處理模組之封包檢測裝置時,對該 14 111095 201031141 封包之儲存、比對及篩選。 - 於本發明之封包檢測裝置收到一封包時,將該封包之 - 標頭資訊轉換為位址值以及鍵值,以定址到延遲處理模組 之記憶體單元之位址值,再對該位址值内之資訊進行比 對,若該延遲處理模組之記憶體單元中無對應於該封包之 資訊,則於該對話處理模組中再進行比對,若無對應於該 封包之資訊,則判斷該封包是否為SYN封包,若否,則丟 掉並紀錄該封包,若該封包為SYN封包,則由存取規則表 ® 判斷是否接受該封包,若不接受則丟棄並紀錄該封包,若 接受則將該封包存入該延遲處理模組之記憶體單元以建立 對話連線,其中,若本發明之封包檢測裝置接收到一 SYN 封包,但在該延遲處理模組之記憶體單元中尚有未完成之 對應於該封包之交握對話,則丟棄及紀錄該封包。 若於該延遲處理模組之記憶體單元中有對應於該封 包之資訊,則再於該對話處理模組之記憶體單元中進行比 ❿ 對,若於該對話處理模組之記憶體單元中有對應於該封包 之資訊,則丟棄及紀錄該封包,若於該對話處理模組之記 憶體單元中無對應於該封包之資訊,則進行封包狀態比 對,若比對不符合則丟棄及紀錄該封包,若比對符合,則 判斷該封包為SYN/ACK封包或ACK封包,若兩者都不 是,則丟棄及紀錄該封包,若為SYN/ACK封包,則令該 延遲處理模組持續進行交握,若為ACK封包,則將該封 包從該延遲處理模組之記憶體單元中刪除並存入該對話處 理模組之記憶體單元以建立傳輸連線。 15 111095 201031141 若於該延遲處理模組之記憶體單元中無對應於該封 包之資訊且於該對話處理模組之記憶體單元中有對應於該 - 封包之資訊,則進行封包狀態比對,若該封包狀態符合, 則更新對應於該封包之對話連線之狀態,若該封包狀態不 符合則丟棄及紀錄該封包。 因此,透過前述之封包檢測裝置與方法,可達到以下 功效: (1) 增加封包檢測速度。透過利用雜湊函數將封包之 標頭資訊轉換成位址值及鍵值且並進行與記憶體中之資訊 比對,解決了習知技術中線性比對之時間過長的缺點而加 快封包檢測之速度。 (2) 減少記憶體佔用空間。透過利用雜湊函數將封包 之標頭資訊轉換成位址值及鍵值並進行比對,解決了習知 技術中樹狀比對之佔用記憶體空間的缺點。 (3) 降低成本。透過利用雜湊函數將封包之標頭資訊 ❹轉換成位址值及鍵值且進行比對以儲存封包狀態建立連 線,只於延遲處理模組之記憶體單元已滿時將封包之鍵值 存入内容定址記憶體,解決了習知技術中以高價格之内容 定址記憶體作為主記憶體之缺點。 上述實施例僅例示性說明本發明之原理及功效,而非 用於限制本發明。任何熟習此項技術之人士均可在不違背 本發明之精神及範疇下,對上述實施例進行修飾與改變。 因此,本發明之權利保護範圍,應如後述之申請專利範圍 所列。 16 111095 201031141 【圖式簡單說明】 第1圖係本發明之封包檢測裝置之架構示意圖; 第2A圖係本發明之封包檢測震置中雜凑函數以 及記憶體單元進行雜湊函數值比對之示意圖; 〃第2B圖係本發明之封包檢測裳置中雜凑函數元件進 订鍵值轉換之示意圖; 第3A圖係本發明之封包檢測方法之流程圖;
第3B圖係本發明之封包檢測方法中進行雜湊函數值 比對之流程圖;以及 一第4圖係本發明之封包檢測裝置及方法之應用實施例 示意圖。 【主要元件符號說明】 1 封包檢測裝置 11 延遲處理模組 111 雜凑函數單元 112 記憶體單元 12 對话處理模組 2 用戶端裝置 3 伺服器 40 封包之標頭資訊 41 雜凑函數單元 411 第一函數轉換器 412 第二函數轉換器 4121 雜凑函數元件 17 111095 201031141 413 比對器 42 記憶體單元 421 位址值 422a〜422b 位址值之資訊 43 内容定址記憶體 S21-S27 步驟 S31-S36 步驟
】8 111095
Claims (1)
- 201031141 七、申請專利範圍: 1. 一種封包檢測裝置,係應用於擷取封包之網路設備, 用以對網路封包進行狀態檢測,該封包檢測裝置係包 括: 魯 ⑩ 2. 延遲處理模組,係用以於Tcp層交握時,對該封 包進行儲存、比對以及筛選,該延遲處理模組包括 以將資訊轉換為雜湊函數值之雜湊函數單元與用以儲 存該雜湊函數值之記憶體單元,其中,該延遲處理模 ^雜湊函數單秘該封包之標頭資訊轉換為雜凑函 2 =行雜凑函數值比對’若該記憶體單元所儲存 貝料與該雜凑函數單元所轉換之雜凑函數值不相 =則將該雜凑函數值存人該記憶體單心建立一對 ,連線’若該記憶料搞料之資料與該 數值相同,則進行封包:二 封筛選之 如申請專利範圍第〗項之封包檢測 話處理模組復包括帛 、/、中,該對 之雜、奏子重” 封包資訊轉換為雜凑函數值 單,數W該雜凑函數值之: 如申凊專利範圍第】項 遲處理模組係依據封= 置’其中,該延 若狀態不符合,料㈣;果知封包篩選, 棄销包,若狀態符合,則使該 U1095 19 3. 201031141 延遲處理模組繼續進行交握或將該封包傳予該對話處 理模組以建立該傳輸連線。 -4.如申請專利範圍第1或3項之封包檢測裝置,其中, 該封包狀態之比對方式為狀態追蹤、封包存活期間追 蹤、以及序列追蹤及/或確認追蹤。 5.如申請專利範圍第1項之封包檢測裝置,其中,該延 遲處理模組依據所接收之SYN封包、SYN/ACK封包 或ACK封包進行三方交握。 ® 6.如申請專利範圍第1項之封包檢測裝置,其中,該雜 湊函數單元復包括: 第一函數轉換器,係用以將該封包之標頭資訊轉 換為位址值; 第二函數轉換器,係用以將該封包之標頭資訊轉 換為鍵值; 比對器,係用以取出該記憶體單元中之位址值内 〇 之資訊與該封包之鍵值依序進行比對,若不相同,則 將該鍵值存入該位址值,若相同,則進行封包狀態比 對以及封包篩選。 7. 如申請專利範圍第6項之封包檢測裝置,其中,該延 遲模組復包括内容定址記憶體(content addressable memory,CAM),係用以於該記憶體單元中之位址值之 資訊已滿時儲存該封包之鍵值。 8. 如申請專利範圍第7項之封包檢測裝置,其中,若該 記憶體單元中之位址值内的雜湊函數值與該封包之鍵 20 111095 201031141 值均不相同,則由該比對器取出該内容定址記憶體中 的資訊進行比對。 - 9.如申請專利範圍第7項之封包檢測裝置,其中,該第 二函數轉換器係具有複數個用以將該封包之標頭資訊 轉換為鍵值之雜湊函數元件。 10. 如申請專利範圍第1或6項之封包檢測裝置,其中, 該封包之標頭資訊為來源IP、來源port、目的地IP以 及目的地port。 11. 一種封包檢測方法,係應用於具有延遲處理模組與對 話處理模組之封包檢測裝置,該封包檢測方法係包括 以下步驟: (1) 令該延遲處理模組於TCP層交握時透過雜湊函 數單元將所接收到封包之標頭資訊轉換為雜湊函數值 並進行比對,若記憶體單元所儲存之資料與該雜湊函 數單元所轉換之雜湊函數值不相同,進至步驟(2),若 ❿ 該記憶體單元所儲存之資料與該雜湊函數單元所轉換 之雜湊函數值相同,進至步驟(3); (2) 令該延遲模組建立一對話連線,接著返回步驟 (1)對下一封包進行檢測; (3) 將該封包與對應該封包之對話連線之狀態進行 比對,若狀態不符合,則丟棄該封包,若狀態符合, 則進至步驟(4);以及 (4) 令該延遲處理模組持續進行交握或將該封包傳 至該對話處理模組以建立傳輸連線。 111095 201031141 其中,步驟 12.如申請專利範圍第1 1 0)復包括: 奴封包檢測方法, 值; (M)將該封包之標頭資訊以 雜凑函數轉換為位址 (1-2)將該封包之標頭資訊 值;以及 以雜湊函數轉換為鍵13. (·)將該位址值内之資訊與該封包之鍵值進行比 j,若該不相同,則將該封包之鍵值存人該位址值, 右相同’料行封包狀態比對以及封包筛選。 2請專·圍第12項之封包_方法,其中,於步 中,將封包之標頭資訊以複數個雜凑函數轉換 苟硬數個鍵值。 14.如申请專利範圍第12項之封包檢測方法, -1.-» ,. 开T ’於該 3己‘L、體單元中之位址值之.資訊已滿時值儲存於㈣定祕㈣。 軸包之鍵 111095 22
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW098103466A TW201031141A (en) | 2009-02-04 | 2009-02-04 | Packets inspection device and method |
US12/414,033 US8374185B2 (en) | 2009-02-04 | 2009-03-30 | Packet inspection device and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW098103466A TW201031141A (en) | 2009-02-04 | 2009-02-04 | Packets inspection device and method |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201031141A true TW201031141A (en) | 2010-08-16 |
Family
ID=42397653
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW098103466A TW201031141A (en) | 2009-02-04 | 2009-02-04 | Packets inspection device and method |
Country Status (2)
Country | Link |
---|---|
US (1) | US8374185B2 (zh) |
TW (1) | TW201031141A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI630817B (zh) * | 2014-05-08 | 2018-07-21 | 美商萊迪思半導體公司 | 由信號源裝置對內容進行編碼之方法、信號源裝置及其非暫態電腦可讀媒體 |
TWI813482B (zh) * | 2022-09-22 | 2023-08-21 | 瑞昱半導體股份有限公司 | 測速方法及測速系統 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9100320B2 (en) | 2011-12-30 | 2015-08-04 | Bmc Software, Inc. | Monitoring network performance remotely |
US9197606B2 (en) | 2012-03-28 | 2015-11-24 | Bmc Software, Inc. | Monitoring network performance of encrypted communications |
CN103369002B (zh) * | 2012-03-30 | 2018-03-27 | 腾讯科技(深圳)有限公司 | 一种资源下载的方法及系统 |
CN104735060B (zh) * | 2015-03-09 | 2018-02-09 | 清华大学 | 路由器及其数据平面信息的验证方法和验证装置 |
US10536549B2 (en) * | 2015-12-15 | 2020-01-14 | Nxp Usa, Inc. | Method and apparatus to accelerate session creation using historical session cache |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3643507B2 (ja) * | 1999-09-20 | 2005-04-27 | 株式会社東芝 | パケット処理装置及びパケット処理方法 |
US7324514B1 (en) * | 2000-01-14 | 2008-01-29 | Cisco Technology, Inc. | Implementing access control lists using a balanced hash table of access control list binary comparison trees |
US20020038373A1 (en) * | 2000-07-21 | 2002-03-28 | John Border | Method and system for improving network performance enhancing proxy architecture with gateway redundancy |
US6904040B2 (en) * | 2001-10-05 | 2005-06-07 | International Business Machines Corporaiton | Packet preprocessing interface for multiprocessor network handler |
US7116664B2 (en) * | 2002-05-13 | 2006-10-03 | International Business Machines Corporation | Lookups by collisionless direct tables and CAMs |
US7373663B2 (en) * | 2002-05-31 | 2008-05-13 | Alcatel Canada Inc. | Secret hashing for TCP SYN/FIN correspondence |
US7385924B1 (en) * | 2003-09-30 | 2008-06-10 | Packeteer, Inc. | Enhanced flow data records including traffic type data |
US7664048B1 (en) * | 2003-11-24 | 2010-02-16 | Packeteer, Inc. | Heuristic behavior pattern matching of data flows in enhanced network traffic classification |
US7843843B1 (en) * | 2004-03-29 | 2010-11-30 | Packeteer, Inc. | Adaptive, application-aware selection of differntiated network services |
US7778194B1 (en) * | 2004-08-13 | 2010-08-17 | Packeteer, Inc. | Examination of connection handshake to enhance classification of encrypted network traffic |
US7554983B1 (en) * | 2004-12-20 | 2009-06-30 | Packeteer, Inc. | Probing hosts against network application profiles to facilitate classification of network traffic |
US7742406B1 (en) * | 2004-12-20 | 2010-06-22 | Packeteer, Inc. | Coordinated environment for classification and control of network traffic |
US7577151B2 (en) * | 2005-04-01 | 2009-08-18 | International Business Machines Corporation | Method and apparatus for providing a network connection table |
US7580356B1 (en) * | 2005-06-24 | 2009-08-25 | Packeteer, Inc. | Method and system for dynamically capturing flow traffic data |
US7639613B1 (en) * | 2005-06-24 | 2009-12-29 | Packeteer, Inc. | Adaptive, flow-based network traffic measurement and monitoring system |
US8082359B2 (en) * | 2009-12-23 | 2011-12-20 | Citrix Systems, Inc. | Systems and methods for determining a good RSS key |
-
2009
- 2009-02-04 TW TW098103466A patent/TW201031141A/zh unknown
- 2009-03-30 US US12/414,033 patent/US8374185B2/en active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI630817B (zh) * | 2014-05-08 | 2018-07-21 | 美商萊迪思半導體公司 | 由信號源裝置對內容進行編碼之方法、信號源裝置及其非暫態電腦可讀媒體 |
TWI813482B (zh) * | 2022-09-22 | 2023-08-21 | 瑞昱半導體股份有限公司 | 測速方法及測速系統 |
Also Published As
Publication number | Publication date |
---|---|
US20100195513A1 (en) | 2010-08-05 |
US8374185B2 (en) | 2013-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW201031141A (en) | Packets inspection device and method | |
Guha et al. | Characterization and measurement of tcp traversal through nats and firewalls | |
KR101745624B1 (ko) | 실시간 스팸 탐색 시스템 | |
CN113228583B (zh) | 具有受信源的会话成熟度模型 | |
US20080225874A1 (en) | Stateful packet filter and table management method thereof | |
WO2017050117A1 (zh) | 网络负载均衡处理系统及其方法和装置 | |
WO2014101758A1 (zh) | 一种检测邮件攻击的方法、装置及设备 | |
EP1386464A2 (en) | Dynamic packet filter utilizing session tracking | |
TW201141166A (en) | Systems and methods for preemptive DNS resolution | |
US9998373B2 (en) | Data routing acceleration | |
EP1966977A1 (en) | Method and system for secure communication between a public network and a local network | |
KR20090006838A (ko) | 악의적 공격 검출 시스템 및 이에 연계된 유용한 방법 | |
WO2010063228A1 (zh) | 防御域名系统欺骗攻击的方法及装置 | |
JP2009152953A (ja) | ゲートウェイ装置およびパケット転送方法 | |
JP2014534781A (ja) | 通信ネットワークにおける配送ルート変化に基づくパケットオーダリング | |
WO2008131658A1 (fr) | Procédé et dispositif pour fureter le dhcp | |
JP2013246820A (ja) | ハードウェア支援によりhttpヘッダを処理する方法 | |
WO2010022653A1 (zh) | 一种传输文件的检测方法及终端 | |
US20080219162A1 (en) | Method and system for controlling network access on a per-flow basis | |
WO2011032321A1 (zh) | 一种数据转发方法、数据处理方法、系统以及相关设备 | |
JP2007013262A (ja) | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 | |
TWI448129B (zh) | According to the behavior of the network address translator to establish a transmission control protocol connection method | |
WO2006083052A1 (en) | Method for providing function of registering in session initiation protocol and sip load balancer of enabling the method | |
WO2013000413A1 (zh) | 一种文件传输方法及设备 | |
WO2014101432A1 (zh) | 数据包的处理方法及后台服务器 |