TW201031141A - Packets inspection device and method - Google Patents

Description

201031141 六、發明說明： - 【發明所屬之技術領域】 - 本發明係關於一種封包檢測裝置及方法，更詳而言 之，係關於一種應用於擷取封包之網路設備，用以進行封 包狀態檢測之封包檢測裝置及方法。 【先前技術】 傳輸控制協定（Transmission Control Protocol，TCP)以 及網際網路協定（Internet Protocol，IP)為網際網路的重要

A 通訊協定，可使不同的電腦設備與作業環境透過通訊協定 來互通信息，而資料在TCP/IP上是以封包的形式來傳送。 於TCP層進行資料傳輸時，必須先建立起兩者之間的 連線關係，TCP層連線的建立是透過帶有連線控制訊息的 封包在兩端主機間傳遞，再藉由TCP封包標頭(Header)資 訊和狀態機制（State machine)的檢測，經一番交談(Session) 後，發送端與接收端進入連線狀態。經由此連線請求、連 ❺ 線確認、連線成功的程序，便形成了三方交握（3-way handshaking)。 隨著網路攻擊的數量與複雜度與日俱增，其中最流行 的網路攻擊之一為 SYN(Synchrony)、SYN/ACK、 ACK(Acknowledge) DoS attack(拒絕服務攻擊），例如 SYN 洪流攻擊(Flooding Attack)，伺服器在接收到用戶端發送之 SYN封包後發出SYN/ACK封包，卻一直無法收到用戶端 的ACK封包，在這種情況下伺服器會再次發送SYN/ACK 封包給用戶端並等待一段時間後丢棄（drop)這個未完成的 4 111095 201031141 連接，如果惡意地大量發送SYN封包，祠服器端將為了維 * 護一個非常大的半連線狀態而消耗CPU資源和記憶體。 . 目前習知技術提出了狀態檢查機制（Stateful

Inspection Module Architecture)，其方法為紀錄封包流的狀 態，於封包紀錄表中搜尋封包流的狀態紀錄，以判斷進入 的封包是否為正常的封包，而搜尋資料的方法分為下列三 種：一種從資料的第1筆資料開始比較，從頭到尾以確認 資料是否存在，例如：線性搜尋法，一種為使用樹狀結構 搜尋法，例如樹狀資料結構(AVL Tree)，另一種為在硬體 方面的改善，例如增加一個内容定址記憶體（Content Address Momery,CAM)。 然而，上述習知技術存在以下問題： (1)封包檢測速度慢。於檢測封包狀態時，利用線性 搜尋法搜尋連線紀錄，使插入封包狀態和更新封包狀態時 所搜尋的時間與連線紀錄成正比。 φ (2)佔用記憶體空間多。利用樹狀結構搜尋法可加快 速度’相對而言’也佔用了記憶體儲存空間。 (3)成本高。利用内容定址記憶體雖可快速地進行封 包檢測以及減少佔用記憶體空間，但是缺點為成本昂貴而 無法普及使用。 綜上所述’如何能提供一種封包檢測裝置及方法，能 快速檢測封包狀態、減少佔用記憶體空間以及降低成本’ 以抵擋網路惡意封包攻擊，遂成為目前亟待解決的課題。 【發明内容】 5 111095 201031141 鑑於上述習知技術之缺點，本發明提供—種封包檢測 .顧賴齡封包^料備，軸包檢測裝置係 -^括=遲處理模組’係以於Tcp層交握時，對該封包 比對以及筛選，該延遲處理模組係包括用以將 函數值之記《單==單元與用以儲存該雜凑 處理模組所筛選之封包建立組’係依據該延遲 ❹ 理模組之雜凑函數單元將特，輪連線，其中，該延遲處 數值並進行雜凑函數值二封;=資訊轉換為雜凑函 料與該雜湊函數單元所轉換之雜=己憶體單元所儲存之資 雜凑函數值存入讀記憶體單元以建2值不相同，則將該 憶體單元所儲存之資 立—對話連線’若該記 數值相同，則進行封包d單元所轉換之雜凑函 本發明另提供一種封包^包筛選。 處理模組與對話處理模組之封包^=，係應用於具有延遲 法係包括以下步驟：⑴令該 置，該封包檢測方 透過雜凑函數單元蔣所接处理模組於TCP層交握時 函數值並進行比對，若記憶體票頭資訊轉換為雜湊 函數單元所轉換之雜湊函數值不相同斤儲存之資料與該雜湊 函數值相同，進至步驟數單元所轉換之雜泰 線，進至步驟⑷项將該封包與;;==組建立對話連 狀態進行比對，者狀態不符合=封包之對話連線之 合，則進至步驟(4);以及(4)令該延=該封包，若狀態符 义處理模組持續進行交 111095 6 201031141 握或將該封包傳至該對話處理模組以建立傳輸連線。 - 於一較佳態樣中，步驟（1)復包括：（1-1)將該封包之標 . 頭資訊以雜湊函數轉換為位址值；（1-2)將該封包之標頭資 訊以雜湊函數轉換為鍵值；以及（1·3)將該位址值内之資訊 與該封包之鍵值進行比對，若該不相同，則將該封包之鍵 值存入該位址值，若相同，則進行封包狀態比對以及封包 篩選。 相較於習知技術，本發明利用設置於封包檢測裝置之 m 延遲處理模組之雜湊函數單元將封包標頭資訊轉換為雜湊 函數值，並與延遲處理模組之記憶體單元進行雜湊函數值 比對，再進行與對應該封包之對話連線之狀態進行比對， 經由對話處理模組依據該延遲處理模組所筛選之封包建立 傳輸連線，進而抵擋網路惡意封包攻擊。 因此，本發明之封包檢測裝置及方法具有增加封包狀 態檢測速度、減少記憶體佔用空間以及降低成本之功效， © 得以解決習知技術中封包檢測之既有的缺點。 【實施方式】 以下係藉由特定的具體實施例說明本發明之實施方 式，熟悉此技術之人士可由本說明書所揭示之内容輕易地 了解本發明之其他優點與功效。本發明亦可藉由其他不同 的具體實施例加以施行或應用，本說明書中的各項細節亦 可基於不同觀點與應用，在不悖離本發明之精神下進行各 種修飾與變更。 以下實施例係近一步詳細說明本發明之觀點，但並非 7 111095 201031141 以任何觀點限制本發明之範轉。 ' 请參閱第1圖，係表示本發明之封包檢測裝置之‘構 • 示意圖。如圖所示，本發明之封包檢測裝置1係設置於擷 取封包之網路設備（在此未予以圖示），其中，網路設備係 作為電腦設備連接網際網路的媒介。於本實施例中’用戶 端裝置2與飼服器3透過網路設備連接網際網路，而網路 設備可為交換設備、傳輸設備、寬頻接取設備、區域網路 設備、寬頻網路應用設備及/或用戶端設備。 ® 用戶端設備可為數據機(Modem)，有線區域網路設備 可為網卡（NIC)或集線器（Hub)，交換設備可為交換機 (switch)或路由器（router)。 本發明之封包檢測裝置1包括延遲處理模組11以及 對話處理模組12。 延遲(Pending)處理模組11，係用以於傳輸控制協定 TCP層進行三方交握時，對該封包進行儲存、比對以及薛 ❹選。 對話（Session)處理模組12，係依據延遲處理模組u 所篩選之封包建立傳輸連線。 延遲處理模組11復包括雜湊函數單元111以及I己情 體單元112。 雜湊函數單元111，係用以將資訊轉換為雜凑函數 (Hashing function)值。 記憶體單元112，係用以儲存該雜湊函數值。 具體實施時，首先，延遲處理模組11接收到用戶端 111095 8 201031141 裝置2所4送之—SYN封包，利用存取規則表（a⑽μ Control+List’ ACL)(在此未予以圖式）判斷是否接受該syn 封包，。若不接收料棄(Dn)p)。接受該 SYN封包後，雜湊 函數早兀111將該SYN封包之標财訊轉換為雜凑函數值 並進行雜凑0數值比對，若記憶體單元⑴中無相同之雜 湊函數值’則將該SYN封包存人記憶體單元ιι2中以建立 對話連線右n己憶體單元ln中有相同之雜凑函數值，則

將該SYN爿包料飼服器3並將連線狀態更新為等待 SYN/ACK封包之狀態。 接著（遲處理模組u在接收到伺服器3所發送之 SYN/ACK封包’雜凑函數單元lu將該syn/ack封包之 才示頭資訊#換為雜溱函數值並進行雜凑函數值比對，若記 k體單元112中無相同之雜湊函數值，則將該sYN/ACK 封包丢茱’若記憶體單元112中有相同之雜凑函數值，則 將SYN/ACK封包傳予用戶端裝置2並將連線狀態更新為 等待ACK封包之狀態。 最後’延遲處理模組11在接收到用戶端裝置2所發 送之ACK封包’雜湊函數單元111將該ACK封包之標頭 資訊轉換為雜湊函數值並進行雜湊函數值比對，若記憶體 單元112中無相同之雜湊函數值，則丢棄該ACK封包， 若記憶體單元112中有相同之雜湊函數值，則將該ACK 封包傳至對話處理模組12以建立傳輸連線，並於TCP層 傳輸結束時’將該ACK封包從對話處理模組12中刪除。 其中，若進行比對的時間值（Timestamp)超過一特定值 9 111095 201031141 (Threshold)，則刪除逾時的封包以接受新的封包。 • 請參閱第2A圖，其係本發明之封包檢測裝置之雜湊 . 函數單元以及記憶體單元之進行雜湊函數值比對之示意 圖，如圖所示，雜湊函數單元41係包括第一函數轉換器 411、第二函數轉換器412以及比對器413，記憶體單元42 係用以儲存位址值42卜位址值之資訊422a以及422b，其 中，資訊422a與資訊422b之資訊係不相同，且每一筆資 訊代表一個封包連線紀錄。 封包之標頭資訊40為來源IP、來源port、目的地IP 以及目的地port。 第一函數轉換器411，係用以將該封包之標頭資訊40 以一雜湊函數轉換為位址值。 第二函數轉換器412，係用以將該封包之標頭資訊40 以另一雜湊函數轉換為鍵值。 比對器413，係用以取出記憶體單元42中之位址值 φ 421内之資訊422a以及422b與該封包之鍵值依序進行比 對，若不相同，則將該鍵值存入該位址值421，若相同， 則進行封包狀態比對以及封包篩選。 本發明之封包檢測裝置復包括内容定址記憶體 43(content addressable memory, CAM)，係用以於記憶體單 元42中之位址值421已滿時儲存該封包之鍵值。 具體實施時，首先，延遲處理模組於接到一封包時， 第一函數轉換器411將封包之標頭資訊40轉換為位址值， 且第二函數轉換器412將封包之標頭資訊40轉換為鍵值， 10 111095 201031141 接著’由比對器413於記憶體單元42中找到符合該封包之 '位址值421 ’並將封包之鍵值與位址值421内之資訊422a ’ 及422b進行比對’若資訊422a及資訊422b之其中之一資 訊是空的且另一資訊是不相同的，則將封包之鍵值存入該 位址值421内’若皆不相同且資訊422a及資訊422b已滿 時’將該封包之鍵值存入内容定址記憶體43中，以等待 接收下一個封包’若資訊422a及資訊422b之其中之一資 ❹δΤΙ與封包之鍵值相同時，則進行封包狀態之比對，若狀態 符合，則令延遲處理模組持續進行交握或將該封包傳至對 話處理模組以建立傳輸連線，若狀態不符合，則將該封包 丢棄。 上述封包狀態之比對方法為狀態追蹤（state tracking)、封包存活期間（Time τ〇 Live，TTL)追縱、以及序 列追蹤（Sequence tracking)及 / 或確認追蹤（Ackn〇wledge tracking)。 叫參閱第2B圖，係用以表示本發明之封包檢測裝置 之雜湊函數元件之轉換鍵值示意圖。本發明之封包檢測裝 ^之較佳態樣為第二函數轉換器412復包括複數個雜凑函 ^件彻，於本實施例中，Hl至&為雜凑函數，· ==件4121係用以將封包之標頭資訊4〇以複數個相異 〈雜凑函數轉換為鍵值。 第一 且雜 具體實施時’首先’延遲處理模組於接 ^數轉換器411將封包之標頭資訊轉換為位址值， 凑函數兀件4丨21利用雜凑函數Μ%將封包之標頭 111095 11 201031141 資訊40轉換為鍵值1至鍵值4。 接著，由比對器41搜尋到符合該封包之位址值之記 - 憶體單元42的位址值421，並取出位址值421中之資訊 422a及資訊422b進行比對。 將封包之鍵值1與資訊422a内之第一筆資料以及與 資訊422b内之第一筆資料進行比對，若符合，則進行該封 包之狀態資料比對，若不符合則將該封包之鍵值存入位址 值421内或於位址值421已滿時存入内容定址記憶體43， 若封包之狀態比對符合，則持續進行交握或進行傳輸連 線，若封包之狀態比對不符合，則將該封包之鍵值2與資 訊422a内之第二筆資料與資訊422b内之第二筆資料進行 比對，以此類推，直到鍵值4比對完成且封包狀態也不符 合時，將該封包丟棄。 因為雜凑函數H!至H4具有獨立性（independence)，同 一封包以不同之雜湊函數不會計算出相同之位址值421， ❹ 但是不同之封包以相同之雜湊函數則可能會計算出相同之 位址值421，因此本發明於一記憶體單元42之位址值421 内設有多個資訊422a〜422b，而每一筆資訊422代表一個 封包紀錄，以供封包之鍵值比對，以降低因不同的封包對 應到同一位址值421而無法連線之機率，並在位址值421 之資訊422内設有多筆資料（在此為予以圖示），以供該封 包於鍵值1比對成功後，且在進行封包狀態比對不符合 時，取出該封包之鍵值2再次與資訊422之内容進行比對， 以降低了無法連線之機率，因此，本發明之檢測裝置加快 12 111095 201031141 :封包檢測之速度以及減少記憶體佔有之空間，此外，於 肉t!之封包核測裝置設置有一内容定址記憶體43，由於 斜地=礼體43具有快速比對雜湊函數值之特性但相 :地知格昂貴，所以本發明僅於該記憶體單元42中之位址 切已滿_存該封包之鍵值且於記㈣單元A)中搜尋 不到相同鍵值時搜尋内容 Ο 封包，及維持Si:::憶體A以更快速地進行 之流程：閱:封31: ’其用以表示本發明之封包檢測方法 對話處理模組之:包應用於具有延遲處理模組與 ^圖所示’本發明之封包檢測方法係包括以下步驟： 過雜凑延遲處理模組於TCP層交握時透 數值並進行比對包之標頭資訊轉換為雜凑函 著進至步驟S22。 雜凑函數值為位址值與鍵值。接 函數ZS22巾’軌憶料元巾衫具有相同之雜渗 對下一封包進行檢測。 ;乂驟S24中，將該封包與對應兮 狀態進行比對。接著進至步驟奶。…、、連線之 後之S25巾’該封包是否符合對應該封包之對·^連 之若是，則進至步驟以，若否，則進至奶 :步驟S26中，令該延遲處理模組持續進行交握或將 111095 201031141

該封包傳至該對話處理模組以建立傳輸連線，其中，於TCP - 層傳輸結束時，將該封包於該對話處理模組中刪除。 - 於步驟S27中，丟棄該封包。 請參閱第3B圖，為前述步驟S21與步驟S22之詳細 運作流程，用以表示本發明之封包檢測方法中進行雜湊函 數值比對之流程圖。如圖所示，首先執行步驟S31，將該 封包之標頭資訊以雜湊函數轉換為位址值。接著進至步驟 S32 ° 於步驟S32中，將該封包之標頭資訊以雜湊函數轉換 為鍵值。接著進至步驟S33。 於步驟S33中，將該位址值内之資訊與該封包之鍵值 進行比對。接著進至步驟S34。 於步驟S34中，該位址值内之資訊是否與該封包之鍵 值相同，若是，則進至步驟S35，若否，則進至步驟S36。 於步驟S35中，進行封包狀態比對以及封包篩選。 ❹ 於步驟S36中，將該封包之鍵值存入該位址值。 透過上述實施例得以瞭解，本發明之封包檢測方法利 用雜湊函數將封包之標頭資訊轉換成位址值及鍵值，以於 記憶體單元中進行快速比對，俾增加封包檢測速度以及減 少記憶體佔用空間，進而抵擋網路惡意封包攻擊。 請參閱第4圖，其係本發明之封包檢測裝置及方法之 應用實施例示意圖。於本實施例中，本發明之封包檢測裝 置係加載於擷取封包之網路設備，係用以當一封包進入具 有延遲處理模組及對話處理模組之封包檢測裝置時，對該 14 111095 201031141 封包之儲存、比對及篩選。 - 於本發明之封包檢測裝置收到一封包時，將該封包之 - 標頭資訊轉換為位址值以及鍵值，以定址到延遲處理模組 之記憶體單元之位址值，再對該位址值内之資訊進行比 對，若該延遲處理模組之記憶體單元中無對應於該封包之 資訊，則於該對話處理模組中再進行比對，若無對應於該 封包之資訊，則判斷該封包是否為SYN封包，若否，則丟 掉並紀錄該封包，若該封包為SYN封包，則由存取規則表 ® 判斷是否接受該封包，若不接受則丟棄並紀錄該封包，若 接受則將該封包存入該延遲處理模組之記憶體單元以建立 對話連線，其中，若本發明之封包檢測裝置接收到一 SYN 封包，但在該延遲處理模組之記憶體單元中尚有未完成之 對應於該封包之交握對話，則丟棄及紀錄該封包。 若於該延遲處理模組之記憶體單元中有對應於該封 包之資訊，則再於該對話處理模組之記憶體單元中進行比 ❿ 對，若於該對話處理模組之記憶體單元中有對應於該封包 之資訊，則丟棄及紀錄該封包，若於該對話處理模組之記 憶體單元中無對應於該封包之資訊，則進行封包狀態比 對，若比對不符合則丟棄及紀錄該封包，若比對符合，則 判斷該封包為SYN/ACK封包或ACK封包，若兩者都不 是，則丟棄及紀錄該封包，若為SYN/ACK封包，則令該 延遲處理模組持續進行交握，若為ACK封包，則將該封 包從該延遲處理模組之記憶體單元中刪除並存入該對話處 理模組之記憶體單元以建立傳輸連線。 15 111095 201031141 若於該延遲處理模組之記憶體單元中無對應於該封 包之資訊且於該對話處理模組之記憶體單元中有對應於該 - 封包之資訊，則進行封包狀態比對，若該封包狀態符合， 則更新對應於該封包之對話連線之狀態，若該封包狀態不 符合則丟棄及紀錄該封包。 因此，透過前述之封包檢測裝置與方法，可達到以下 功效： (1) 增加封包檢測速度。透過利用雜湊函數將封包之 標頭資訊轉換成位址值及鍵值且並進行與記憶體中之資訊 比對，解決了習知技術中線性比對之時間過長的缺點而加 快封包檢測之速度。 (2) 減少記憶體佔用空間。透過利用雜湊函數將封包 之標頭資訊轉換成位址值及鍵值並進行比對，解決了習知 技術中樹狀比對之佔用記憶體空間的缺點。 (3) 降低成本。透過利用雜湊函數將封包之標頭資訊 ❹轉換成位址值及鍵值且進行比對以儲存封包狀態建立連 線，只於延遲處理模組之記憶體單元已滿時將封包之鍵值 存入内容定址記憶體，解決了習知技術中以高價格之内容 定址記憶體作為主記憶體之缺點。 上述實施例僅例示性說明本發明之原理及功效，而非 用於限制本發明。任何熟習此項技術之人士均可在不違背 本發明之精神及範疇下，對上述實施例進行修飾與改變。 因此，本發明之權利保護範圍，應如後述之申請專利範圍 所列。 16 111095 201031141 【圖式簡單說明】 第1圖係本發明之封包檢測裝置之架構示意圖； 第2A圖係本發明之封包檢測震置中雜凑函數以 及記憶體單元進行雜湊函數值比對之示意圖； 〃第2B圖係本發明之封包檢測裳置中雜凑函數元件進 订鍵值轉換之示意圖； 第3A圖係本發明之封包檢測方法之流程圖；

第3B圖係本發明之封包檢測方法中進行雜湊函數值 比對之流程圖；以及 一第4圖係本發明之封包檢測裝置及方法之應用實施例 示意圖。 【主要元件符號說明】 1 封包檢測裝置 11 延遲處理模組 111 雜凑函數單元 112 記憶體單元 12 對话處理模組 2 用戶端裝置 3 伺服器 40 封包之標頭資訊 41 雜凑函數單元 411 第一函數轉換器 412 第二函數轉換器 4121 雜凑函數元件 17 111095 201031141 413 比對器 42 記憶體單元 421 位址值 422a〜422b 位址值之資訊 43 内容定址記憶體 S21-S27 步驟 S31-S36 步驟

】8 111095

Claims (1)

1. 201031141 七、申請專利範圍： 1. 一種封包檢測裝置，係應用於擷取封包之網路設備， 用以對網路封包進行狀態檢測，該封包檢測裝置係包 括： 魯 ⑩ 2. 延遲處理模組，係用以於Tcp層交握時，對該封 包進行儲存、比對以及筛選，該延遲處理模組包括 以將資訊轉換為雜湊函數值之雜湊函數單元與用以儲 存該雜湊函數值之記憶體單元，其中，該延遲處理模 ^雜湊函數單秘該封包之標頭資訊轉換為雜凑函 2 =行雜凑函數值比對’若該記憶體單元所儲存 貝料與該雜凑函數單元所轉換之雜凑函數值不相 =則將該雜凑函數值存人該記憶體單心建立一對 ，連線’若該記憶料搞料之資料與該 數值相同，則進行封包:二 封筛選之 如申請專利範圍第〗項之封包檢測 話處理模組復包括帛 、/、中，該對 之雜、奏子重” 封包資訊轉換為雜凑函數值 單，數W該雜凑函數值之： 如申凊專利範圍第】項 遲處理模組係依據封= 置’其中，該延 若狀態不符合，料㈣;果知封包篩選， 棄销包，若狀態符合，則使該 U1095 19 3. 201031141 延遲處理模組繼續進行交握或將該封包傳予該對話處 理模組以建立該傳輸連線。 -4.如申請專利範圍第1或3項之封包檢測裝置，其中， 該封包狀態之比對方式為狀態追蹤、封包存活期間追 蹤、以及序列追蹤及/或確認追蹤。 5.如申請專利範圍第1項之封包檢測裝置，其中，該延 遲處理模組依據所接收之SYN封包、SYN/ACK封包 或ACK封包進行三方交握。 ® 6.如申請專利範圍第1項之封包檢測裝置，其中，該雜 湊函數單元復包括： 第一函數轉換器，係用以將該封包之標頭資訊轉 換為位址值； 第二函數轉換器，係用以將該封包之標頭資訊轉 換為鍵值； 比對器，係用以取出該記憶體單元中之位址值内 〇 之資訊與該封包之鍵值依序進行比對，若不相同，則 將該鍵值存入該位址值，若相同，則進行封包狀態比 對以及封包篩選。 7. 如申請專利範圍第6項之封包檢測裝置，其中，該延 遲模組復包括内容定址記憶體（content addressable memory，CAM)，係用以於該記憶體單元中之位址值之 資訊已滿時儲存該封包之鍵值。 8. 如申請專利範圍第7項之封包檢測裝置，其中，若該 記憶體單元中之位址值内的雜湊函數值與該封包之鍵 20 111095 201031141 值均不相同，則由該比對器取出該内容定址記憶體中 的資訊進行比對。 - 9.如申請專利範圍第7項之封包檢測裝置，其中，該第 二函數轉換器係具有複數個用以將該封包之標頭資訊 轉換為鍵值之雜湊函數元件。 10. 如申請專利範圍第1或6項之封包檢測裝置，其中， 該封包之標頭資訊為來源IP、來源port、目的地IP以 及目的地port。 11. 一種封包檢測方法，係應用於具有延遲處理模組與對 話處理模組之封包檢測裝置，該封包檢測方法係包括 以下步驟： (1) 令該延遲處理模組於TCP層交握時透過雜湊函 數單元將所接收到封包之標頭資訊轉換為雜湊函數值 並進行比對，若記憶體單元所儲存之資料與該雜湊函 數單元所轉換之雜湊函數值不相同，進至步驟(2)，若 ❿ 該記憶體單元所儲存之資料與該雜湊函數單元所轉換 之雜湊函數值相同，進至步驟(3); (2) 令該延遲模組建立一對話連線，接著返回步驟 (1)對下一封包進行檢測； (3) 將該封包與對應該封包之對話連線之狀態進行 比對，若狀態不符合，則丟棄該封包，若狀態符合， 則進至步驟（4);以及 (4) 令該延遲處理模組持續進行交握或將該封包傳 至該對話處理模組以建立傳輸連線。 111095 201031141 其中，步驟 12.如申請專利範圍第1 1 0)復包括： 奴封包檢測方法， 值； (M)將該封包之標頭資訊以 雜凑函數轉換為位址 (1-2)將該封包之標頭資訊 值；以及 以雜湊函數轉換為鍵

   13. (·)將該位址值内之資訊與該封包之鍵值進行比 j，若該不相同，則將該封包之鍵值存人該位址值， 右相同’料行封包狀態比對以及封包筛選。 2請專·圍第12項之封包_方法，其中，於步 中，將封包之標頭資訊以複數個雜凑函數轉換 苟硬數個鍵值。 14.

   如申请專利範圍第12項之封包檢測方法， -1.-» ,. 开T ’於該 3己‘L、體單元中之位址值之.資訊已滿時值儲存於㈣定祕㈣。 軸包之鍵 111095 22