CN103491096A - 一种IPv6分片报文抗攻击重组方法及装置 - Google Patents
一种IPv6分片报文抗攻击重组方法及装置 Download PDFInfo
- Publication number
- CN103491096A CN103491096A CN201310455911.9A CN201310455911A CN103491096A CN 103491096 A CN103491096 A CN 103491096A CN 201310455911 A CN201310455911 A CN 201310455911A CN 103491096 A CN103491096 A CN 103491096A
- Authority
- CN
- China
- Prior art keywords
- fragment message
- fragment
- message
- length
- restructuring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种IPv6分片报文抗攻击重组方法,包括以下步骤:为操作***中的若干处理线程创建独立的内容空间;为每个分片报文预先分配小长度空间、中长度空间及大长度空间;记录接收到第一个分片报文时操作***的当前时间;每接收到一个分片报文,检查与该分片报文对应的分片报文重组队列所占的内存;扫描链表中最久未使用的分片报文重组队列;当分片报文重组队列中分片报文的数量达到分片报文最大数量或者分片报文重组队列中分片报文的平均长度小于分片报文最小平均长度,删除此分片报文重组队列中的所有分片报文;当全部分片报文接收完毕进行分片报文重组。本发明通过该策略使得网络安全设备或软件对IPv6分片报文的处理更合理、更高效,具有实用性。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种IPv6分片报文抗攻击重组方法及装置。
背景技术
MTU(Maximum Transmission Unit),即最大传输单元,是指某种通信协议层上允许通过的最大数据包的长度,通常此参数与硬件接口有关(如网卡、Modem、串口等)。
IPv4(RFC-791)与IPv6(RFC-2460)协议都允许分片,目的是可以将超过MTU的数据包在网络中传输,流程可以简要描述为:发送方将原始大数据包拆分成若干个小于MTU的分片包,同时在每个分片包的头部加上一些特殊标志和信息,接收端根据这些信息再将所有分片包,按规则重组成原始的数据包。
可以看出,IP层的分片和重组是一种经常发生的正常现象,但此特性一旦被别有用心的人恶意利用,则会对网络设备和主机造成很大影响,如增加目标机的CPU占用率、内存使用率、降低服务质量,甚至死机等。在实际网络流量中,针对IP分片的攻击多种多样,有大量分片个数的,有超大报文的,有错误偏移的等等,因此在IP分片重组时,预留攻击识别策略接口,可根据实际网络环境新增加相应的防护策略(一种或多种)是必要的。
目前,全球的IPv4地址资源已接近枯竭,新的IPv6协议有长达128位的巨大地址空间,而且还有更高效的报文头部设计、更安全、更好的服务质量、支持自动配置等优点,越来越多的网络设备开始支持并使用IPv6协议,对此,本文提出了一种基于抗攻击的IPv6分片重组方法。
发明内容
本发明所要解决的技术问题是提供一种多线程模式、保护***内存占用、具有攻击识别策略、尽可能减少内存申请/释放操作的IPv6分片报文抗攻击重组方法及装置。
本发明解决上述技术问题的技术方案如下:一种IPv6分片报文抗攻击重组方法,包括以下步骤:
步骤1:为操作***中的若干处理线程创建独立的内容空间,设定分片报文重组队列所占最大内存上限值及分片报文重组超时时间,设定分片报文重组队列中未重组完成的分片报文最大数量和分片报文重组队列中分片报文最小平均长度;
步骤2:为每个分片报文预先分配小长度空间、中长度空间及大长度空间三种长度的存储空间,从网络接收分片报文,如果收到的分片报文是当分片报文重组队列中第一个分片报文,转入步骤3,否则,转入步骤4;
步骤3:记录操作***的当前时间,转入步骤4;
步骤4:每接收到一个分片报文,检查与该分片报文对应的分片报文重组队列所占的内存,如果该分片报文所在的分片报文重组队列所占的内存超过最大内存上限值,删除链表中最久未使用的分片报文重组队列,转入步骤5,否则,直接转入步骤5;
步骤5:扫描链表中最久未使用的分片报文重组队列,如果该报文重组队列的重组时间超过了当前时间加上分片报文重组超时时间,删除该分片报文重组队列中的所有分片报文,转入步骤6,否则,直接转入步骤6;
步骤6:当分片报文重组队列中分片报文的数量达到分片报文最大数量或者分片报文重组队列中分片报文的平均长度小于分片报文最小平均长度,删除此分片报文重组队列中的所有分片报文;
步骤7:当全部分片报文接收完毕并完成分片报文重组后,将分片报文重组生成的报文数据包发送给上层协议模块。
本发明的有益效果是:本发明通过该策略使得网络安全设备或软件对IPv6分片报文的处理更合理、更高效,具有实用性。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述步骤2具体为:
当接收到的分片报文的总长度小于小长度空间时,将此分片报文存储于小长度空间;
当接收到的分片报文的总长度大于小长度空间、且小于中长度空间时,将此分片报文存储于中长度存储空间;
当接收到的分片报文的总长度大于中长度空间、且小于大长度空间时,将此分片报文存储于大长度存储空间。
进一步,一种IPv6分片报文抗攻击重组装置,包括设定模块,分配模块,记录模块,内存检测模块,时间检测模块,攻击检测模块和重组模块;
所述设定模块,用于为操作***中的若干处理线程创建独立的内容空间,设定分片报文重组队列所占最大内存上限值及分片报文重组超时时间,设定分片报文重组队列中未重组完成的分片报文最大数量和分片报文重组队列中分片报文最小平均长度;
所述分配模块,用于为每个分片报文预先分配小长度空间、中长度空间及大长度空间三种长度的存储空间,从网络接收分片报文,如果收到的分片报文是当分片报文重组队列中第一个分片报文,转入步骤3,否则,转入步骤4;
所述记录模块,用于记录操作***的当前时间,转入步骤4;
所述内存检测模块,用于每接收到一个分片报文,检查与该分片报文对应的分片报文重组队列所占的内存,如果该分片报文所在的分片报文重组队列所占的内存超过最大内存上限值,删除链表中最久未使用的分片报文重组队列,转入步骤5,否则,直接转入步骤5;
所述时间检测模块,用于扫描链表中最久未使用的分片报文重组队列,如果该报文重组队列的重组时间超过了当前时间加上分片报文重组超时时间,删除该分片报文重组队列中的所有分片报文,转入步骤6;
所述攻击检测模块,用于当分片报文重组队列中分片报文的数量达到分片报文最大数量或者分片报文重组队列中分片报文的平均长度小于分片报文最小平均长度,删除此分片报文重组队列中的所有分片报文;
所述重组模块,用于当全部分片报文接收完毕并完成分片报文重组后,将分片报文重组生成的报文数据包发送给上层协议模块。
进一步,所述分配模块进一步用于,当接收到的分片报文的总长度小于小长度空间时,将此分片报文存储于小长度空间;
当接收到的分片报文的总长度大于小长度空间、且小于中长度空间时,将此分片报文存储于中长度存储空间;
当接收到的分片报文的总长度大于中长度空间、且小于大长度空间时,将此分片报文存储于大长度存储空间。
附图说明
图1为本发明方法步骤流程图;
图2为本发明装置结构图。
附图中,各标号所代表的部件列表如下:
1、设定模块,2、分配模块,3、记录模块,4、内存检测模块,5、时间检测模块,6、攻击检测模块,7、重组模块。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,为本发明方法步骤流程图;图2为本发明装置结构图。
实施例1
一种IPv6分片报文抗攻击重组方法,包括以下步骤:
步骤1:为操作***中的若干处理线程创建独立的内容空间,设定分片报文重组队列所占最大内存上限值及分片报文重组超时时间,设定分片报文重组队列中未重组完成的分片报文最大数量和分片报文重组队列中分片报文最小平均长度;
步骤2:为每个分片报文预先分配小长度空间、中长度空间及大长度空间三种长度的存储空间,从网络接收分片报文,如果收到的分片报文是当分片报文重组队列中第一个分片报文,转入步骤3,否则,转入步骤4;
步骤3:记录操作***的当前时间,转入步骤4;
步骤4:每接收到一个分片报文,检查与该分片报文对应的分片报文重组队列所占的内存,如果该分片报文所在的分片报文重组队列所占的内存超过最大内存上限值,删除链表中最久未使用的分片报文重组队列,转入步骤5,否则,直接转入步骤5;
步骤5:扫描链表中最久未使用的分片报文重组队列,如果该报文重组队列的重组时间超过了当前时间加上分片报文重组超时时间,删除该分片报文重组队列中的所有分片报文,转入步骤6,否则,直接转入步骤6;
步骤6:当分片报文重组队列中分片报文的数量达到分片报文最大数量或者分片报文重组队列中分片报文的平均长度小于分片报文最小平均长度,删除此分片报文重组队列中的所有分片报文;
步骤7:当全部分片报文接收完毕并完成分片报文重组后,将分片报文重组生成的报文数据包发送给上层协议模块。
所述步骤2具体为:
当接收到的分片报文的总长度小于小长度空间时,将此分片报文存储于小长度空间;
当接收到的分片报文的总长度大于小长度空间、且小于中长度空间时,将此分片报文存储于中长度存储空间;
当接收到的分片报文的总长度大于中长度空间、且小于大长度空间时,将此分片报文存储于大长度存储空间。
一种IPv6分片报文抗攻击重组装置,包括设定模块1,分配模块2,记录模块3,内存检测模块4,时间检测模块5,攻击检测模块6和重组模块7;
所述设定模块1,用于为操作***中的若干处理线程创建独立的内容空间,设定分片报文重组队列所占最大内存上限值及分片报文重组超时时间,设定分片报文重组队列中未重组完成的分片报文最大数量和分片报文重组队列中分片报文最小平均长度;
所述分配模块2,用于为每个分片报文预先分配小长度空间、中长度空间及大长度空间三种长度的存储空间,从网络接收分片报文,如果收到的分片报文是当分片报文重组队列中第一个分片报文,转入步骤3,否则,转入步骤4;
所述记录模块3,记录操作***的当前时间,转入步骤4;
所述内存检测模块4,用于每接收到一个分片报文,检查与该分片报文对应的分片报文重组队列所占的内存,如果该分片报文所在的分片报文重组队列所占的内存超过最大内存上限值,删除链表中最久未使用的分片报文重组队列,转入步骤5,否则,直接转入步骤5;
所述时间检测模块5,用于扫描链表中最久未使用的分片报文重组队列,如果该报文重组队列的重组时间超过了当前时间加上分片报文重组超时时间,删除该分片报文重组队列中的所有分片报文,转入步骤6;
所述攻击检测模块6,用于当分片报文重组队列中分片报文的数量达到分片报文最大数量或者分片报文重组队列中分片报文的平均长度小于分片报文最小平均长度,删除此分片报文重组队列中的所有分片报文;
所述重组模块7,用于当全部分片报文接收完毕并完成分片报文重组后,将分片报文重组生成的报文数据包发送给上层协议模块。
所述分配模块2进一步用于,当接收到的分片报文的总长度小于小长度空间时,将此分片报文存储于小长度空间;
当接收到的分片报文的总长度大于小长度空间、且小于中长度空间时,将此分片报文存储于中长度存储空间;
当接收到的分片报文的总长度大于中长度空间、且小于大长度空间时,将此分片报文存储于大长度存储空间。
在具体实施中:
1)、本发明支持多线程模式,为每个线程开辟单独的内存区域及相关数据结构,彼此独立,很好的解决了多线程互斥问题,而且适应了当前硬件的发展,充分利用了多核、多CPU资源,提高了处理性能;
2)、本发明在保护内存占用方面,同时使用两类策略:
a)依据内存占用量
为每个线程的IP重组模块,设定一个最大内存上限值,如果超过此限制,则删除LRU链表中最久未使用的节点,释放内存;
b)依据时间
设定超时时间T1,对于每个IPQ结构,收到第一个IP分片报文后,记录下***时间Tc,每隔N秒(N<T1)扫描一次LRU链表,如果在Tc+T1时间之后,仍然未重组完成,则删除所有的分片报文,与策略a相比,可以更及时的释放内存资源。
3)、通常的分片重组流程只做了简单的合法性判断,而且是固化在代码里,不能灵活调用和修改.
本发明的攻击识别策略设计为单独的接口,可以根据实际网络环境,灵活的添加新识别规则,或者是修改对应的处理策略。
网络中针对IPv6分片的攻击报文有多种,常见的有如下几类:
a)分片包长度之和超过IP包最大报文限制(65535字节);
b)分片报文数据长度为0;
c)中间的分片报文有效数据长度不能被8整除;
d)分片包与其他分片包的偏移量出现重叠;
根据实际网络情况,还可以灵活的添加新规则,比如:
e)对于同一个IPQ结构,收到了多于Nf(Nf的值可自定义)个IPv6分片报文,但仍未重组成功的,即认为是恶意攻击行为;
f)RFC-2460规定,对于同一个IPQ结构,从收到第一个分片包开始,60秒钟之后,仍未重组成功的,必须将所有分片包丢弃。笔者认为在大多数网络环境中,超时时间定为60秒太长,有可能被恶意攻击者利用。本文将超时时间定为T2秒,超过此值仍未重组成功即可认为是恶意攻击行为.
重组时对每个分片报文都进行上述规则检查,如果确定是攻击报文,就丢弃分片。
4)、为了尽可能减少内存申请/释放操作,本发明依据在网络环境中,实际抓包统计分析的结果,预先分配三个等级的缓冲区,策略简要描述如下.
为每个IP分片报文预先分配MIN_LEN,MED_LEN,MAX_LEN三种长度的内存空间,即
a)、收到的分片包总长度小于MIN_LEN的话,就分配MIN_LEN的缓冲区;
收到的分片包总长度大于MIN_LEN、小于MED_LEN的话,就分配MED_LEN的缓冲区;
b)、收到的分片包总长度大MED_LEN的话,分配单个IP包所能表示的最大长度MAX_LEN的缓冲区;
c)、把收到的IP分片包,根据偏移值拷贝到申请的内存中对应位置,分片重组完毕后,直接将这块内存直接交由上层协议处理,节省了重组完成后,需要多次内存拷贝的额外操作,提高了处理性能。
本发明的上述策略实际推荐值为:
(1)重组超时时间T1=60秒;
(2)攻击检测,每个IPQ最大分片包数量Nf=10;
(3)攻击检测,每个IPQ重组时间T2=10秒;
(4)预分配缓冲区大小,MIN_LEN=2KB,MED_LEN=10KB,MAX_LEN=64KB。
以上过程可以进一步为,
步骤100,初始化,为每个线程创建独立的HASH表和LRU链表头;
步骤101,阻塞等待接收网络报文;
步骤102,判断收到的报文是否为IPv6分片报文,若是执行步骤103,否则执行步骤126;
步骤103,从LRU链表中删除超时的IPQ,并删除HASH表中指向此IPQ的表项;
步骤104,取出新收到的IP分片包的SIP、DIP、ID三元素,根据特定的HASH算法,在HASH表中查找本分片包对应的IPQ结构;
步骤105,根据步骤104的返回结果,判断HASH表中是否已经存在对应IPQ结构,若是执行步骤109,否则执行步骤106;
步骤106,取出步骤104中找到的IPQ结构已占用的分片缓冲区长度(即struct ipq->buff_size),判断此值是否超过最大长度限制,若是执行步骤107,否则执行步骤108;
步骤107,删除LRU链表中最久未使用的IPQ节点;
步骤108,首次申请合适大小分片重组缓冲区;
步骤109,新建IPQ结构,将步骤108中申请的缓冲区地址保存在变量struct ipq->buff中,并将此IPQ结构的首地址***HASH表;
步骤110,判断是否是第一个分片,若是执行步骤111,否则执行步骤112;
步骤111,设置标志位FIRST(对应变量struct ipq->last_in);
步骤112,判断是否是最后一个分片,若是执行步骤113,否则执行步骤114;
步骤113,设置标志位LAST,并记录原始IP包总长度;
步骤114,使用当前分片头部中的offset值,加上当前IP分片的有效载荷长度,计算出当前IP分片报文最大偏移值;
步骤115,判断步骤114中得到的最大偏移量是否超过65535,若是执行步骤116,否则执行步骤117;
步骤116,删除当前IP分片包对应的IPQ节点,返回步骤101;
步骤117,判断当前收到IP分片的总数据长度,是否超出了预先分配的缓冲区大小,若是执行步骤118,否则执行步骤122;
步骤118,判断当前缓冲区大小是否为2KB(2千字节),若是执行步骤119,否则执行步骤120;
步骤119,申请10KB的新缓冲区,执行步骤121;
步骤120,申请64KB的新缓冲区;
步骤121,将步骤117之前所使用的旧缓冲区中的数据,复制到步骤119或步骤120中新申请的缓冲区中,并释放旧缓冲区内存;
步骤122,根据OFFSET值,按从小大大的顺序,找到本IP分片包在偏移链表(struct ipq->fragments)中的位置,假设暂时使用指针变量structipfrag*step_122_place表示;
步骤123,判断和PREV节点(即step_122_place->prev)是否有数据重叠,若是删除当前IP分片包对应的IPQ节点,返回步骤101,否则执行步骤124;
步骤124,判断和NEXT节点(即step_122_place->next)是否有数据重叠,若是删除当前IP分片包对应的IPQ节点,返回步骤101,否则执行步骤125;
步骤125,判断全部IP分片包是否接收完毕,若是执行步骤126,否则执行步骤101;
步骤126,将重组后完整的IPv6数据包,根据PROTOCOL类型,传递给不同的上层协议模块处理,例如PROTOCOL=6时,传递给TCP模块处理。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种IPv6分片报文抗攻击重组方法,其特征在于,包括以下步骤:
步骤1:为操作***中的若干处理线程创建独立的内容空间,设定分片报文重组队列所占最大内存上限值及分片报文重组超时时间,设定分片报文重组队列中未重组完成的分片报文最大数量和分片报文重组队列中分片报文最小平均长度;
步骤2:为每个分片报文预先分配小长度空间、中长度空间及大长度空间三种长度的存储空间,从网络接收分片报文,如果收到的分片报文是当分片报文重组队列中第一个分片报文,转入步骤3,否则,转入步骤4;
步骤3:记录操作***的当前时间,转入步骤4;
步骤4:每接收到一个分片报文,检查与该分片报文对应的分片报文重组队列所占的内存,如果该分片报文所在的分片报文重组队列所占的内存超过最大内存上限值,删除链表中最久未使用的分片报文重组队列,转入步骤5,否则,直接转入步骤5;
步骤5:扫描链表中最久未使用的分片报文重组队列,如果该报文重组队列的重组时间超过了当前时间加上分片报文重组超时时间,删除该分片报文重组队列中的所有分片报文,转入步骤6,否则,直接转入步骤6;
步骤6:当分片报文重组队列中分片报文的数量达到分片报文最大数量或者分片报文重组队列中分片报文的平均长度小于分片报文最小平均长度,删除此分片报文重组队列中的所有分片报文;
步骤7:当全部分片报文接收完毕并完成分片报文重组后,将分片报文重组生成的报文数据包发送给上层协议模块。
2.根据权利要求1所述的IPv6分片报文抗攻击重组方法,其特征在于:所述步骤2具体为:
当接收到的分片报文的总长度小于小长度空间时,将此分片报文存储于小长度空间;
当接收到的分片报文的总长度大于小长度空间、且小于中长度空间时,将此分片报文存储于中长度存储空间;
当接收到的分片报文的总长度大于中长度空间、且小于大长度空间时,将此分片报文存储于大长度存储空间。
3.一种IPv6分片报文抗攻击重组装置,其特征在于:包括设定模块(1),分配模块(2),记录模块(3),内存检测模块(4),时间检测模块(5),攻击检测模块(6)和重组模块(7);
所述设定模块(1),用于为操作***中的若干处理线程创建独立的内容空间,设定分片报文重组队列所占最大内存上限值及分片报文重组超时时间,设定分片报文重组队列中未重组完成的分片报文最大数量和分片报文重组队列中分片报文最小平均长度;
所述分配模块(2),用于为每个分片报文预先分配小长度空间、中长度空间及大长度空间三种长度的存储空间,从网络接收分片报文,如果收到的分片报文是当分片报文重组队列中第一个分片报文,转入记录模块(3),否则,转入内存检测模块(4);
所述记录模块(3),用于记录操作***的当前时间,转入内存检测模块(4);
所述内存检测模块(4),用于每接收到一个分片报文,检查与该分片报文对应的分片报文重组队列所占的内存,如果该分片报文所在的分片报文重组队列所占的内存超过最大内存上限值,删除链表中最久未使用的分片报文重组队列,转入时间检测模块(5),否则,直接转入时间检测模块(5);
所述时间检测模块(5),用于扫描链表中最久未使用的分片报文重组队列,如果该报文重组队列的重组时间超过了当前时间加上分片报文重组超时时间,删除该分片报文重组队列中的所有分片报文,转入攻击检测模块(6);
所述攻击检测模块(6),用于当分片报文重组队列中分片报文的数量达到分片报文最大数量或者分片报文重组队列中分片报文的平均长度小于分片报文最小平均长度,删除此分片报文重组队列中的所有分片报文;
所述重组模块(7),用于当全部分片报文接收完毕并完成分片报文重组后,将分片报文重组生成的报文数据包发送给上层协议模块。
4.根据权利要求3所述的IPv6分片报文抗攻击重组装置,其特征在于:
所述分配模块(2)进一步用于,当接收到的分片报文的总长度小于小长度空间时,将此分片报文存储于小长度空间;
当接收到的分片报文的总长度大于小长度空间、且小于中长度空间时,将此分片报文存储于中长度存储空间;
当接收到的分片报文的总长度大于中长度空间、且小于大长度空间时,将此分片报文存储于大长度存储空间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310455911.9A CN103491096A (zh) | 2013-09-29 | 2013-09-29 | 一种IPv6分片报文抗攻击重组方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310455911.9A CN103491096A (zh) | 2013-09-29 | 2013-09-29 | 一种IPv6分片报文抗攻击重组方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103491096A true CN103491096A (zh) | 2014-01-01 |
Family
ID=49831055
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310455911.9A Pending CN103491096A (zh) | 2013-09-29 | 2013-09-29 | 一种IPv6分片报文抗攻击重组方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103491096A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411791A (zh) * | 2016-09-05 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | Icmp分片报文重组方法及转发方法、控制器及交换机 |
CN107911389A (zh) * | 2017-12-13 | 2018-04-13 | 东软集团股份有限公司 | 防攻击的分片报文处理方法、装置、计算机及存储介质 |
CN110995694A (zh) * | 2019-11-28 | 2020-04-10 | 新华三半导体技术有限公司 | 网络报文检测方法、装置、网络安全设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101122883A (zh) * | 2006-08-09 | 2008-02-13 | 中兴通讯股份有限公司 | 一种避免内存碎片化的内存分配方法 |
WO2010022629A1 (zh) * | 2008-08-27 | 2010-03-04 | 华为技术有限公司 | 一种多链路协议分片数据的重组方法、装置及*** |
CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
-
2013
- 2013-09-29 CN CN201310455911.9A patent/CN103491096A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101122883A (zh) * | 2006-08-09 | 2008-02-13 | 中兴通讯股份有限公司 | 一种避免内存碎片化的内存分配方法 |
WO2010022629A1 (zh) * | 2008-08-27 | 2010-03-04 | 华为技术有限公司 | 一种多链路协议分片数据的重组方法、装置及*** |
CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
Non-Patent Citations (3)
Title |
---|
刘彦,陈弘,杨宇航: "IPv4分片算法的改进及实现", 《通信技术》, no. 02, 30 June 1999 (1999-06-30) * |
李玮: "入侵检测***数据流重组研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 03, 15 September 2007 (2007-09-15) * |
许文民: "IPv6数据流重组的研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 04, 15 April 2011 (2011-04-15) * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411791A (zh) * | 2016-09-05 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | Icmp分片报文重组方法及转发方法、控制器及交换机 |
CN107911389A (zh) * | 2017-12-13 | 2018-04-13 | 东软集团股份有限公司 | 防攻击的分片报文处理方法、装置、计算机及存储介质 |
CN107911389B (zh) * | 2017-12-13 | 2020-06-19 | 东软集团股份有限公司 | 防攻击的分片报文处理方法、装置、计算机及存储介质 |
CN110995694A (zh) * | 2019-11-28 | 2020-04-10 | 新华三半导体技术有限公司 | 网络报文检测方法、装置、网络安全设备及存储介质 |
CN110995694B (zh) * | 2019-11-28 | 2021-10-12 | 新华三半导体技术有限公司 | 网络报文检测方法、装置、网络安全设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mazurczyk et al. | Retransmission steganography and its detection | |
US9009830B2 (en) | Inline intrusion detection | |
CN100425025C (zh) | 应用服务器安全法与网络安全法的安全***与方法 | |
Peuhkuri | A method to compress and anonymize packet traces | |
US20110125749A1 (en) | Method and Apparatus for Storing and Indexing High-Speed Network Traffic Data | |
US20070245417A1 (en) | Malicious Attack Detection System and An Associated Method of Use | |
CN102045305B (zh) | 一种多媒体资源传播的监测追踪方法和*** | |
CN1921488A (zh) | IPv6子网内基于签名认证的防止源地址伪造的方法 | |
CN1630248A (zh) | 基于连接请求验证的SYN flooding攻击防御方法 | |
CN105262737B (zh) | 一种基于跳通道模式的抵御ddos攻击的方法 | |
CN104038505A (zh) | 一种IPSec防重放的方法和装置 | |
CN101997859A (zh) | 识别tcp流中的数据包的载荷的方法和设备 | |
Foroushani et al. | Deterministic and authenticated flow marking for IP traceback | |
CN103491096A (zh) | 一种IPv6分片报文抗攻击重组方法及装置 | |
CN1411209A (zh) | 一种检测并监控恶意用户主机攻击的方法 | |
US20180248910A1 (en) | Anti-Attack Data Transmission Method and Device | |
CN114830113A (zh) | 保护有状态连接管理器中资源分配的***和方法 | |
CN113905012B (zh) | 一种通信方法、装置、设备及介质 | |
Schear et al. | Glavlit: Preventing exfiltration at wire speed | |
Aghaei-Foroushani et al. | On evaluating ip traceback schemes: a practical perspective | |
Vijayalakshmi et al. | IP traceback system for network and application layer attacks | |
Vellalacheruvu et al. | Effectiveness of built-in security protection of microsoft’s windows server 2003 against TCP SYN based DDoS attacks | |
WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
Ruban et al. | The method of hidden terminal transmission of network attack signatures | |
Parashar et al. | Improved deterministic packet marking algorithm for IPv6 traceback |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140101 |
|
RJ01 | Rejection of invention patent application after publication |