专利名称:处理数据包分片的设备及方法
技术领域:
本发明涉及一种网络转发设备,特别涉及一种处理数据包分片的设备及方法。
背景技术:
在网络中,因特网协议(internet protocol ;IP)转发设备,例如路由器、第三层 (Layer 3;也被称为网络层)交换机和第三层网关,被用于从发送端接收IP数据包和发送 该IP数据包至接收端。当IP转发设备的第一个设备接收到比下一个设备的最大传输单元 (Maximum Transmission Unit)大的IP数据包时,要进行IP分片,也就是说,第一个设备 将IP数据包分成多个IP分片。然后,第一个设备将多个IP分片转发到第二个设备,以此 类推,直到接收端接收到这些IP分片。然而,通常,IP分片被攻击者 用于IP分片攻击,当 发生IP分片攻击,接收端可能会瘫痪。所以,IP转发设备需要IP分片重组,以判断IP分 片攻击是否发生,从而防止接收端瘫痪。一种IP转发设备中常用的IP分片重组的方法是缓存每个IP分片,然后重组和一 个IP数据包相关的IP分片。然而,缓存每个IP分片耗费IP转发设备的大量存储空间。所 以,IP转发设备容易遭受拒绝服务攻击。此外,缓存每个IP分片无法满足一些应用情况, 例如网络会议或网络电话(Voice-over-InternetProtocol),的实时性需求。
发明内容
本发明要解决的技术问题在于提供一种处理数据包分片的设备及方法,使IP转 发设备遭受拒绝服务攻击的可能性降低,且满足了对实时性的需求。为解决上述技术问题,本发明提供了一种处理数据包分片的设备,所述设备包括 存储器,用于缓存一组数据包分片的头部的信息,其中所述一组数据包分片和特定数据包 相关;以及分片处理模块,该分片处理模块耦合至所述存储器,并用于根据缓存在所述存储 器中的所述信息和预设标准,直接对每个数据包分片进行操作,其中缓存在所述存储器中 的所述信息用于判断和所述特定数据包相关的所有数据包分片是否被所述设备接收。本发明所述的处理数据包分片的设备,所述信息根据预设顺序被缓存。本发明所述的处理数据包分片的设备,所述信息包括所述一组数据包分片的所述 头部中的报文总长和分片偏移。本发明所述的处理数据包分片的设备,所述预设顺序为从所述分片偏移中最小的 分片偏移到所述分片偏移中最大的分片偏移。本发明所述的处理数据包分片的设备,所述预设顺序为从所述分片偏移中最大的 分片偏移到所述分片偏移中最小的分片偏移。本发明所述的处理数据包分片的设备,所述设备包括转发设备,所述转发设备用 于转发所述数据包分片。本发明所述的处理数据包分片的设备,所述转发设备从由路由器、第三层交换机 和第三层网关组成的组中选择。
本发明所述的处理数据包分片的设备,所述预设标准为若第一数据包分片和另一 数据包分片重叠,所述分片处理模块对所述第一数据包分片进行第一操作,否则进行第二 操作且将和所述第一数据包分片相关的信息缓存在所述存储器中。本发 明所述的处理数据包分片的设备,所述预设标准为若发生攻击,所述分片处 理模块对第一数据包分片进行第一操作,否则进行第二操作且将和所述第一数据包分片相 关的信息缓存在所述存储器中。本发明还提供了一种处理数据包分片的计算机可执行方法,所述计算机可执行方 法包括在计算机系统的存储器中找到链表,所述链表存储特定数据包的一组数据包分片 的头部的信息;为和所述特定数据包相关的一个数据包分片,在所述链表中找到缓存位置; 以及直接对所述数据包分片进行操作,且根据缓存在所述链表中的所述信息和预设标准, 在所述缓存位置缓存和所述数据包分片相关的所述信息,其中缓存在所述链表中的所述信 息用于判断和所述特定数据包相关的所有数据包分片是否被接收。本发明所述的处理数据包分片的计算机可执行方法,所述缓存位置由预设顺序决 定。本发明所述的处理数据包分片的计算机可执行方法,所述信息包括包含在所述一 组数据包分片的所述头部中的报文总长和分片偏移。本发明所述的处理数据包分片的计算机可执行方法,所述预设顺序为从所述分片 偏移中最小的分片偏移到所述分片偏移中最大的分片偏移。本发明所述的处理数据包分片的计算机可执行方法,所述预设顺序为从所述分片 偏移中最大的分片偏移到所述分片偏移中最小的分片偏移。本发明所述的处理数据包分片的计算机可执行方法,所述预设标准为若第一数据 包分片和另一数据包分片完全重叠,对所述第一数据包分片进行第一操作,否则进行第二 操作且将和所述第一数据包分片相关的信息缓存在所述存储器中。本发明所述的处理数据包分片的计算机可执行方法,所述预设标准为若发生攻 击,对第一数据包分片进行第一操作,否则进行第二操作且将和所述第一数据包分片相关 的所述信息缓存在所述存储器中。本发明还提供了一种具有计算机可执行指令的计算机可读媒介,所述指令用于实 施处理数据包分片的方法,所述方法包括在计算机系统的存储器中找到链表,所述链表存 储特定数据包的一组数据包分片的头部的信息;为和所述特定数据包相关的一个数据包分 片,在所述链表中找到缓存位置;以及直接对所述数据包分片进行操作,且根据缓存在所述 链表中的所述信息和预设标准,在所述缓存位置缓存和所述数据包分片相关的所述信息, 其中缓存在所述链表中的所述信息用于判断和所述特定数据包相关的所有数据包分片是 否被接收。本发明所述的具有计算机可执行指令的计算机可读媒介,所述信息包括包含在所 述一组数据包分片的所述头部中的报文总长和分片偏移。本发明所述的具有计算机可执行指令的计算机可读媒介,所述缓存位置由预设顺 序决定,所述预设顺序由所述分片偏移的值决定。本发明所 述的具有计算机可执行指令的计算机可读媒介,所述预设标准为若第一 数据包分片和另一数据包分片完全重叠,对所述第一数据包分片进行第一操作,否则进行第二操作且将和所述第一数据包分片相关的信息缓存在所述存储器中。本发明所述的具有计算机可执行指令的计算机可读媒介,所述预设标准为若发生攻击,对第一数据包分片进行第一操作,否则进行第二操作且将和所述第一数据包分片相 关的信息缓存在所述存储器中。与现有技术相比,本发明处理数据包分片的设备,如IP转发设备,根据缓存在存 储器中的信息和预设标准,直接对每个数据包分片进行操作,不需要对数据包分片缓存。因 此,只使用了 IP转发设备的存储空间中的一小部分,降低了 IP转发设备遭受拒绝服务攻击 的可能性。此外,满足了对实时性的需求。
图1是根据本发明的一个实施例的处理数据包分片的设备的方框示意图;图2是根据本发明的一个实施例的处理数据包分片的方法的流程图。
具体实施例方式以下通过对本发明的一些实施例结合其附图的描述,可以进一步理解本发明的目 的、具体结构特征和优点。虽然本发明将结合以下实施例进行阐述,但应理解为这并非意指将本发明限定于 这些实施例。相反,本发明旨在涵盖由所附权利要求项所界定的本发明精神和范围内所定 义的各种可选项、可修改项和等同项。此外,在以下对本发明的详细描述中,为了提供针对本发明的完全的理解,阐明了 大量的具体细节。然而,本领域技术人员将理解,没有这些具体细节,本发明同样可以实施。 在另外的一些实例中,对于大家熟知的方案、流程、元件和电路未作详细描述,以便于凸显 本发明的主旨。以下的具体实施方式
中的某些部分是以进程、逻辑块、处理过程和其他对计算机 存储器中数据位的操作的象征性表示来呈现的。这些描述和表示法是数据处理领域内的技 术人员最有效地向该领域内的其他技术人员传达他们工作实质的方法。在本申请中,一个 进程、逻辑块、处理过程或相似的事物,被构思成有条理的步骤或指令的序列以实现想要的 结果。所述的步骤是需要对物理量进行物理操作的步骤。通常,但不是必然的,这些物理量 的形式可为电信号或磁信号,可在计算机系统中被存储、传输、结并、比较等等。然而,应该明白的是,这些术语及其相似表述都与适当的物理量相关,并仅仅是运 用于这些物理量的便利的标记。除非在之后的讨论中特别说明,在本申请的全部内容中,运 用“读取”、“找到”、“比较”、“判断”、“转发”、“丢弃”、“缓存”或类似术语之处,指的都是计算 机系统或类似电子计算设备中的操作和处理过程,所述的计算机系统对以物理(电子)量 形式存在于所述计算机系统的寄存器和存储器中的数据进行操作,并转换为类似地以物理 量形式存在于所述计算机系统的寄存器、存储器或其他此类信息存储、传输或显示设备中 的其他数据。在此所述的实施例是以计算机可执行指令为讨论的大背景的,所述的计算机指令 可位于某种形式的计算机可用的媒体(如,程序模块)中,被一个或多个计算机或其他设备 执行。通常,程序模块包括可执行特定任务或实现特定抽象数据类型的例行程序、编制程序、对象、元件、数据结构等。所述程序模块将在不同的实施例中结合或分开描述。作为举例,且并不局限于其中,计算机可用的媒体可包括计算机存储媒体和通讯 媒体。计算机存储媒体包括以任何方法或技术实现的用以存储信息的挥发性和非挥发性 的、移动和不可移动的媒体,所述信息可为计算机可读的指令、数据结构、程序模块或其他 数据。计算机存储媒体包括(但不局限于)随机存取存储器(RAM)、只读存储器(ROM)、电 可擦除只读存储器(EEPROM)、闪存或其他存储器技术,光盘ROM(CD-ROM),多功能数字光盘 (DVD)或其他光学存储器、盒式磁带、磁带、磁盘存储器或其他磁的存储器设备或任何其他 可被用来存储所需信息的媒体。通讯媒体可具体化为计算机可读的指令、数据结构、程序模块或其他已调 制的数 据信号(如,载波或其他传输机制)中的数据,并包括任何信息传输媒体。所述的“已调制 的数据信号”指一个有一个或多个特征集或遵循某种信号信息编码方式变化的信号。作为 举例,且并不局限于其中,通讯媒体包括有线媒体,如有线网络或直线连接;和无线媒体,如 声学的、无线电的(RF)、红外线的和其他无线的媒体。上述任何媒体的组合都应包括在计算 机可读媒体的范围内。以下的实施例是以IP数据包和IP分片来具体描述的。然而,本发明并不限于此, 这里提供的特征和功能可以被应用于其他与以下具体描述相似的协议和数据包。图1为根据本发明的一个实施例的处理数据包分片的设备100。设备100包括分 片处理模块120和存储器140。在一个实施例中,设备100可以为IP转发设备,例如,路由 器、第三层交换机或第三层网关。在该实施例中,设备100包括其他通常包括在IP转发设 备中的元件,例如处理器(微处理器)。多个IP分片104输入至分片处理模块120。在图1的例子中,多个IP分片104和 一个IP数据包相关或者和一个以上的IP数据包相关。每个IP分片可以被识别为和特定 IP数据包相关。在一实施例中,信息,例如每个IP分片的头部的标识符(identification)、 协议类型、源IP地址和/或目的IP地址信息,被用于识别和相同IP数据包相关的IP分片。 用于将IP分片和特定IP数据包相关的信息在下文被称为“数据包识别信息”。在每个IP 分片进入分片处理模块120之后,分片处理模块120分析IP分片。这样,IP分片的头部的 数据包识别信息和其他信息对IP转发设备来说是已知的。在一实施例中,链表被创建在存储器140中,链表被用于缓存IP分片104的头部 的信息。这样,与不同IP数据包相关的多个IP分片104,在存储器140中有各自的链表。 也就是说,在一实施例中,对于每个IP数据包,有一个链表。 在一实施例中,IP分片104的头部的报文总长(total length)和分片偏移 (fragment offset)被缓存在存储器140的链表中。对于和特定IP数据包相关的一组IP 分片104,有一个相应的链表。在每个链表中,根据如下所述的预设顺序缓存报文总长和分 片偏移。在新的IP分片进入分片处理模块120后,该新的IP分片的数据包识别信息(例 如,新的IP分片的头部的标识符、协议类型、源IP地址和目的IP地址信息)被读取,且被 用于找到一链表,该链表和该新的IP分片属于的IP数据包相关。在一实施例中,若进入分片处理模块120的新的IP分片是其属于的IP数据包的 第一个IP分片,新的链表被创建在存储器140中,新的IP分片的数据包识别信息被缓存在该新的链表中。如上所述,根据预设顺序,报文总长和分片偏移被缓存在每个链表中。在一实施例 中,预设顺序由分片偏移的值决定。也就是说,顺序是从最小的分片偏移到最大的分片偏 移,或者从最大的分片偏移到最小的分片偏移。换句话说,报文总长和分片偏移按照和分片 偏移的值的大小相对应的顺序被缓存,从最大的分片偏移到最小的 分片偏移或从最小的分 片偏移到最大的分片偏移。在图1的例子中,存储器140的链表中的报文总长0、分片偏移0、报文总长1、分片 偏移1、报文总长2和分片偏移2分别对应于三个IP分片,这三个IP分片和相同的IP数据 包相关。分片偏移0、分片偏移1和分片偏移2按照从最小的分片偏移到最大的分片偏移或 从最大的分片偏移到最小的分片偏移的顺序缓存。这样,在新的IP分片进入分片处理模块 120及相应的链表以如上所述的方式被找到之后,分片处理模块120比较新的IP分片的头 部的分片偏移和链表中的分片偏移,以找到缓存位置。找到缓存位置的目的是为了按照预 设顺序缓存新的IP分片的报文总长和分片偏移。新的IP分片其本身并不缓存在存储器140中。相反的,根据如下所述的预设标准, 分片处理模块120直接对新的IP分片进行操作。在一实施例中,预设标准为若发生IP分片重叠,则丢弃新的IP分片,否则转发新 的IP分片,且在缓存位置缓存新的IP分片的头部的报文总长和分片偏移。更具体的说,在 一实施例中,若新的IP分片中的所有数据也包括在早于该新的IP分片到达分片处理模块 120的另一个IP分片中,那么分片处理模块120认为发生了“IP分片完全重叠”。在这种情 况下,丢弃新的IP分片,且不缓存该IP分片的头部的报文总长和分片偏移。若新的IP分 片中的一些数据也包括在早于新的IP分片到达分片处理模块120的另一个IP分片中,那 么分片处理模块120认为发生了 “IP分片部分重叠”。在这种情况下,仅仅转发新的IP分 片中未包括在先前IP分片中的数据,且相应的减少该IP分片的头部的报文总长和分片偏 移且缓存减少后的报文总长和分片偏移。在另一实施例中,预设标准为若发生IP分片攻击(拒绝服务攻击),则丢弃新的 IP分片,否则转发新的IP分片,且在缓存位置缓存新的IP分片的头部的报文总长和分片偏 移。可以采用多种已知的方法判断是否发生IP分片攻击。在一实施例中,通过判断新的IP分片是否为该分片属于的IP数据包的最后一个 分片,来决定是否在缓存位置缓存该分片的头部的报文总长和分片偏移。换句话说,在将该 IP分片的头部的报文总长和分片偏移缓存在缓存位置之前,分片处理模块120判断与一个 数据包相关的所有的IP分片是否被接收。在一实施例中,若新的IP分片是该IP分片属于 的IP数据包的最后一个分片,不在相关链表中的缓存位置缓存新的IP分片的报文总长和 分片偏移,且从存储器140中删除该相关链表。在新的IP分片进入分片处理模块120并且如上所述找到相关链表之后,新的IP 分片的头部的报文总长和分片偏移和链表中缓存的报文总长和分片偏移被用在一算法中 以判断是否发生“IP分片完全重叠”、是否发生“IP分片部分重叠”、是否发生IP分片攻击 和/或是否所有属于一个IP数据包的IP分片已经被分片处理模块120接收。在一实施例中,除了报文总长和分片偏移之外,IP分片的头部的其他信息,例如, 不分片(Don’ t Fragment ;DF)和更多的片(More Fragment ;MF)被缓存在链表中。
在每个IP分片进入分片处理模块120之后,IP分片不被缓存,且如上所述被直接 转发或丢弃。因此,只使用了 IP转发设备的存储空间中的一小部分,降低了 IP转发设备遭 受拒绝服务攻击的可能性。此外,满足了对实时性的需求。图2是根据本发明的一个实施例的处理数据包分片的方法的流程图200。结合图1对图2进行描述。在一个实施例中,流程图200可作为存储在计算机可读媒介中的计算 机可执行指令实现。在步骤202,在一特定IP数据包的新的IP分片进入分片处理模块120 之后,若相关链表已经存在于计算机系统的存储器中,则找到该相关链表,若该新的IP分 片为特定IP数据包的第一个分片,则创建一个链表。属于同一 IP数据包的IP分片的头部 的一些信息,例如,报文总长和分片偏移,被缓存在存储器140的链表中。在一实施例中,数 据包识别信息,包括但不仅限于新的IP分片头部的标志符、协议类型、源IP地址和目的IP 地址,被读取且被用于找到相关链表。在步骤204,在链表中为新的IP分片找到缓存位置。在一实施例中,根据预设顺序 在链表中缓存报文总长和分片偏移。在一实施例中,预设顺序由分片偏移的值的大小决定。 在新的IP分片进入分片处理模块120且找到相关链表之后,比较新的IP分片的分片偏移 和该相关链表中的分片偏移以找到缓存位置。在步骤206,直接对新的IP分片进行操作,根据链表中的信息和预设标准在缓存 位置缓存和新的IP分片相关的信息。在一实施例中,预设标准为若发生IP分片重叠,则丢 弃新的IP分片,否则转发该新的IP分片,且在缓存位置缓存其头部的报文总长和分片偏 移。在另一个实施例中,预设标准为若发生IP分片攻击,则丢弃新的IP分片,否则转发该 IP分片,且在缓存位置缓存其头部的报文总长和分片偏移。在一实施例中,在将新的IP分 片的头部的报文总长和分片偏移缓存在缓存位置之前,如上所述,判断和一个数据包相关 的所有IP分片是否已经被分片处理模块120接收。在一实施例中,链表中缓存的报文总长 和分片偏移,新的IP分片头部的报文总长和分片偏移,被用于判断是否发生IP分片重叠、 是否发生IP分片攻击和是否所有属于一个IP数据包的IP分片已经被分片处理模块120 接收。总的来说,在现有技术中,在每个IP分片进入IP转发设备之后,该IP分片被缓存 在IP转发设备的存储器中;在属于一个IP数据包的所有IP分片被缓存之后,IP转发设备 重组这些IP分片。相反的,根据本发明的实施例,不缓存每个IP分片,且根据预设标准直接 对每个IP分片进行操作(例如,转发或丢弃IP分片)。仅仅缓存IP分片的头部的一些信 息,以根据预设标准决定如何对每个IP分片进行操作。从本质上说,缓存的头部信息(例如 报文总长和分片偏移)被用于判断和一特定IP数据包相关的所有分片是否已经被IP转发 设备接收。若在和一特定数据包相关的链表中有空档,表明不是所有的和该数据包相关的 分片已经被接收了 ;若该链表已被填满,表明所有的和该数据包相关的分片已经被接收了。 在某种程度上,本发明采用报文总长和分片偏移对一个IP数据包进行虚拟地重组,而不是 以传统的方法实际地重组数据包。相应地,相对于现有技术,仅仅使用了 IP转发设备的存 储空间中的一小部分,则降低了 IP转发设备遭受拒绝服务攻击的可能性。上文具体实施方式
和附图仅为本发明的常用实施例。显然,在不脱离所附权利要 求书所界定的本发明精神和保护范围的前提下可以有各种增补、修改和替换。本领域技术 人员应该理解,本发明在实际应用中可根据具体的环境和工作要求在不背离发明准则的前提下在形式、结构、布局、比例、材料、元素、组件及其它方面有所变化。因此,在此披露的实施例仅用于说明而非限制,本发明的范围由所附权利要求及其合法等同物界定,而不限于 此前的描述。
权利要求
一种处理数据包分片的设备,其特征在于,该设备包括存储器,用于缓存一组数据包分片的头部的信息,其中所述一组数据包分片和特定数据包相关;以及分片处理模块,该分片处理模块耦合至所述存储器,并用于根据缓存在所述存储器中的所述信息和预设标准,直接对每个数据包分片进行操作,其中缓存在所述存储器中的所述信息用于判断和所述特定数据包相关的所有数据包分片是否被所述设备接收。
2.根据权利要求1所述的处理数据包分片的设备,其特征在于,所述信息根据预设顺 序被缓存。
3.根据权利要求2所述的处理数据包分片的设备,其特征在于,所述信息包括所述一 组数据包分片的所述头部中的报文总长和分片偏移。
4.根据权利要求3所述的处理数据包分片的设备,其特征在于,所述预设顺序为从所 述分片偏移中最小的分片偏移到所述分片偏移中最大的分片偏移。
5.根据权利要求3所述的处理数据包分片的设备,其特征在于,所述预设顺序为从所 述分片偏移中最大的分片偏移到所述分片偏移中最小的分片偏移。
6.根据权利要求1所述的处理数据包分片的设备,其特征在于,所述设备包括转发设 备,所述转发设备用于转发所述数据包分片。
7.根据权利要求6所述的处理数据包分片的设备,其特征在于,所述转发设备从由路 由器、第三层交换机和第三层网关组成的组中选择。
8.根据权利要求1所述的处理数据包分片的设备,其特征在于,所述预设标准为若第 一数据包分片和另一数据包分片重叠,所述分片处理模块对所述第一数据包分片进行第一 操作,否则进行第二操作且将和所述第一数据包分片相关的信息缓存在所述存储器中。
9.根据权利要求1所述的处理数据包分片的设备,其特征在于,所述预设标准为若发 生攻击,所述分片处理模块对第一数据包分片进行第一操作,否则进行第二操作且将和所 述第一数据包分片相关的信息缓存在所述存储器中。
10.一种处理数据包分片的计算机可执行方法,其特征在于,该计算机可执行方法包括在计算机系统的存储器中找到链表,所述链表存储特定数据包的一组数据包分片的头 部的信息;为和所述特定数据包相关的一个数据包分片,在所述链表中找到缓存位置;以及直接对所述数据包分片进行操作,且根据缓存在所述链表中的所述信息和预设标准, 在所述缓存位置缓存和所述数据包分片相关的所述信息,其中缓存在所述链表中的所述信 息用于判断和所述特定数据包相关的所有数据包分片是否被接收。
11.根据权利要求10所述的处理数据包分片的计算机可执行方法,其特征在于,所述 缓存位置由预设顺序决定。
12.根据权利要求11所述的处理数据包分片的计算机可执行方法,其特征在于,所述 信息包括包含在所述一组数据包分片的所述头部中的报文总长和分片偏移。
13.根据权利要求12所述的处理数据包分片的计算机可执行方法,其特征在于,所述 预设顺序为从所述分片偏移中最小的分片偏移到所述分片偏移中最大的分片偏移。
14.根据权利要求12所述的处理数据包分片的计算机可执行方法,其特征在于,所述预设顺序为从所述分片偏移中最大的分片偏移到所述分片偏移中最小的分片偏移。
15.根据权利要求10所述的处理数据包分片的计算机可执行方法,其特征在于,所述 预设标准为若第一数据包分片和另一数据包分片完全重叠,对所述第一数据包分片进行第 一操作,否则进行第二操作且将和所述第一数据包分片相关的信息缓存在所述存储器中。
16.根据权利要求10所述的处理数据包分片的计算机可执行方法,其特征在于,所述 预设标准为若发生攻击,对第一数据包分片进行第一操作,否则进行第二操作且将和所述 第一数据包分片相关的所述信息缓存在所述存储器中。
17.一种具有计算机可执行指令的计算机可读媒介,所述指令用于实施处理数据包分 片的方法,其特征在于,所述方法包括在计算机系统的存储器中找到链表,所述链表存储特定数据包的一组数据包分片的头 部的信息;为和所述特定数据包相关的一个数据包分片,在所述链表中找到缓存位置;以及直接对所述数据包分片进行操作,且根据缓存在所述链表中的所述信息和预设标准, 在所述缓存位置缓存和所述数据包分片相关的所述信息,其中缓存在所述链表中的所述信 息用于判断和所述特定数据包相关的所有数据包分片是否被接收。
18.根据权利要求17所述的具有计算机可执行指令的计算机可读媒介,其特征在于, 所述信息包括包含在所述一组数据包分片的所述头部中的报文总长和分片偏移。
19.根据权利要求18所述的具有计算机可执行指令的计算机可读媒介,其特征在于, 所述缓存位置由预设顺序决定,所述预设顺序由所述分片偏移的值决定。
20.根据权利要求17所述的具有计算机可执行指令的计算机可读媒介,其特征在于, 所述预设标准为若第一数据包分片和另一数据包分片完全重叠,对所述第一数据包分片进 行第一操作,否则进行第二操作且将和所述第一数据包分片相关的信息缓存在所述存储器 中。
21.根据权利要求17所述的具有计算机可执行指令的计算机可读媒介,其特征在于, 所述预设标准为若发生攻击,对第一数据包分片进行第一操作,否则进行第二操作且将和 所述第一数据包分片相关的信息缓存在所述存储器中。
全文摘要
本发明公开了一种处理数据包分片的设备及方法。处理数据包分片的设备包括存储器,用于缓存一组数据包分片的头部的信息,其中所述一组数据包分片和特定数据包相关;以及分片处理模块,耦合至所述存储器,用于根据缓存在所述存储器中的所述信息和预设标准,直接对每个数据包分片进行操作,其中缓存在所述存储器中的所述信息用于判断和所述特定数据包相关的所有数据包分片是否被所述设备接收。与现有技术相比,本发明处理数据包分片的设备遭受拒绝服务攻击的可能性降低,且满足了对实时性的需求。
文档编号H04L29/06GK101820388SQ20101012216
公开日2010年9月1日 申请日期2010年2月26日 优先权日2009年2月27日
发明者张利达, 陈之翔 申请人:凹凸电子(武汉)有限公司