Патенты автора Бадин Михаил Викторович (RU)

Изобретение относится к области обработки сетевого трафика. Техническим результатом изобретения является обеспечение фильтрации пакетов для TCP/UDP-сессии в устройствах предварительной обработки. В способе на основе IP-адресов и TCP/UDP-портов принятого пакета рассчитывается HASH-сумма. В ячейке RAM-памяти, адрес которой равен полученной HASH-сумме, выполняется поиск информации об уже принятом пакете с такой же HASH-суммой, принадлежащего к той же сессии. По результатам сравнения счетчика принятых пакетов TCP-сессии и анализа наличия флагов SYN или FIN в TCP-заголовке, или времени, когда был принят последний пакет сессии, используемого для учета времени в UDP-сессиях, принимается решение о передаче пакета в выходной интерфейс или его удалении. 3 ил.

Изобретение относится к области сетей передачи данных. Техническим результатом является повышение производительности систем глубокого анализа сетевого трафика за счет снижения нагрузки путем исключения дублирующихся пакетов. Задаётся максимальное значение времени, в течение которого пакеты с одинаковым значением дескрипторов считаются дубликатами (LIMIT_T). Если в блоке поиска дубликатов определяется, что параметры анализируемого пакета из дескриптора не совпадают с параметрами из RAM-памяти, то происходит перезапись информации о пакете в RAM-память, и пакет передается в выходной интерфейс. Если в блоке поиска дубликатов определяется, что параметры анализируемого пакета из дескриптора совпадают с параметрами пакета из RAM-памяти, и разность времени ΔТ больше или равна заданному времени LIMIT_T, то происходит перезапись параметров пакета в RAM-памяти, и пакет передается в выходной интерфейс. Если в блоке поиска дубликатов определяется, что параметры анализируемого пакета из дескриптора совпадают с параметрами пакета из RAM-памяти, и разность времени ΔТ меньше заданного времени LIMIT_T, то пакет удаляется из пакетного буфера. 3 ил., 3 пр.

Изобретение относится к способам высокоскоростной модификации сетевых пакетов в высоконагруженных сетях. Технический результат - повышение пропускной способности и производительности систем глубокого анализа сетевого трафика. Происходит формирование дескриптора, включающего в себя размеры заголовков, поля данных и всего пакета. Дескриптор сохраняется в буфер дескрипторов, а пакет сохраняется в пакетный буфер. Из буфера дескрипторов дескрипторы передаются в блок удаления поля данных, в котором пересчитывается размер пакета без поля данных и записывается полученное значение в буфере дескрипторов. При чтении пакета из пакетного буфера используется информация о размере пакета из его дескриптора. Если в блоке анализа пакета определяется, что в пакете нет IP-заголовка, то в блоке удаления поля данных размер пакета в дескрипторе устанавливается равным размеру Ethernet-заголовка. Если в блоке анализа пакета определяется, что в пакете есть IP-заголовок, то в блоке удаления поля данных размер пакета в дескрипторе устанавливается равным сумме размеров Ethernet-заголовка и IP-заголовка. Если в результате удаления поля данных из передаваемого пакета размер пакета становится меньше минимально заданного размера в 60 байт, доставляемого получателю в составе одного пакета, то в блоке дополнения выполняется дополнение пакета нулевыми байтами до 60 байт и выполняется передача его в блок корректировки FCS. Если размер пакета больше или равен минимальному заданному размеру в 60 байт, то пакет сразу передаётся в блок корректировки FCS. В блоке корректировки FCS выполняется пересчет контрольной суммы, и 4 байта контрольной суммы добавляются к пакету, после чего он передаётся в выходной интерфейс. 4 ил.

Изобретение относится к методам балансировки TCP/UDP сессий в высоконагруженных сетях. Технический результат заявленного изобретения заключается в обеспечении идентичности балансировки для двух потоков трафика, составляющих сетевую сессию, и достигается тем, что принятый пакет передается в блок анализа для выделения Ethernet, IP и TCP/UDP-заголовков и формирования на их основе информационного блока – дескриптора. Далее пакет сохраняется в пакетный буфер, а дескриптор – в буфер дескрипторов и затем в блок расчета HASH, в котором рассчитывается общая HASH-сумма пакета по сумме IP-адреса получателя и отправителя, сумме TCP/UDP-портов получателя и отправителя и коду протокола L4 по алгоритму счетчика с аутентификацией Галуа. Затем блок балансировки на основе сравнения значений вычисленной общей HASH-суммы и определенных им в соответствие номеров выходных интерфейсов распределяет пакеты между выходными интерфейсами. 4 ил.

Изобретение относится к области систем мониторинга и анализа сетей передачи данных. Технический результат заключается в обеспечении возможности функционирования устройств предварительной обработки трафика с обеспечением целостности информационных потоков, передаваемых через TCP/UDP сессии. Такой результат достигается тем, что выполняется выделение из пакета Ethernet, IP и TCP/UDP-заголовков и формирование на их основе дескриптора. На основе полей заголовков пакета IP-адресов, кода протокола L4, TCP/UDP-портов рассчитывается HASH-сумма сессии. В ячейке RAM-памяти, адрес которой равен полученной HASH-сумме сессии, выполняется поиск информации об уже принятом пакете с такой же HASH-суммой сессии. По результатам сравнения с данными из дескриптора пакету присваивается идентификатор – значение поля ACTION, на основании которого принимается решение о дальнейших действиях над пакетом. 7 ил., 1 табл.

Изобретение относится к способам фильтрации данных пакетов в сетевых пакетных коммутаторах. Технический результат заключается в обеспечении фильтрации данных сетевых пакетов в коммутаторах на уровне отдельных байт без снижения пропускной способности. Через не связанный с сетью конфигурационный интерфейс задается маска - битовая последовательность фиксированной длины Nmax, соответствующей максимально возможному количеству байт в передаваемом пакете в соответствии со стандартом сетевого протокола. Выполняют фильтрацию данных передаваемого пакета в соответствии со следующим алгоритмом: из передаваемого пакета побайтно удаляют данные в соответствии с заданной маской таким образом, что если n-й бит маски равен «1», то n-й байт данных в передаваемом пакете не доставляется получателю, а если «0», то указанный байт доставляется получателю, где n – номер байта данных в передаваемом пакете, n=[1, 2, ..., Nmax], причем, если в результате удаления данных из передаваемого пакета количество байт, доставляемых получателю, Nfilt стало меньше Nmin, где Nmin – минимально возможное количество байт, доставляемое получателю в составе одного пакета, то получателю дополнительно передаются (Nmin – Nfilt) нулевых байт. Полученный пакет данных дополняют контрольной последовательностью, вычисляемой с использованием алгоритма CRC-32, и доставляют получателю через выходной сетевой интерфейс коммутатора. Удаление данных из передаваемого пакета, вычисление контрольной последовательности и дополнение ею пакета данных, доставляемых получателю, выполняется аппаратно, на основе жесткой логики. 4 ил.

Изобретение относится к области построения систем маршрутизации в системах коммутации сетевых пакетов. Технический результат - обеспечение модификации данных сетевых пакетов на уровне отдельных байт с минимальной задержкой на обработку и высокой пропускной способностью, а также исключение уязвимости. Для этого предложен способ модификации данных при сетевой пакетной коммутации, который заключается в том, что задаются маска и паттерн. Пакет данных, подлежащих модификации, сохраняется в области памяти с фиксированным адресным пространством. Выполняется инициализация блока управления пакетом, включающего адрес первой ячейки в памяти, содержащей указанный пакет данных, адрес A1 первой ячейки данных, подлежащих модификации, а также адрес A2 последней ячейки, содержащей пакет данных в памяти. Выполняется инициализация блоков управления ячейкой области памяти, содержащей указанный пакет данных, причем блоки управления ячейкой инициализируются для каждой ячейки данных c адресом Аn. Каждый из блоков управления ячейкой содержит набор из двух байт, первый из которых содержит маску, а второй - паттерн, причем, k-му биту маски соответствует k-й бит паттерна. 4 ил.

Изобретение к способам динамической фильтрации сетевых пакетов. Технический результат - повысить пропускную способность и производительность. Для разрешения коллизий, возникающих при отслеживании сессии на основе HASH-суммы, в одной ячейке RAM-памяти содержатся записи с информацией о четырех сессиях. Информация включает в себя IP-адрес получателя, IP-адрес отправителя, код протокола L4, порт получателя, порт отправителя, время, когда был принят последний пакет сессии и код выполняемого над пакетом действия. Далее HASH-сумма передается в блок отслеживания сессий (106), который проверяет в ячейке RAM-памяти адрес, которой равен HASH-сумме, наличие информации, состоящей из полей заголовков пакета, по которым выполнялся расчет HASH-суммы об уже принятом пакете с такой же HASH-суммой, при этом увеличивается счетчик количества пакетов в сессии на 1 пакет. Если в ячейке RAM-памяти уже присутствует информация о сессии, то выполняется ее сравнение с данными из дескриптора пакета. Если информация совпадает и пакет не содержит флага SYN в TCP-заголовке, то считается, что пакет принадлежит к уже существующей сессии и к дескриптору пакета добавляется хранящийся в этой ячейке RAM-памяти идентификатор действия, являющийся 8-битным числом, на основе которого блок фильтрации выполняет фильтрацию пакета. Если информация совпадает, но в пакете присутствует флаг SYN в TCP-заголовке, то выполняется присвоение нового идентификатора сессии и в ячейку RAM-памяти заносится информация о текущем пакете. Если информация не совпадает, то аналогичным образом проверяются остальные три записи о других сессиях, в случае отсутствия совпадений информации создается новая запись в ячейке RAM-памяти. 4 ил.

Изобретение относится к способам высокоскоростного поиска и отслеживания фрагментированного IP-трафика в высоконагруженных сетях. Технический результат - обеспечение предварительной обработки трафика с гарантией целостности информационных потоков, передаваемых через TCP/UDP сессии при обработке фрагментированных IP-пакетов. Предложен способ отслеживания фрагментов пакетов в сетевом трафике, заключающийся в поиске всех фрагментов IP-пакета и обеспечении одинакового для них способа обработки, в котором: блок анализа пакета осуществляет выделение из пакета Ethernet, IP и TCP/UDP-заголовков, полей заголовков «Идентификатор» и «Смещение фрагмента» и формирование на их основе дескриптора, передачу пакета в пакетный буфер, а дескриптора в буфер дескрипторов; блок анализа фрагментов выполняет проверку флага наличия фрагментов IP-пакета, полей «Идентификатор» и «Смещение фрагмента», если пакет фрагментирован и смещение фрагмента равно 0, то в RAM-памяти создается запись, содержащая «Идентификатор», «Смещение фрагмента», IP-адреса и TCP/UDP порты получателя и отправителя, если пакет фрагментирован и «Смещение фрагмента» не равно 0, то в RAM-памяти выполняется поиск записи с совпадающими IP-адресами и «Идентификатором», и в дескриптор пакета записываются TCP/UDP-порты получателя и отправителя из RAM-памяти, блок расчета HASH получает от блока анализа фрагментов упомянутый дескриптор и на его основе рассчитывает общую HASH-сумму пакета, а блок балансировки на основе полученной общей HASH-суммы распределяет пакеты между выходными интерфейсами. 1 з.п. ф-лы, 4 ил.

Изобретение относится к методам построения сетей переключения сигналов (передачи данных), а именно к методам предотвращения неисправности. Технический результат заключается в предотвращении сбоев локальной компьютерной сети. Способ обеспечивает прием сетевым устройством первого пакета данных, включающего в себя первый IP-адрес, идентифицирующий источник первого ARP-ответа, прием сетевым устройством второго пакета данных, включающего в себя второй IP-адрес, идентифицирующий источник второго ARP-ответа, причем первый пакет данных включает идентификатор порта сетевого устройства, на который был получен первый ARP-ответ первой подсети, второй пакет данных включает идентификатор порта сетевого устройства. Определяют, произошел ли ложный ARP-ответ из первой подсети или из второй подсети, путем сравнения информации, доступной сетевому устройству, включенной в первый и второй пакеты данных, с информацией, хранящейся соответственно в первой и второй базах данных, относящихся к первой и второй подсети, и если сетевым устройством определено, что произошел ложный ARP-ответ, то передача пакета данных, содержащего ложный ARP-ответ из первой или второй подсети, не производится. 1 з.п. ф-лы, 2 ил.

Изобретение относится к адресации или местонахождению данных в памяти. Технический результат заключается в повышении эффективности обработки пакетов данных переменной длины с использованием кольцевого буфера. В способе устанавливают длину кольцевого буфера, устанавливают начальный и конечный адреса для кольцевого буфера, устанавливают начальное местоположение текущего указателя в памяти микропроцессора, устанавливают шаг по индексу в памяти микропроцессора, устанавливают указатель в кольцевом буфере, в микропроцессоре определяют местоположение текущего указателя в памяти микропроцессора, определяют местоположение указателя в кольцевом буфере, и в случае, когда местоположение не превосходит конечного адреса кольцевого буфера, устанавливают его равным местоположению текущего указателя в памяти микропроцессора, и в случае, когда местоположение текущего указателя в памяти микропроцессора больше, чем конечный адрес кольцевого буфера, то устанавливают местоположение путем вычитания длины кольцевого буфера из местоположения текущего указателя в памяти микропроцессора. 2 ил.

Изобретение относится к области построения. Технический результат заключается в обеспечении минимальной задержки при передаче данных и равномерном распределении нагрузки между сетевыми коммутирующими устройствами. В способе маршрутизации пакетов данных между множеством сетевых устройств, предназначенных для коммутации пакетов данных, первое сетевое устройство после проверки сообщения данных производит сопоставление значений приоритетов текущего и второго сетевых устройств и для сетевого устройства с меньшим приоритетом блокируется ответ посредством сопряженного с указанным сетевым устройством порта первого сетевого устройства, причем значением приоритета сетевого устройства является величина, обратная расстоянию от сетевого устройства до хост-устройства, выраженному в количестве промежуточных сетевых устройств, находящихся между сетевым устройством и хост-устройством, а вычисление значений расстояний для каждого из сетевых устройств производится с помощью дистанционно-векторного алгоритма. 1 ил.

 


© Патентный поиск, поиск патентов на изобретения - FindPatent.RU 2012-2024
Политика конфиденциальности
Наверх