CN101005455A - 一种基于旁路干扰的流量控制方法 - Google Patents
一种基于旁路干扰的流量控制方法 Download PDFInfo
- Publication number
- CN101005455A CN101005455A CNA2006101715168A CN200610171516A CN101005455A CN 101005455 A CN101005455 A CN 101005455A CN A2006101715168 A CNA2006101715168 A CN A2006101715168A CN 200610171516 A CN200610171516 A CN 200610171516A CN 101005455 A CN101005455 A CN 101005455A
- Authority
- CN
- China
- Prior art keywords
- data packet
- rule
- packet
- rules
- flow control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000000694 effects Effects 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims description 15
- 230000008859 change Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000007493 shaping process Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于旁路干扰的流量控制方法,包括以下步骤:1)构建流量控制的规则库;2)根据规则的时间,进行规则调度,建立活跃规则库;3)对数据包进行解析,计算出数据包速率信息并根据当前活跃规则库中的规则进行全局决策和局部决策,根据决策来控制流量。所述步骤1)中规则库的规则为用户对链路层、网络层、传输层和应用层中的某一层次或几个不同层次制定的控制规则;控制规则的指标包括出境方向、入境方向和出入境方向的流量上限的绝对值、流量所占的百分比,规则生效的状态、时间、周期和地址范围;全局黑名单、全局白名单、局部黑名单和局部白名单。本发明的优点是:提高配置规则的灵活性;提高系统效率;减轻系统负载。
Description
技术领域
本发明涉及网络中流量控制技术,特别涉及基于旁路干扰的流量控制方法。
背景技术
所谓流量控制是对网络中特定流量进行有目的控制。通过流量控制,网络服务提供商(Internet Service Provider,简称ISP)和其他网络管理人员可以更好地实现网络服务质量(Quality of Service,简称QOS)的保障和提升。例如可通过对特定用户或者应用层业务限制最大的带宽消耗以达到对不同级别的客户或者是不同业务类型的应用提供不同的服务的保证,减少无谓的带宽消耗,保护稀缺的带宽资源,保障其他用户或者应用层业务的正常应用,增加用户的满意度等。
目前的流量控制技术大都是通过在所关注的链路上串接相关的流量控制设备。不同的流量整形算法会关注从不同的角度来对流量进行整形,如公平性,优先级,实时性等,根据RED、CBQ和HTB等不同的流量整形算法,缓存或者丢弃相特定的数据包,对输入的流量进行整形,使输出流可保证对不同级别的客户或者是不同类型的协议或者应用提供不同的服务,限制特定用户的带宽,保证关键业务的QOS等功能。
现有技术的不足在于:1、串接的流量控制方式会影响到网络的性能,增加网络的故障点。网络带宽和流量控制器中的总线带宽、处理器的速度和内存空间等都会使得在处理输入流量时产生一定延时,当网络负载较大时,进行流量控制所带来的延时将极大影响网络性能;更有甚者,如果串接的流量控制设备出现故障,网络将完全断开,而造成重大损失;2、流量控制策略的配置不够灵活,支持的策略指标不够全面,大部分流量控制系统仅仅支持对总流量的上限进行控制,而并未区分不同用户级别,同时它们一般没有黑白名单的配置,不能区分不同层次上的协议,尤其是对Skype、BitTorrent、eDonkey和PPLive等应用层业务不能根据业务类型进行有针对性的流量控制;并且对于总流量,甚至不能够区分出入境方向;3、策略调度时查找策略的路径十分复杂,极大的影响了系统执行的效率4、根据下达的策略对流量进行控制的精确性较差,不能完全地按照预先的策略设定完成流量控制功能。
综上所述,迫切希望有一种新的、能够提高策略配置灵活性、降低延时、并完全可靠的流量控制的方法。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于旁路干扰的流量控制方法。
为了达到上述目的,本发明采用如下技术方案。
一种基于旁路干扰的流量控制方法,包括以下步骤:
1)构建流量控制的规则库;
2)根据规则的时间,进行规则调度,建立“活跃规则库”;
3)对数据包进行解析,计算出数据包速率信息并根据当前活跃规则库中的规则进行全局决策和局部决策,根据决策来控制流量。
进一步地,所述步骤1)中的规则为用户对链路层、网络层、传输层和应用层的某一层次或几个不同层次制定的控制规则;控制规则的指标包括出境方向、入境方向和出入境方向的流量上限的绝对值、流量所占的百分比,规则生效的状态、时间、周期和地址范围;全局黑名单、全局白名单、局部黑名单和局部白名单。
进一步地,所述全局黑名单和全局白名单是独立于任何规则的地址控制范围,对属于全局黑名单的地址控制范围的数据包均进行阻断操作,对属于全局白名单的地址控制范围的数据包均不进行阻断操作;所述局部黑名单和局部白名单是作用于相应规则的地址控制范围,局部黑名单使得对除速率条件外满足相应规则的数据包不做任何操作,局部白名单使得对满足相应规则除速率条件外的其他指标的任一数据包进行流量控制。
进一步地,所述步骤2)包括如下步骤:
(1)对每条链路,做步骤(2)-步骤(5)的操作;
(2)对该链路的每条规则,做步骤(3)-步骤(5)的操作;
(3)如果这条规则原先生效而当前已经过期,则将其从活跃规则库中删除;将这条规则的下一次生效时间减去当前时间得到这条规则发生变化的时间;
(4)如果这条规则原先不生效而当前已经达到生效时间,则将其加入活跃规则库中;将这条规则的过期时间减去当前时间得到这条规则发生变化的时间;
(5)计算所有的规则发生变化的最小时间得到活跃规则库下一次发生变化的时间;所述活跃规则库发生变化是指步骤(3)中所述从活跃规则库中删除规则或步骤(4)所述将规则加入活跃规则库;
(6)睡眠,直到活跃规则库下一次发生变化的时间或者系统中有事件通知;所述事件通知是指系统终止运行,或用户添加新的规则进入规则库或者删除正在活动的规则。
(7)重复步骤(1)-步骤(6)的操作,直到系统结束运行。
进一步地,所述步骤3)包括如下步骤:
(1)解析数据包,检查数据包的有效性;如果有效,则执行下一步骤;否则返回处理下一个数据包;
(2)捕获数据包并解析,识别其网络层、传输层协议和应用层协议,并标识各层数据在原始数据包中的偏移和长度;转向步骤(3);所述解析包括解析出如下信息:原始数据包和长度、该数据包达到系统的时间戳、数据包进行的链路和方向、数据包所在的流记录和应用层标签;
(3)如果数据包属于全局白名单指定的范围,则返回处理下一个数据包;否则转向步骤(4);
(4)如果数据包属于全局黑名单指定的范围,则转向步骤(10)执行;否则转向步骤(5)执行;
(5)对数据包链路上的所有活跃规则,做步骤(6)-步骤(10)的操作;
(6)检查数据包是否符合当前活跃规则的定义,如果不符合,转向步骤(5)检查下一条规则;否则,转向步骤(7);
(7)如果数据包属于局部黑名单指定的范围,转向步骤(10)执行;否则转向步骤(8);
(8)如果数据包属于局部白名单指定的范围,返回处理下一个数据包;否则转向步骤(9);
(9)对数据包进行统计:计算时间t秒内的流量和上一个数据包达到后到现在允许经过的字节个数,如果时间t秒内的流量没有超过用户在规则中的设定阈值,并且上一个数据包达到后到现在允许经过的字节个数大于0,则转向步骤(10);否则返回处理下一个数据包; 所述时间t为实数且1<=t<=10;
(10)发送控制包:根据数据包的网络层协议,传输层协议和应用层协议发送控制包,抑制端到端的速度;返回处理下一个数据包。
进一步的,所述步骤(10)发送控制包具体包括如下步骤:
(a)如果是TCP(传输控制协议)数据包,转向步骤(b)执行;否则转向步骤(d)执行;
(b)发送和原始数据包同向的RST(重置)包,此数据包的TCP序列号(SEQ)和回应号(ACK),采用下列的方式生成:SEQ号为当前数据包的下一个字节序号,即当前数据包的序列号加上该数据包的负载长度;ACK号和当前的数据包相同;数据包内容其他部分从原始数据包中拷贝;
(c)对于和原始数据包反向的RST包,此数据包的TCP序列号(SEQ)和回应号(ACK),采用下列的方式生成:SEQ号是当前数据包的ACK号;ACK号是当前数据包的序列号加上该数据包的长度;源地址和目的地址、源端口和目的端口做交换,数据包包的其他内容从原始数据包中拷贝;
(d)如果是UDP(用户数据包协议)数据包,则往数据包的发送方发送ICMP(因特网控制信息协议)的端口不可达包,来抑制原始UDP数据包的发送。
进一步地,构建ICMP的端口不可达包的方法如下:IP(网际协议)包的源地址采用数据包的目的地址,IP包的目的地址采用数据包的源地址,ICMP包的IP头和UDP头采用数据包中的IP头和UDP头。
与现有技术相比,本发明的有益效果是:
1、提高配置规则的灵活性:可以针对链路层、应用层、传输层、应用层等不同层次并对地址段组、流量方向等以多种方式配置规则,设置规则的生效时间段和周期,对控制的目标值设置绝对和相对的方式,支持黑白名单等。
2、大幅度的提高系统效率:由于本发明采用了“活跃规则库”,规则检查的核心路径上只检查那些可能生效的规则,而不关心那些不可能生效的规则,系统效率大幅提升。
3、减轻系统负载:动态计算网络负载,在某条规则匹配数据包时才计算这条规则在过去的一段时间发生的网络负载;避免了现有技术中对每一条规则设置定时器以定时的方式刷新网络负载的方式,现有技术中对于每条规则需要一个定时器,当规则比较多的情况下,需要的定时器很多就会增加系统负载;相比而言,本发明减轻了系统负载。本发明结合数据包的流信息进行决策控制,提高了控制的精度,同时减轻了被控网络的负担;
附图说明
图1是本发明的流量控制系统流程架构;
图2是本发明的判断数据包是否属于活跃规则库中特定规则的流程图;
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细描述:
如图1所示为本发明的流量控制系统流程架构。其中上面是子模块,下面是数据结构。用来进行流量控制决策的所有规则按照链路层次的划分组织成链表的形式,成为规则库。它是由策略配置模块负责填充的,同时策略配置模块还负责从外部接受、解释和翻译规则的外部表示以便填充到规则库中。为了提高系统的效率,规则库的的活跃子集,也就是那些当前正在生效的规则,被提取出来形成活跃规则库。而将规则加入或者从活跃规则库中删除的工作,是由策略调度模块进行的,它调度的依据是当前时间是否满足规则的生效时间。最后,策略引擎模块,是本系统的核心模块,它的工作是对数据包进行统计、决策和控制,它进行统计和决策的依据是活跃规则库。
具体地,基于旁路干扰的流量控制方法,包括以下步骤:
步骤一:根据用户配置,构建一个规则库。经过对流量控制理论的研究,结合网络流量分布的情况和实际需求,流量控制要求完成的功能如下:流量控制功能依据可调整的规则实时进行,具体的规则包括如下基本控制单元:
(1)区分出境方向、入境方向和出入境方向和进行流量控制;
(2)区分不同时间段等进行流量控制;
(3)区分不同协议等进行流量控制;
(4)区分不同地址(即用户)或者地址段组等进行流量控制,可以设定黑名单和白名单;黑名单是指针对于一条规则,禁止该规则应用在任何属于此黑名单的地址上。白名单是指针对于一条规则,允许该策略应用在任何属于此白名单的地址上。
(5)全局黑白名单和局部黑白名单:全局黑名单和全局白名单独立于任何规则,前者对属于其地址控制范围的数据包均进行阻断操作,后者对属于其地址控制范围的数据包均不进行阻断操作;局部白名单和局部黑名单作用于某一具体规则,前者保证对除速率条件外满足一规则的数据包不做任何操作,后者保证对满足某一规则除速率条件外的其他指标的任一数据包进行流量控制,即对于一条规则,如果某数据包满足此规则除速率条件外的其他指标,那么即对其进行流量阻断操作而无论其速率是否大于规则规定的数据包速率上限;
(6)按照流量上限的绝对值;
(7)按照流量所占的百分比;
基于上述要求,本发明将流量控制的配置分为以下四个层次:链路配置、3层配置、4层配置、应用层配置。链路配置是指针对某一链路整体上所做的流量控制配置,其不仅仅局限于控制某一种协议的流量;3层配置是针对某一链路上3层协议所作的流量控制规则的配置,如ipv4,ipv6,icmp等;4层配置是指针对某一链路上4层协议所作的流量控制规则的配置,如udp,tcp等;应用层配置是指针对某一链路上应用层协议所作的流量控制规则的配置,如http,ftp等。在以上四个层次上的所有策略都必须配置以下指标值:出境方向、入境方向和出入境方向、流量上限的绝对值或者流量所占的百分比、时间段、全局黑白名单、终止或者活动状态。可选指标项为:局部黑白名单,用户将根据人机交互接口来每配置一条控制规则,加入到系统的规则库中,另外用户可以修改或删除原来的控制规则。
步骤二:根据规则运行的时间,进行规则调度,组织“活跃规则库”。用户配置的每条规则均存在于规则库中,本发明将目前允许活动的规则单独归并到活动规则库中,简化策略查找的路径。
(1)对每条链路,做步骤(2)-步骤(5)的操作;
(2)对该链路的每条规则,做步骤(3)-步骤(5)的操作;
(3)如果这条规则原先生效而当前已经过期,则将其从活跃规则库中删除;将这条规则的下一次生效时间减去当前时间得到这条规则发生变化的时间;
(4)如果这条规则原先不生效而当前已经达到生效时间,则将其加入活跃规则库中;将这条规则的过期时间减去当前时间得到这条规则发生变化的时间;
(5)计算所有的规则发生变化的最小时间得到活跃规则库下一次发生变化的时间;所述活跃规则库发生变化是指步骤(3)中所述从活跃规则库中删除规则或步骤(4)中所述将规则加入活跃规则库;计算活跃规则库中所有规则的时间最小间隔(即规则终止到规则下一次活动之间的时间间隔)并取其最小值,取其为活跃规则库发生变化的最小时间;如有3条规则其时间最小间隔分别为:1,2,3秒,那么取其最小值1为活跃规则库发生变化的最小时间;经过这个最小时间后,活跃规则库就会发生变化:要么某条规则被添加到活跃规则库中,要么某条规则从活跃规则库中删除;
(6)睡眠,直到下一次活跃规则库发生变化(此变化是指有新的规则变为活动的规则或者活动的规则不再活动)的时间,或者系统中有事件通知;这里的事件通知是指当用户添加了新的规则或者删除了正在活动的规则,或系统终止运行的情况。
(7)重复步骤(1)-步骤(6)的操作,直到系统结束运行。
步骤三:对数据包进行提取数据包及其长度、到达时间戳等解析工作,计算出数据包速率等信息并结合当前活跃规则库中的规则的速率上限、全局黑白名单、局部黑白名单等规则信息进行全局决策和局部决策,进行实际的流量控制操作。判断数据包是否属于活跃规则库中特定规则的流程图如图2所示,具体实施的步骤如下:
(1)解析该数据包,检查数据包的有效性;如果有效转向下一步骤;否则返回处理下一个数据包;
(2)捕获数据包及并解析出相关信息,包括原始数据包和长度、该数据包达到系统的时间戳、数据包进行的链路和方向、数据包所在的流记录和应用层标签,识别其网络层、传输层协议和应用层协议,并标识各层数据在原始数据包中的偏移和长度;转向步骤(3);
(3)如果数据包属于全局白名单指定的范围,则返回处理下一个数据包;否则转向步骤(4);
(4)如果数据包属于全局黑名单指定的范围,则转向步骤(10)执行;否则转向步骤(5)执行;
(5)对数据包链路上的所有活跃规则,做步骤(6)-步骤(10)的操作;
(6)检查该数据包是否符合该规则的规则条件,如果不符合,转向步骤(5)检查下一条规则;否则,转向步骤(7);
(7)如果数据包属于局部黑名单指定的范围,转向步骤(10)执行;否则转向步骤(8);
(8)如果数据包属于局部白名单指定的范围,返回处理下一个数据包;否则转向步骤(9);
(9)对数据包进行统计:计算最近t秒内的流量(即是速度)和上一个包达到后到现在(包括现在)允许经过的字节个数。这里取t=1作为例子,根据具体网络流量分布带宽等条件的不同,可以取1到10内的实数。如果最近t秒内的流量没有超过用户的设定的阈值,并且上一个包达到后到现在允许经过的字节个数大于0,则转向步骤(10);否则返回处理下一个数据包;
(10)发送控制包:根据数据包的网络层协议,传输层协议和应用层协议发送控制包,抑制端到端的速度;返回处理下一个数据包;
在上述步骤(10)中实际的流量控制是通过发送干扰包的方式完成,它必须根据数据包的协议来进行区分:
对于TCP通讯而言,采用同时往通讯的双方发送RST包的方案。构建RST包的方式如下:对于和原始数据包同向的RST包,包内容大部分从原始数据包中拷贝,而关键的TCP序列号(SEQ)和回应号(ACK),采用下列的方式生成:SEQ号为当前数据包的下一个字节序号,即当前数据包的序列号加上该数据包的负载长度;ACK号和当前的数据包相同。对于和原始数据包反向的RST包,包的内容亦大部分从原始数据包中拷贝,但是,源地址和目的地址、源端口和目的端口做交换。而关键的TCP序列号(SEQ)和回应号(ACK),采用下列的方式生成:SEQ号是当前数据包的ACK号;ACK号是当前数据包的序列号加上该数据包的长度。这种方式是有效的,因为TCP的流量大部分都是非对称的,在同一个时间点,往往都是一个方向有流量,另外一个方向没有流量;因此可以有效地终止TCP连接,从而降低网络负载。
对于UDP通讯而言,采用往数据包的发送方发送ICMP的端口不可达包,来抑制原始UDP包的发送。构建ICMP的端口不可达包的方式如下:IP包的源地址是数据包的目的地址,IP包的目的地址是数据包的源地址,并将数据包中的IP头和UDP头拷贝到ICMP包中。
网络上新应用不断增多,网络用户的快速增长,非法流量的持续涌现,使网络流量控制日益迫切。本发明提出的一种基于旁路干扰的流量控制系统的设计和实现方法,能够方面灵活的对网络流量进行各种层次上的控制,并且提高了网络流量检测系统的效率,对运营商的QOS控制,对网络管理人员均有着重要的意义。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1、一种基于旁路干扰的流量控制方法,包括以下步骤:
1)构建流量控制的规则库;
2)根据规则的时间,进行规则调度,建立活跃规则库;
3)对数据包进行解析,计算出数据包速率信息并根据当前活跃规则库中的规则进行全局决策和局部决策,根据决策来控制流量。
2、根据权利要求1所述基于旁路干扰的流量控制方法,其特征是,所述步骤1)中规则库的规则为用户对链路层、网络层、传输层和应用层制定的控制规则;控制规则的指标包括出境方向、入境方向和出入境方向的流量上限的绝对值、流量所占的百分比,规则生效的状态、时间、周期和地址范围;全局黑名单、全局白名单、局部黑名单和局部白名单。
3、根据权利要求2所述基于旁路干扰的流量控制方法,其特征是,所述全局黑名单和全局白名单是作用于用户制定的任一规则的地址控制范围,对属于全局黑名单的地址控制范围的数据包均进行阻断操作,对属于全局白名单的地址控制范围的数据包均不进行阻断操作;所述局部黑名单和局部白名单是作用于相应规则的地址控制范围,局部黑名单使得对除速率条件外满足相应规则的数据包不做任何操作,局部白名单使得对满足相应规则除速率条件外的其他指标的任一数据包进行流量控制。
4、根据权利要求1所述基于旁路干扰的流量控制方法,其特征是,所述步骤2)包括如下步骤:
(1)对每条链路,做步骤(2)-步骤(5)的操作;
(2)对该链路的每条规则,做步骤(3)-步骤(5)的操作;
(3)如果这条规则原先生效而当前已经过期,则将其从活跃规则库中删除;将这条规则的下一次生效时间减去当前时间得到这条规则发生变化的时间;
(4)如果这条规则原先不生效而当前已经达到生效时间,则将其加入活跃规则库中;将这条规则的过期时间减去当前时间得到这条规则发生变化的时间;
(5)计算所有的规则发生变化的最小时间得到活跃规则库下一次发生变化的时间;
(6)睡眠,直到活跃规则库下一次发生变化的时间或者系统中有事件通知;
(7)重复步骤(1)-步骤(6)的操作,直到系统结束运行。
5、根据权利要求1所述基于旁路干扰的流量控制方法,其特征是,所述步骤3)包括如下步骤:
(1)解析数据包,检查数据包的有效性;如果有效,则执行下一步骤;否则返回处理下一个数据包;
(2)捕获数据包并解析,识别其网络层、传输层协议和应用层协议,并标识各层数据在原始数据包中的偏移和长度;转向步骤(3);
(3)如果数据包属于全局白名单指定的范围,则返回处理下一个数据包;否则转向步骤(4);
(4)如果数据包属于全局黑名单指定的范围,则转向步骤(10)执行;否则转向步骤(5)执行;
(5)对数据包链路上的所有活跃规则,做步骤(6)-步骤(10)的操作;
(6)检查数据包是否符合当前活跃规则的定义,如果不符合,转向步骤(5)检查下一条规则;否则,转向步骤(7);
(7)如果数据包属于局部黑名单指定的范围,转向步骤(10)执行;否则转向步骤(8);
(8)如果数据包属于局部白名单指定的范围,返回处理下一个数据包;否则转向步骤(9);
(9)对数据包进行统计:计算时间t秒内的流量和上一个数据包达到后到现在允许经过的字节个数,如果时间t秒内的流量没有超过用户在规则中的设定阈值,并且上一个数据包达到后到现在允许经过的字节个数大于0,则转向步骤(10);否则返回处理下一个数据包; 所述t为实数且1<=t<=10;
(10)发送控制包:根据数据包的网络层协议,传输层协议和应用层协议发送控制包,抑制端到端的速度;返回处理下一个数据包。
6、根据权利要求5所述基于旁路干扰的流量控制方法,其特征是,所述步骤(2)中对数据包解析包括解析出如下信息:原始数据包和长度、该数据包达到系统的时间戳、数据包进行的链路和方向、数据包所在的流记录和应用层标签。
7、根据权利要求5所述基于旁路干扰的流量控制方法,其特征是,所述步骤(10)发送控制包具体包括如下步骤:
(a)如果是TCP数据包,转向步骤(b)执行;否则转向步骤(d)执行;
(b)发送和原始数据包同向的重置包,此数据包的TCP序列号和回应号,采用下列的方式生成:序列号为当前数据包的下一个字节序号;回应号和当前的数据包相同;数据包内容其他部分从原始数据包中拷贝;
(c)对于和原始数据包反向的重置包,此数据包的TCP序列号和回应号,采用下列的方式生成:序列号是当前数据包的回应号;回应号是当前数据包的序列号加上该数据包的长度;源地址和目的地址、源端口和目的端口做交换;数据包的其他内容从原始数据包中拷贝;
(d)如果是UDP数据包,则往数据包的发送方发送ICMP的端口不可达包,来抑制原始UDP数据包的发送。
8、根据权利要求7所述基于旁路干扰的流量控制方法,其特征是,所述步骤(d)中构建ICMP的端口不可达包的方法如下:IP包的源地址采用数据包的目的地址,IP包的目的地址采用数据包的源地址,ICMP包的IP头和UDP头采用数据包中的IP头和UDP头。
9、根据权利要求4所述基于旁路干扰的流量控制方法,其特征是,步骤(6)中所述事件通知是指系统终止运行,或用户添加新的规则进入规则库或者删除正在活动的规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101715168A CN101005455B (zh) | 2006-12-30 | 2006-12-30 | 一种基于旁路干扰的流量控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101715168A CN101005455B (zh) | 2006-12-30 | 2006-12-30 | 一种基于旁路干扰的流量控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101005455A true CN101005455A (zh) | 2007-07-25 |
| CN101005455B CN101005455B (zh) | 2012-06-27 |
Family
ID=38704326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101715168A Expired - Fee Related CN101005455B (zh) | 2006-12-30 | 2006-12-30 | 一种基于旁路干扰的流量控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101005455B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753572B (zh) * | 2009-12-23 | 2012-08-15 | 西北工业大学 | 基于抗黑名单机制的BitTorrent文件污染方法 |
| CN102663310A (zh) * | 2012-03-23 | 2012-09-12 | 华为技术有限公司 | 存储系统保护方法及装置 |
| CN103107948A (zh) * | 2011-11-15 | 2013-05-15 | 阿里巴巴集团控股有限公司 | 一种流量控制方法和装置 |
| CN106301832A (zh) * | 2015-05-21 | 2017-01-04 | 中兴通讯股份有限公司 | 一种处理系统日志报文的方法和装置 |
| CN107104981A (zh) * | 2017-05-26 | 2017-08-29 | 北京天地和兴科技有限公司 | 一种基于主动防御机制的内容审计系统及其内容审计方法 |
| CN107277027A (zh) * | 2017-06-30 | 2017-10-20 | 北京知道未来信息技术有限公司 | 一种旁路抢答设备识别方法及流量清洗方法 |
| CN108880938A (zh) * | 2018-06-19 | 2018-11-23 | 成都网丁科技有限公司 | 一种端到端tcp会话测速方法 |
| CN111400025A (zh) * | 2019-01-03 | 2020-07-10 | 阿里巴巴集团控股有限公司 | 流量调度方法和装置、系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1166208A4 (en) * | 1999-10-20 | 2008-03-26 | Alcatel Internetworking Inc | SETUP POLICY RULE STORAGE FOR DATA COMMUNICATION SWITCH |
| CN1494278A (zh) * | 2002-11-02 | 2004-05-05 | 华为技术有限公司 | 一种数据流分类方法 |
| CN1578227A (zh) * | 2003-07-29 | 2005-02-09 | 上海聚友宽频网络投资有限公司 | 一种动态ip数据包过滤方法 |
-
2006
- 2006-12-30 CN CN2006101715168A patent/CN101005455B/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753572B (zh) * | 2009-12-23 | 2012-08-15 | 西北工业大学 | 基于抗黑名单机制的BitTorrent文件污染方法 |
| CN103107948A (zh) * | 2011-11-15 | 2013-05-15 | 阿里巴巴集团控股有限公司 | 一种流量控制方法和装置 |
| CN103107948B (zh) * | 2011-11-15 | 2016-02-03 | 阿里巴巴集团控股有限公司 | 一种流量控制方法和装置 |
| CN102663310A (zh) * | 2012-03-23 | 2012-09-12 | 华为技术有限公司 | 存储系统保护方法及装置 |
| CN106301832A (zh) * | 2015-05-21 | 2017-01-04 | 中兴通讯股份有限公司 | 一种处理系统日志报文的方法和装置 |
| CN106301832B (zh) * | 2015-05-21 | 2020-04-03 | 中兴通讯股份有限公司 | 一种处理系统日志报文的方法和装置 |
| CN107104981A (zh) * | 2017-05-26 | 2017-08-29 | 北京天地和兴科技有限公司 | 一种基于主动防御机制的内容审计系统及其内容审计方法 |
| CN107104981B (zh) * | 2017-05-26 | 2021-01-01 | 北京天地和兴科技有限公司 | 一种基于主动防御机制的内容审计系统及其内容审计方法 |
| CN107277027A (zh) * | 2017-06-30 | 2017-10-20 | 北京知道未来信息技术有限公司 | 一种旁路抢答设备识别方法及流量清洗方法 |
| CN108880938A (zh) * | 2018-06-19 | 2018-11-23 | 成都网丁科技有限公司 | 一种端到端tcp会话测速方法 |
| CN111400025A (zh) * | 2019-01-03 | 2020-07-10 | 阿里巴巴集团控股有限公司 | 流量调度方法和装置、系统 |
| CN111400025B (zh) * | 2019-01-03 | 2023-05-26 | 阿里巴巴集团控股有限公司 | 流量调度方法和装置、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101005455B (zh) | 2012-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9246825B2 (en) | Accelerated processing of aggregate data flows in a network environment | |
| US9166921B2 (en) | Selective packet sequence acceleration in a network environment | |
| US8792353B1 (en) | Preserving sequencing during selective packet acceleration in a network environment | |
| US9722933B2 (en) | Selective packet sequence acceleration in a network environment | |
| US9210122B2 (en) | System and method for inspecting domain name system flows in a network environment | |
| CN102576345B (zh) | 网络流的动态管理 | |
| US8295198B2 (en) | Method for configuring ACLs on network device based on flow information | |
| CN101616097B (zh) | 一种网络处理器输出端口队列的管理方法及系统 | |
| US9148380B2 (en) | System and method for providing a sequence numbering mechanism in a network environment | |
| CN100579003C (zh) | 一种采用网流技术防御tcp攻击的方法和系统 | |
| CN114006937B (zh) | 应用服务级别协议的动态预测和管理 | |
| CN102377602A (zh) | 数据流处理方法及系统 | |
| US8102879B2 (en) | Application layer metrics monitoring | |
| Amadeo et al. | SDN-managed provisioning of named computing services in edge infrastructures | |
| CN111935031B (zh) | 一种基于ndn架构的流量优化方法及系统 | |
| CN101005455B (zh) | 一种基于旁路干扰的流量控制方法 | |
| CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
| CN100542094C (zh) | 一种网际协议报文的统计方法 | |
| CN101399780B (zh) | 互联网准最小状态流量控制方法 | |
| WO2022100581A1 (zh) | Ipfix消息的处理方法、存储介质、网络交换芯片及asic芯片 | |
| KR101003505B1 (ko) | 망 부하에 따른 트래픽의 동적 제어방법 및 그 장치 | |
| Favaro et al. | Reducing sdn/openflow control plane overhead with blackhole mechanism | |
| EP4618475A1 (en) | Traffic filtering method and apparatus, and device, system and storage medium | |
| Mohit | A comprehensive solution to cloud traffic tribulations | |
| Sawabe et al. | Efficient quality of service‐aware packet chunking scheme for machine‐to‐machine cloud services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120627 |