TW576044B

TW576044B - Apparatus and method for using a network processor to guard against a ""denial-of-service"" attack on a server or server cluster

Info

Publication number: TW576044B
Application number: TW91116569A
Authority: TW
Inventors: C Steven Lingafelt; Daniel Edward Mcconnell; Francis E Noel Jr; Charles J Sannipoli
Original assignee: Ibm
Priority date: 2001-07-26
Filing date: 2002-07-25
Publication date: 2004-02-11
Also published as: JP3900497B2; EP1417498A1; US20030023733A1; CN1318852C; WO2003010548A1; US7047303B2; EP1417498A4; CN1545624A; KR100586296B1; KR20040019341A; JP2005521273A

Description

(576044 A7 B7 五、發明説明（1 發明範疇本發明係有關於網路通訊，而更明確而言，係有關用以保護在一伺服器群集上的拒絕服務侵襲之裝置及方法。相關專利為了幫助對在此描述本發明的了解，感興趣的讀者可參考下面與先前揭示有關的描述，且下面專利僅列出供參考：在1999年8月2 7日所申請的美國專利案號〇9/3 84,691名稱 Network Processor Processing Complex and Methods” ；在1999年8月27日所申請的美國專利案號〇9/384,744名稱，,Network Processor，Memory 〇rganizati〇n and

Methods” ；在1999年1 1月23日所申請的美國專利案號09/44839〇名稱，丨 Method and System for Providing Optimal Discard

Fraction” ；在2000年4月1 8日所申請的美國專利案號〇9/551，7〇7名稱 ’’Server Cluster Interconnection Using Network Processor丨丨；及在2〇〇〇年4月18日所申請的美國專利案號〇9/551，822名稱"Data Fiow Pattern Recognition and Manipulation"。發明背景 !948的EDVAC電腦系統的發展時常是？丨用為電腦時代的開。既然在當時’電細系統已發展進入非常複雜裝置，而且電腦系統可在許多不同設定找到。電腦系統典型包括本紙張尺度適用中國國家標準(CNS) Α4規格(210X297公釐)

裝訂

線 576044 A7

576044 A7 —______B7 五、發明説明（， ) 說明。全球資訊網的一自然發展是伺服器架構。術語"架構，，的使用與許多裝置通訊，且該等裝置是以資料在末端使用者與架構中任何協同使用裝置之間大致上無接縫流動的一方式而同時耦合操作。如此，複數個伺服器電腦系統可協同分開一網路的資料處理要求。雖然執行此一功能分開技術可使用或在發展中，在此環境發生的問題可透過在此描述的本發明說明及克服。注意，以下描述的本發明具有與單一伺服器系統、以及在一伺服器架構中有關的公用程式。對於此理由而言，術語”架構”有時在此用來視為單一伺服器電腦系統。下面描述是以使用在此通訊網路的開關與路由器的網路貝料通訊的知識為前提。特別是，描述是以將網路操作分成數層熟悉的網路架構OSI模型為前提。根據〇81模型的一典型結構是從當作實體通道或媒介的第1層（有時亦稱為 n L 1 π)擴充，且信號是向上傳遞給第2 _ 7層，最後提到的是在鏈路到網路的一電腦系統上執行的應用層。在此文 I 獻，L 1、L· 2等係視為一網路結構的對應層。此揭示亦是以已知為封包、訊框、及網路通訊處理的位元串的基本了解為前提。在後者描述的點上，揭示是以某一技術的知識為前提，其中在佇列管理器的控制下，每個位元串是傳遞給在通訊裝置、與電腦系統記憶體中提供的佇列。佇列管理包括，視為RED與BLUE的先前已知處理，以決定在仵列中維持的佇列資料位準及決定所謂移到佇列的資料供疯 L 二本纸張尺度適財g Η家標準(CNS) A4規格(210:< 297公釐) 576044 五、發明説明（4 ) 率。此技術的更多討論將在稍後揭示。在此描述的一特殊問題是嘗試拒絕使用者存取—特殊# 服器或伺服器架構的資源。此一嘗試的典型形式是已知為一”服務拒絕"、或DOS侵襲。一DOS侵襲典型是由想要與例如一用互服務或一特殊網站或資料庫的網路資源可用性形成干擾的一個人或群所調整。使用資源可調整的侵襲者會造成對於在資源連結網路（例如，網際網路）上傳輸的資源呼叫量快速增加。在支援資源的伺服器回應受限制（不可避免）的·地方，幾乎同時提供的許多要求將造成一過載，並且造成伺服器減慢它的回應時間、或在許多情況，，降下1或變成不能用。在一些情況中，復原資源的可用性，或伺服器復原π可能消耗技術支援人員數小時與人日。因此，本發明的一目的是要提供用以幫助保護一伺服器電腦系統或複數個伺服器電腦系統結合在一伺服器架構之系統及方法。發明概述先前及其他目的可由本發明實施，其中一網路處理器是插入在伺服态與網路之間，而且可用來偵測及減低一侵襲。網路處理器可透過監督資料流 '計算隨時間資料流衍生決定的資料流變化率、及反應在預定邊界外的變化= 來修改用以丟棄封包的指令而保護網路資源伺服器。圖式之簡單說明本發明現將參考附圖而更詳細描述：圖1是實施本發明的一電腦系統圖； 576044 A7 B7

576044 A7 B7 五、發明説明（一此應用疋在圖2顯示，其中一或多個NP是經由一轉變結構而連接到一或多個資料處理伺服器。在此應用中， N P是提供將資料路由導向各種不同伺服器的轉變功能，但是亦可執行例如加密碼及/或解密、壓縮及/或解壓縮、病毒偵測等的其他功能。本發明亦認為NP能與伺服器功能整合。在以下描述的所有情況中，NP的主要功能通常是由網路管理器根據輸入通訊系統的一組標準而篩選資料流。然後，網路處理器使用這些篩選規則來導向交通路由流。在更等階應用中，服務篩選規則等級可用來不同處理網路過載情況的一些;貝料流。單一類別或類型的資料流將描述。如前述，當一網路通訊產品充當一伺服器或一伺服器架構的閘道器或登錄時，透過一網路處理器（N p )提供的功能網路管理器可設定筛選規則’以使交通路由流程流向特別伺服器，重新傳導交通路由、或放棄交通，全皆根據一預先足義組的穩定狀態規則。例如，所有影像交通路由具有咼優先權’而且始終路由給一特別高效率伺服器。然而，與網際網路/企業網路工作的任一者會發生延遲變成過度長’因為大I時間的一特殊應用（例如，電子郵件）的特殊服擁塞會由於在伺服器上造成的瞬間負載的一伺服器回覆。在特殊情況，當一個人、或一小群個人將用以服務的大量請求傳送給一特別伺服器時，已知拒絕服務侵襲的一飼服器侵襲便會發生，因此可拒絕其他人使用伺服器的資源。 -9- 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐) 五、發明説明（根據本电明而運用在此問題的兩唯_功能的N P將在此描述。首先，-Np可使用它的微處理器（或它的内嵌控制點處理器）之一來提供資料流的即時分析。其次，Np可看見回送與外送交通路由在伺服器之間來/回流動。 np的基本功能是監督資料封包流到m，及在資料封包/I加上可程式篩選組，當N p提供此功能時，它可監督資料封包到特別伺服器（或琿）的流率。對於監督資料封包流的能力而言，本發明可透過決定每秒的封包第一衍生而i曰加使用Έ内嵌處理器之—來分析封包資料流率的特性二只要NP看見從一正常情況的明顯變化(例如明顯增加一交通路由率變化），它便會加上封包的額外篩選（丟棄或重新路由），戶斤以㈣器不會變成過載。&是拒絕服務侵襲的想要反應。當ΝΡ看見一正常情況的明顯變化（例如明顯減少一交通路由率變化），那麼Νρ便會復原到資料流向伺服器的最初狀態。在此技術上的一額外改良可透過利用Np檢視來自一伺服器的外送流的能力而完成。在此情況，經由它的第一衍生分析，當創作ΝΡ決定來自一伺服器的外送流變化率表不一明顯減少時，ΝΡ可在回送伺服器的資料流上加上額外篩選（丟棄或重新路由），直到來自伺服器的資料流回到正常為止。請即參考圖1，本發明所預期的一電腦系統1〇〇包括一中央處理單元(CPU) 110、一主記憶體120、大量儲存介面 140、與網路介面150,且所有皆透過一系統匯流排16〇連本紙張尺度適用中國國家標準(CNS) A4規格(21〇Χ297公釐) 576044 五、發明説明（8 接。在技藝中熟諳此技者可了解到此系統包含所有類型電腦：系統個人電腦、中型電腦、主機等。注意，許多額外、2改、與刪除可在此電腦系統100達成，且是在本發明的範圍内。此（未在圖顯示）範例是一電腦監督器、一輸入鍵盤、一快取記憶體、與例如印表機的週邊裝置。本發明能以一網站词服器操作，且該網站词服器通常是使用二個人或中型電腦實施。中央處理單元110是從一或多個微處理器及/或積體電路構造。中央處理單元110可執行在主記憶體120中儲存的程式才曰々主记憶體12 0疋儲存電腦可存取的程式與資料。當電腦系統100啟動時，中央處理單元11〇開始執行作業系統134程式指令。作業系統134是管理電腦系統1〇〇資源的複雜程夫。一些資源是中央處理單元u〇、主記憶體大量儲存介面140、網路介面150、與系統匯流排16()。主記憶體120包括一網站伺服器應用程式丨22、一異動處 =器124、一或多個巨集檔案126、一建構檔案128、一或多個浯T處理器130、一作業系統丨34、一或多個應用程式 136、與程式資料138。應用程式136是在作業系統134控制下由中央處理單元Π0執行。應用程式136是使用當作輸入的程式資料138執行。應用程式136亦可輸出在主記憶體當作程式資料丨3 8的結泉。當電腦系統丨〇〇以一網站伺服器 1〇〇操作時，一中央處理單元11 〇可網站伺服器應用程式 122。異動處理器124是一程式，且可處理在一或多個句集植案126中儲存的一HTML網頁。當異動處理器ι24初始化本紙張尺度it財S s家標準·丨⑽）M規格(mm挪公爱〉 -11- 576044

時，Έ：便會讀取建構檔案丨28，以使不同類型的詢問與不同語T處理器130有關聯。當動態資料的一詢問在一網頁找到時，異動處理器124便會從資料（從建構檔案讀取）決疋那個語T處理器13〇是應該呼叫處理詢問。適當語言處理為1 30然後詢問例如記憶體或一資料庫的資料來源，以取回動態資料。語言處理器13〇是將動態資料傳遞給異動處理器124，該異動處理器124是將動態資料插入選取網頁的HTML資料。大量儲存介面140允許電腦系統1〇〇取回及儲存來自例如磁碟硬確、软碟、與光碟（CD-ROM)的輔助儲存裝置的 :貝料這些大量儲存裝置普遍是已知為直接存取儲存裝置 (DASD)，且充當資訊的一永久儲存。一適當類型Dasds 幸人碟機1 80，以便將資料從軟碟1 讀取及將資料寫入。來自DASD的資訊可以是許多形式。一般形狀是應用程式與程式資料。經由大量儲存介面i4〇取回的資料時常是放置在中央處理單元1 1 〇可將它處理的主記憶體12 〇。 ^主ό己丨思體12 0與D A S D裝置1 8 0典型是分開的儲存裝置時，電腦系統100是使用眾所週知的虛擬定址機構，以允許電腦系統100的程式可行為可存取一大單一儲存實體，而不是存取多重較小儲存實體（例如，主記憶體12〇與 DASD裝置185)。因此，雖然某些元件顯示是在主記憶體 12 0 ’但疋在技藝中熟請此技者可確認這些不必然完全包含在主5己丨思體12 0。注思，在此使用的術語"記憶體，，通常是視為電腦系統100的整個虛擬記憶體。

裝訂

576044 A7 B7 五、發明説明（1()) 網路介面15 0允許電腦系統1 〇〇將資料在網路連接的電腦系統之間來回傳送及接收。此網路可以是一區域網路工作 (LAN)、一廣域網路（WAN)、或較特殊網際網路170。連接到網際網路的適當方法包括已知的類比及/或數位技術、以及未來發展的網路機構。許多不同網路協定可用來實施網路。這些協定是特殊化電腦程式，以允許電腦在網路上通訊。用來在網際網路上通訊的傳輸控制協定/網際網路協定（TCP/IP)是一適當網路協定的範例。系統匯流排160允許資料在電腦系統1〇〇的各種不同元件之間傳輸。雖然電腦系統1 〇〇顯示只包含單一主中央處理單元與單一系統匯流排，但是在技藝中熟諳此技者可了解到本發明可使用具有多重中央處理單元及/或多重匯流排的電腦系統實施。在這一點上，注韋，雖然本發明是（且持續）在一整個功能電腦系統的本文中描述，但是在技藝中熟諳此技者可了解到本發明的構成能以多種形式的程式產品分散，且本發明同樣可應用，而不管用來實際實施分配的特殊類型信號保持媒體。信號保持媒體的範例包括：例如軟碟的可記錄類型媒體（例如，圖1的186)與CD-ROMs(未在圖顯示）、及例如數位與類比通訊連結的傳輸類型媒體。在本發明中，一電腦系統1 〇〇能以一網站伺服器操作。若要如此做，一網站伺服器應用程式丨22可透過中央處理單元110執行。另一應用程式136可同時在電腦系統1〇〇上執行，其係假設作業系統134是一多工作作業系統。網站

576044 A7

裝訂

576044 A7 B7 12 五、發明説明（從任何相關網路移到圖2伺服器的資料位元流將可傳遞給網路處理器1 〇。根據本發明的重要區別特徵，網路處理為1 〇將可處理在輸入位元流中識別的網路通訊協定位元，且可根據提供的指定服務而確認指定給該等架構系統功能 100A、100B、[ooc和100D之一的封包或訊框等。在指定給適當架構系統與處理之後，封包、訊框等可於網路處理备供應適當網路通訊協定位元之後傳回給網路處理器，供轉送給相關網路。根據美國專利案號09/55 1，707中揭示的相關發明，資料位元流移到該等架構系統之適當一者是以已知為媒體速度元成。即是，移到伺服器系統的資料流率是與網路處理器連接伺服咨的網路網路的資料流率相同或實質相同。用於在此揭示裝置的結構是根據一介面裝置或網路處理為硬體子系統、與在一控制點處理器上執行的一軟體程式庫。介面裝置或網路處理器子系統是一高效率訊框轉送引擎用以剖析及轉換L 2、L 3、和L 4資料串。介面裝置或、’罔路處理器子系統是經由一裝置而提供一快速路徑，而軟體程式庫與控制點處理器是提供維持快速路徑所需的管理與路由發現功能。控制點處理器語在其上執行的軟體程式庫係足我系統的控制點（C p)。控制點處理器是内嵌在網路處理器中、或實際與其分開。工業顧Μ已將-網路處理器定義為一可程式通訊積體電路’而可執行下列一或多個功能：封包分類--用以根據例如位址或協定的已知特性而識別

576044

一封包：封匕1改t改封包，以符合IP、ATM、或其他協定（例如，更新IP標頭的存活時間搁位）；件列/政策管理'封包件列、取消仵列、及排程特殊應用程式的封包；及封包轉送-在一交換架構上傳輸及接收資料，及將封包轉送或路由給適當位址。雖然此定義是先前NPs的基本特徵的正確描述，但是NPs 的整個潛在能力與利益是仍然可了解。網路處理器可透過允許在硬體所執行軟體中先前所處理的網路工作而增加有效的系統頻寬、及解決廣泛應用程式的潛在性問題。此外，NPs可經由結構而提供速度改善，例如平行分散處理 Μ &線處理设计。這些能允許有效率的搜尋引擎，提高輸慣量，及提供複雜工作的迅速執行。當以廣域網路（waNS) 參考時，該定義是使用”封包”字眼，且符合一般的使用。當以區域網路（LAN)參考時，在此揭示的本發明是與，，訊框’’同樣功能，且符合一般的使用。網路處理器預期能夠以中央處理單元用於個人電腦的相同方式而·交成網路的一基本網路建構方塊。透過一 N p提供的典型能力是即時處理、安全、儲存與轉送、交換結構、與IP封包處理與學習能力。處理器模型N P係結合多重一般目的處理器與特殊化邏輯。整合器在此設計能提供可塑性、彈性解決，而能適於時間與經濟有效方式的變化。一處理器模型Np允許在整 •16· 本紙張尺度適用中s ®家標準(CNS) A4規格(⑽x 297公爱) 14 576044 五、發明説明（合較低位準的分式處理，以提供較高輸貫量、彈性師制。可程式性允許較容易移植到新協定與技術，而不需要上新應用特殊積體電路（ASIC)設計。雖然此-網路處理器可支援硬體的多層轉送，但是它亦能只以L2開關操作’而且是在相關應用中所揭示最簡單形式預設操作模式。每個埠可以是單一領域，以允許在顧域中的任何其他裝置能與在領域中的任何裝置通訊。裝置是在L2結構，以允許系統管理者可建構特徵，例如，將埠组成分開的領域或幹線 '建構虛擬區域網路（vlan)分段、或分類篩選。以下描述的某些部分裝置是設計為一模組單元，且該模組單元係m裝置或網路處理器（np)與控制點（CP) 當作它的I本建構方塊使用。t超過兩介面裝置子系統維繫在一起時，一選擇性教喚結構裝置可使用。選擇性交換結構裝置是在1991年4月16日所申請的美國專利案號 5,008,878 名稱"High Speed Modular Switching Apparatus for Circuit and Packet Switched Traffic” 中揭示，為了對本發明的了解，所以在此僅列出供參考。使用選擇性交換結構裝置的目的是要增加在架構中支援的伺服器系統數量及 /或增加與在支援伺服器之間的來回資料流率。單一網路處理器裝置的功能如同一元件開關是已知的，而且在以下某些的討論，在此所使用術語”開關，，是視為一 N p。此裝置是由一 NP、一 CP、與一媒體互接機構的單一總成所組成。然而，一更複雜裝置預期可使用亦在此描述的裝訂線 •17- 576044 A7

選項卡”或”薄線路板”的印刷電路板元件組裝。印刷電路板元件具有在那上面安裝的電路元件，而且可插入在裝置相子中提供的連接器，例如在伺服器電腦系統箱。裝置認為卡片可在底盤或箱子中改變，且在每個提供提供適當的連接器與背板電連接器。如果不是所有選項卡是在一載體子系統，一基本元件可於許多地方發現。

裝訂

在最簡單形式方面，本發明所考慮的一介面裝置具有一控制點處理器、及連接到該控制點處理器的一介面裝置。最好疋且如在此的揭示，介面裝置（在此亦視為一網路處理咨或NP)是一非常大型積體電路（VLSI)裝置、或具有一半導髂基材的晶片；在基材上形成的複數個介面處理器；在？茨基材上形成的内部指令記憶體，用以儲存存取介面處理咨的指令；在基材上形成的内部資料記憶體，用以儲存傳遞給裝置的貧料，以存取介面處理器；及複數個輸入/ 輸出埠。介面處理器有時在亦視為微處理器或處理單元。 k供的埠土少包括一埠連接，用以將内部資料記憶體與外部資料記憶體連接；及至少兩其他埠，用以在介面處理器 :方向下將資料傳遞通過介面裝置而與一外部裝置或網路父換。控制點可透過載入由介面處理器所執行的指令記憶體指令而與介面裝置協同工作，以便在資料交換輸入/輸出埠與資料流經資料記憶體之間進行資料交換。_般亦可考慮透過在單基材上形成的元件所執行的在此描述功能可於複數個基材上分配，其中一晶片組可取代單一晶片使用0 -18-

576044 A7 B7

除了總成之外，在此揭示的網路處理器認為是創作性，且組合成在例如在此揭示的伺服器架構。此外，網路處理器認為具有在此揭示的元件中，其他及進一步發明不在此詳細討論。為了更全了解，圖3係顯示介面裝置晶片丨〇的方塊圖’其包括一基材及在基材上整合的複數個子總成。子總. 成是配置成上面結構及一下面結構。如在此的此用，”上面”可視為在此揭示回送裝置的資料流，而“下面”可視為從裝置到一裝置或由該裝置所服務網路的外送資料。資料泥係遵循相對結構。結果，有一上面資料流與一下面資料流。上面的子總成包括佇列-取消佇列·排程邏輯up(EDs_ UP)邏輯16、多工MAC’s-UP(PPM-UP) 14、開關資料移動备向上（SDM-UP) 1 8、系統介面（SIF)20、資料排列串列鍵路A(DASLA)22、與資料串列鏈路B(DASLB)24。一資料排列串列鏈路是在1999年6月11日所申請的美國專利案號 09/330,968 名稱"High Speed parallel/Sedal Link for Data

Communication"中描述，其在此為了對本發明的完全了解而僅列出供參考。雖然在此揭示的本發明裝置較佳形式是使用一 DASL鏈路，但是本發明可考慮鏈路的其他形式可用來達成相當高資料率，特別是在資料流局限於VLSI結構中〇在下面的子總成包括DASL-A 26、DASL-B 28、SIF 30、SDM-DN 32、EDS-DN 34、與 PPM-DN 36。晶片亦包括複數個内部S-RAMs 15、17，交通路由管理排程器40、 -19- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐)

裝訂

576044 Α7 Β7 五、發明説明（17 與内嵌處理器合成物（EPC) 12。一介面裝置38是透過相對 DMU匯流排35、37而耦合到ρμμ 14和36。介面38可以是任何適當L1電路’例如乙太網路實體（enet phy)、ATM 組成器、SONET的IP等。介面類型部分是表示網路媒體、或晶片連接的其他裝置。複數個外部D_raMs與S-RAMs適於晶片的使用。箭號係顯示在介面裝置中的一般資料流。例如，從一 MAC接收的訊框是由EDS-UP放置在内部資料儲存緩衝器。這些訊框係視為正常資料訊框或系統控制控制訊框，並且佇列到EPC。EPC包含N個協定處理器，其可平行在多達N個訊框（N> 1)上工作。在具有多重協定處理器（I_Pn) 的圖4所述的一代表性具體實施例中，兩協定處理器是被特殊化；一是用於處理控制訊框（一般中央處理器或 GCH) 1 02，且一是用以控制記憶體（一般樹狀處理器或 GTH)104中建構尋訪資料e EPC亦包含：一分派器108，可使新訊框與閒置處理器相配；一完成單元η〇，以維持訊框序列；一般指令記憶體（CIM)112，其可由所有1〇個處理器共用；一分類器硬體輔助（CHA)114，其可決定訊框分類及其處理器（未在圖顯示），以幫助決定訊框訊框的開始指令位址；進出資料儲存（IEDS)介面116，以控制訊框緩衝器的讀取與寫入操作；一控制記憶體仲裁器 (CMA)118，其允# 10個處理器共用控制記憶體12〇 ; 一網站控制、仲裁器與介面（WCAI)122 ,以允許對内部介面裝置貧料結構的偵錯存取；以及其他硬體構造。

裝訂

576044 A7

裝訂

線 576044 A7

10個處理器之中的仲裁器記憶體存取是複雜的。料是經由資料儲存共處理器（未在圖顯示）存取。子共處理器包含一主要資料緩衝器（保持多達訊框 11、勺MS116位70組片段）；一高速暫存資料緩衝器（亦保 ’夕達聽#料的8個16位元組片段）；及-些控制暫存器，用以資料错存操作。只要發現一符合，進入訊框變更，匕：VLAmg題插入或重疊。此變更不是由介面裝置里口成物執仃；然而，硬體旗號可取得，而且其他進入開：介面硬體可執行變更。其他訊框變更可透過修改在、貝料儲存中所保持的訊框内容而由微碼與資料儲存共處理器達成。 / 口樹狀搜尋可支援與支援進入搜尋相同的演算法。尋方是使用TSE共處理器執行，釋回協定處理器，以持續執订所有控制冗憶體操作是由控制記憶體仲裁器m管理以配置在1 〇個處理器合成物之中的記憶體存取。出口訊框資料是經由資料儲存共處理器存取。如上述，資料儲存共處理器包含：一主要資料緩衝器（保持訊框資料多達8 個16個位兀組片段）；一高速暫存資料緩衝器（亦保持訊框 :料多達8個16個位元組片段）；及一些控制暫存器，用以〃料儲存k作成功寻訪的結果包含轉送資訊，及在某些情況’可包含訊框變更資訊。訊框變更包括Vlan標頭刪除、存活時間增量或減量、Ip標題核對重新計算、乙太網路訊框CRC重疊或插入與MAC DA/SA重疊或插入。”標頭核檢是透過核檢共處理器準備。變更不是由介面裝置處 -- _ __-22- 本紙張尺度適用中國國家標準(CNS) A4規格(21〇 X 297公釐）------- A7 B7

理器合成物8個1 6個位元組片 576044 五、發明説明疋瑕好是，硬可建立，且PMM出口硬體可執行變t。只要完成，一佇歹丨共處理器可用來f助建構在EDSAcm宁列中的訊框件列，及將他們傳送給完成單元11G所需的格式。完成單元⑽可確保從Π)個協定處理器到刷出口件列的訊框順序，用以供應在圖3所示的出口 MACse完成的訊框最後是由pMM出口硬體傳送給MACs及從連接埠出去。、樹狀搜尋引擎共處理器可提供記憶體範圍檢查，提供非法記憶體存取通知，及執行與協定處理器執行平行操作的樹狀搜尋指令㈤如記憶體讀去、寫人或讀與寫）。分派哭 108可控制將訊框傳送給1〇個協定處理器，及管理中斷與計時器。完成單元11G可確㈣處理器合成物到目標連接埠仔列的訊框順序。-充裕指令組包括有條件執行、包裝 (用於輸人雜凑鍵）、有條件分支、有符號與無符號運算、前導零的計數等。分類器硬體輔助引擎114可傳遞每一訊框的第2層與第3 層協足標頭，而且當他們分配給協定處理器時，可將訊框提供、此:貝訊。控制έ己憶體仲裁器i 1 8可控制處理器的内部與外部記憶體存取。出口訊框是儲存在圖3的一外部資料緩衝器（例如DS0)、或兩外部資料緩衝器44。每個緩衝器是由一對2Mxl6位元χ4排DDR DRAM(儲存多達256κ 64 位元組訊框）、或一對4Mxl6位元X4排DDR DRAM(儲存多達512K 64位元組訊框）。選取2.28Mbps的單一外部資料緩衝器（例如DS0)，或增加第二緩衝器（例如DS1)，以支援

裝訂

線 -23- 576044 A7

4:57 „層與第3層轉變。增加第二緩衝器可改善效率’但疋Έ：不會增加訊框容量。外部資料緩衝器介面是以 266 MHz資料脈衝的133 MHz時脈率執行，及支援建構 CAS延遲與驅動力量。固疋框包括送人方向的VLAN標籤插人與vlan標藏刪除、，存活增量/減量時間、乙太網路CRC重疊/插人、與送出方向的MAC DA/SA重疊/插入時間。埠鏡射允許一接收埠及一傳輸埠複製到一系統指定觀察埠，而不使用協定處理器資源。鏡射介面裝置埠的建構可增加訊框及轉變控制資料。一分開的資料路徑允許訊框佇列到送入轉變介面。網路處理器是在從控制點處;里器動，態載入微處理器的規則下工作。這些規則可"動態，，改變’以適應變更情況。網路處理器的此能力是對本發明有益。下面是已實施的佇列管理策略進一步討論。此討論係表 ^可使用在防止一 DOS侵襲的一類型篩選規則組的能力，且包括已知與一般使用與專有的技術說明。如上面簡短描述，方法已發展，為了要經由例如一 Np 的資料路徑開關而控制交通路由流，以致於可改善使用開關的網路效率。特別是，使用已知為隨機提早丟棄或偵測 (RED)的一傳統方法。此傳統方法典型是由經由一對應仵列而控制交通路由的一佇列所使用。在已知為一重要事件的短暫時間結束，重要事件仔列的一仵列位準可透過佇列機構決定。注意，決定的佇列位準

576044 A7

㈣料成比例1此，愈高的㈣位準包邵分。此外，—通知可提供給丢棄封包的傳送者’使傳送者於-段時間中止傳送額㈣包1取個別封包亦可任意選取。例如， . =產生在〇與1之間的-乱數。亂數刺與傳統丟棄部分數是小於或等於傳統丢棄部分，那麼封便 jti 包會傳送給㈣。根據傳輸部分的丟 =k處料㈣，直料定重要事件結束為止。當重要事件結㈣，方法便會重新開*，以決定下_重要事件的傳統傳輸部分’並且在下-重要事件期間根據傳統傳輸部矢而丟棄封包。因為封包疋根據作列位準而丟棄，所以red方法可在交通路由上允許經由一開關的一些控制。結I，由於一開關在仵列變成佔滿之前沒有可丟棄封包的任何機構，所以較少封包可被丟棄。當封包必須丟棄時，丟棄尾部便會發生’因為-佇列是佔滿的。結果，沒有機會說明決定是否丟棄封包的封包優«。此外，於_些情況，該方法可減少王機將封包傳送給開關的同步。根據傳統傳輸部分，當佇列位準在或接近最大佇列位準時，此便會發生，因為封 i可任地丟茉，而不疋丟棄所有封包。如此，開關的效率可在不利用方法RED的一開關上改善，即是，當開關的緩衝器資源耗盡時，一開關便會丟棄下一到達封包。雖然RED方法可改善開關的操作，但是在技藝中熟諳此技者可了％到在$午情況，red方法不能適當控制交通路裝訂

線 -26- 五、發明説明“ 由。儘管是事實，封包或單元4 ^ 棄：主機在一些情況會變成同步曰二二:變成佔滿之前丟或高度位準是成立的。對於交通擁塞的中度而，佇列位準不是砉_ 削部分是根據佇列位準。炊 J U +不疋表不開關的狀能。干… 於最小臨界值是由於交通’;：，-件列位準低置）。然而，一低件列位準 (少數封包通過裝為高交通路由而大量丢棄。1 I在先前重要事件會因通路由位準’增加傳統傳輸部分準是由於-低交準是由於一高度丢棄部八，^ 、田的。如果低佇列位的。傳統RED方法是=在===部分會是不想要應該時’傳統傳輸部分便可能：當此：：：結果，當它不速變成佔滿。然後，傳輪 A 0，’仔列便會快減少。當件列位準減少時，二而且仲列位準會白之間開始改變。4，：在具件列佔滿與仔列空且使用便::::均使用會' 另一方法是已知為BLUEJLUE方法U僅考慮件列位準’而且亦考慮傳輸率與提供率。提供率是封包或單元提供給用以對應仔列準備的件列機構的速率eBLUE方法將使用-仵列機構與仔列描述。仵列的仵列位準、透過作列機構而提供給佇列的傳輸部分、與提供率是在剛結束的重要事件決足。提供率是封包提供給佇列機構的速率。因此，提供率是來自由一或多個埠所提供的交通路由流。然後可決定是否有一封包損失，或一佇列位準是否大於 -27- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公爱） 576044 25 五、發明説明（界值^壬何事件係、表示丟棄的部分應該增加。如果 ^ ’那麼丢棄的部分便會以憑經驗紋的—第—固定里曰！ □此，"咸去丢棄部分的傳輪部分會減少。如果決'丟棄部分不會增加’那麼可決定丢棄部分是否應該減少:如果仵列位準較低、或如果提供率較低，丢棄部分便：減7 果丟棄部分應該減少，_麼此可透過減去亦憑經驗決定的一第二固定量而達成。丟棄部分（如果，改變）或舊的丢棄部分然後可用來決定封包部分是否在下一重要事件期間傳送給仵列。如此，封包可任意去棄、或透過考慮封包的優先權。如此，可確保正確的丢棄部分，因此’正確的傳輸部分可維#。然《吏，可決定重要事件是否結束。有關BLUE的進一步細節，參考上網站 http://www.eecs.umich.edu/usuchang/blue/查詢。雖然方法BLUE適於它的目的且是方法RED的改良，但是在技藝中熟諳此技者可了解到方法BLUE會使用較長時間到達穩定狀態。因此，雖然效率是改良超過方法red , 但是網路的效率仍然差於想要的。仍然是選擇方法RED與BLUE的另一方法現將描述。此第二方法可在多重佇列是一部分相同記憶體資源的一系統中使用。然而，不能避免方法THREE是用在每個侍列具有一分開記憶體資源的另一系統。在方法THREE，佇列位準與提供率是於先前重要事件決定。在重要事件結束時，佇列位準的最好決定是與一最小件列位準Qmin與一最大彳宁列位準Qmax有關。先前重要事件 -28- 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐）

的傳輸部分亦可使用。然後可決定㈣位準是否超過Qmin。如果未超過，那麼傳輸部分是設定成1，如果仵列位準是較低，藉此可確保所有封包可透過佇列機構傳輸給佇列。如果決定佇列位準是超過Q=，那麼接著可決定佇列位準是否超過Qmax。如果仔列位準是超過Qmax，那麼傳輸部分可設定成零。如果佇列位準太高，此步驟可確保所有封包丟棄。如果佇列位準既未低於Q-且未超過Qmax，那麼傳輸部分可於臨界溼氣控制。使用穩定性理論的臨界溼氣導出是在數學說明詳細提供的_相關專利案號G9/448，190中討論0 傳輸部分可於設定方法丁刪£的臨界澄氣使用。理想上，臨界澄氣只在仵列位準的一想要範圍中發生。在此範圍外，傳輸部分是設定成〇或丨，此是因㈣位準於一臨界澄氣計算是否太高或太低而定。目為封包可任意、或根據至少部分他們的優先權而丟棄，主機同步將交通路由傳送給_可避免^因為臨界澄氣會提供，所以方法th臟可提供比方法RED更佳的系統穩定《，而且將能比方法 BLUE更快到達平衡。本發明可於連續重要事件期間將計算封包流的—第一導出’及然後改變因第一導出是否在表示資料流定址的飼服祕務能力建立的某邊界中應用的筛選規則特徵加入例如 RED、BLUE、或THREE的方法。當放置在伺服器很快超過服務能力時，第一導出表示要求是那麼應用的篩選規則本纸張尺度適用中國國家標準(CNS) A4規格(210X29^57 -29- 576044 A7

會提高封包丟棄。當作那引出之物表示—直放置在伺服器上的要求正在服務能力的邊界中回到位準，然後丢棄率可減少。即是’ t多交通路由可處理。這些特徵是在描述操作流程的圖5和6顯示。本發明係考慮根據本發明所使用的 -網路處理器可實施在此描述的一、另一 '或兩處理。請即參考圖5，如圖2所示在一系統中的Np 1〇可在步驟 200上於重要事件期間監督特殊位址的封包流。在連續重要事件期間的封包資料流率的_第_順序導出（在圖中，，化率或ROC)是在步驟202上透過演算法規則的應用來計算。計异的變化率然後是在2〇4與預定邊界情況相比較。如果回送封包流的變化率超過一建立的邊界情況（透過處理定址伺服器資源的能力的資料流設定），那麼Np規則設足疋在步驟206修改，以便增加回送封包的丟棄，戈將封包重新導向一預定可接受的另一網路資源傳。如果回送封包流的變化率是低於上限情況，那麼系統便會回到步驟 204。隨後到步驟206的規則修改，系統會回到在步驟2〇2 導出的計算，如在204決定，當回送封包流的變化率低於一第二邊界情況時，設定的NP規則可修改，透過減少步驟 206的封包丢棄而復原正常的資料流。一拒絕服務侵襲的成功亦可透過來自一定址網路資源 (即是，送出封包）的一封包快速降低流而表示，其係顯示資源的確已無法應付。如此，在圖6步驟303上的監督及在步驟301上的計算可提供另一保護。一判斷的達成可決定外送封包流的變化率是否符合在305建立的邊界情況。如 __-30- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐）

裝訂

Claims

弓、/第xrnii6569號申請案戠 ' 爲文申丨請專利範圍替換本(92年I2月® 六、申請專利範圍 1. 一種使用一網路處理器來防止在伺服器或伺服器群集上 ’’拒絕服務’’的侵襲之裝置，其包含：一網路資源伺服器，其具有至少一電腦系統，該電腦系統包含一中央處理單元與伺服器記憶體；及一網路處理器，其係耦合到該網路資源伺服器，包含·· 複數個介面處理器；指令記憶體，用以儲存存取該等介面處理器的指令；資料記憶體，用以資料儲存，且經由該網路處理器而使資料與該網路資源伺服器來回之間.傳遞，以存取該等介面處理器；及複數個輸入/輸出埠；該等輸入/輸出埠之一埠在該等介面處理器方向下經由該網路處理器而與一外部網路交換資料；該等輸入/輸出埠之至少另一埠適於經由該網路處理器而與該網路資源伺服器交換資料；該網路處理器及該網路資源伺服器，其能反應指令載入該指令記憶體的該等介面處理器而協同在該等輸入/ 輸出埠之間的資料交換，且資料是經由該資料記憶體而於該網路資源伺服器之間來回流動；該網路處理器係進一步包含至少一資料流率監督器，用以監督定址給該網路資源伺服器的資料流率，該等介面處理器之至少一者包含：一元件，用以隨時間計算資本紙張尺度適用中國國家標準(CNS) Α4規格(210 X 297公釐) 5

料流率的導出，以決定資料流的變化率；及至少一修改 ^用以修改反應決定的變化率而載入該指令記憶體的該等指令。 2·如申請專利範圍第1項之裝置，其中該至少一介面處理器係進一步包含比較裝置，用以將該決定的變化率與至少一預疋邊界相比較，而且其中當該變化率具有該至少一預定邊界的指定關係時，該修改器便可修改指令。 3 ·如申請專利範圍第1項之裝置，其中該網路處理器包含一半導體基材，而且其中該等介面處理器、該指令記憶體、該資料記憶體與該等輸入/輸出埠是在該半導體基材上形成。 4. 如申請專利範圍第1項之裝置，其中該網路處理器是適糸處理通A丨妨足，且透過該電腦系統處理與該網路資源伺服器交換應用資料。 5. 如申請專利範圍第4項之裝置，其中該網路資源伺服器具有服務不同目的的複數個電腦系統，而且該網路處理器可根據適當目的而將應用資料傳送給該等電腦系統的一適當電腦系統供資料運用。 6·如申請專利範圍第4項之裝置，其中該網路資源伺服器具有服務一般目的的複數個電腦系統，而且該網路處理器能以該等電腦系統中的一預定資料流而將應用資料傳送給該等電腦系統的一些不同電腦系統供資料運用。 7·如申請專利範圍第丨項之裝置，其中該等介面處理器數量是超過4。本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐)

A8 B8 C8 D8

8. ^申請專利H圍第.2項之裝置，其中該網路處理器的該至少一資料率監督器可監督回送該網路資源伺服器的資科泥，而且只要回送資料的變化率超過一預定邊界，, 至少一修改器便會提高回送資料的丟棄。

9·如申請專利範圍第2項之裝置，其中只要回送資料的變化率降到低於一第二預定邊界，該網路處理器的該至少一修改器便會減少回送資料的丟棄率。 10·—種使用一網路處理器來防止在伺服器或伺服器群集上 ’’拒絕服務”的侵襲之裝置，其包含：一網路資源伺服器，包含至少一電腦系統，該電腦系統具有一中央處理單元與伺服器記憶體；及一網路處理器，其係耦合到該網路資源伺服器，且包含：複數個介面處理器；指令圮憶體’用以儲存存取該等介面處理器的指令；資料記憶體，用以儲存經由該網路處理器傳遞的資料，且可從該網路資源伺服器存取該等介面處理器；及數個埠輸入/輸出複；在該等介面處理器的方向下，該等輸入/輸出埠之一輸入/輸出埠適於與一外部網路交換經由該網路處理器傳遞的資料；該等輸入/輸出埠的至少另一輸入/輸出埠適於與該本紙張尺度適用中國國家標準(CNS) A4規格(210X297公董y 々、申請專利範圍網路資源伺服器交換經由該網路處理器傳遞的資料；該網路處理器是與該網路資源伺服器協同工作，以反應透過載入該指令記憶體指令的該等介面處理器執行而使資料在該等輸入/輸出埠之間交換資料，且資料是經由該資料記憶體而能在該網路資源伺服器之間來回流動；該網路處理器係進一步包含至少一資料率監督器，用以監督回送到該網路資源伺服器的資料流率，該等介面處理器之至少一者包含：一元件，用以計算隨時間變化的資料流率導出，以來決定資料流的變化率；及至少一修改器，用以反應該決定的變化率而修改.載入該指令記憶體的該等指令。 11. 如申請專利範圍第1 0項之裝置，其中該至少一介面處理器係進一步包含比較裝置，用以將該決定的變化率與至少一預定邊界相比較，而且其中當該變化率具有該至少一預定邊界的指定關係時，該修改器便可修改指令。 12. 如申請專利範圍第1 0項之裝置，其中該網路處理器包含一半導體基材，而且其中該等介面處理器、該指令記憶體、該資料記憶體與該等輸入/輸出埠是在該半導體基材上形成。 13. 如申請專利範圍第1 0項之裝置，其中該網路處理器是適於處理通訊協定，且與該網路資源伺服器交換由該伺服器處理的資料。 14. 如申請專利範圍第1 2項之裝置，其中該網路資源伺服器 -4- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) A8 六、申請專利範圍包含複數個電腦系統，其中該等電腦系統是用來服務不同目的，而且該網路處理器可根據適當目的而將應用資料傳送給該等電腦系統的一適當電腦系統供資料運用。 15·如申請專利範圍第1 2項之裝置，其中該網路資源伺服器包含複數個電腦系統，而且該網路處理器能以該等電腦系統中的一預定資料流而將應用資料傳送給該等電腦系統的一些不同電腦系統供資料運用。 16·如申請專利範圍第1 〇項之裝置，其中該等介面處理器數量是超過4。 17·如申請專利範圍第1 1項之裝置，其中該網路處理器的該至少一資料率監督器可監督回送該網路資源伺服器的資料流，而且只要回送資料的變化率超過一預定邊界，該修改器便會減少回送資料的丟棄。 18.如申請專利範圍第n項之裝置，其中只要回送資料的變化率降到低於超過一第二預定邊界，該該網路處理器的該修改器會減少回送資料的丟棄率。 19· 一種使用一網路處理器來防止在伺服器或伺服器群集上 ”拒絕服務”的侵襲之裝置，其包含：一網路資源伺服器，其具有至少一電腦系統，該電腦系統包含至少一中央處理單元與伺服器記憶體；及一網路處理器，其係韓合到該網路資源伺服器，包含：複數個介面處理器；指令記憶體，用以儲存存取該等介面處理器的指 -5- 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公爱：) 々、申請專利範圍令；資料記憶體，用以儲存經由該網路處理器而在該網路資源伺服器之間來回傳遞的資料，以存取該等介面處理器；及複數個輸入/輸出埠；該等輸入/輸出埠之一是在該等介面處理器的方向下能經由該網路處理器而與一外部網路交換資料；該等輸入/輸出埠之至少另一者適於經由該網路處理器傳遞而與該網路資源伺服器交換資料；該網路處理器是與該網路資源伺服器協同工作，以反應透過載入該指令記憶體指令的該等介面.處理器執行而使資料在該等輸入/輸出埠之間交換資料，且資料是經由該資料記憶體而能在該網路資源伺服器之間來回流動；該網路處理器係進一步包含至少一資料率監督器，用以監督回送到該網路資源伺服器的資料流率，該等介面處理器之至少一者包含：一元件，用以計算隨時間變化的資料流率導出，以來決定資料流的變化率；及至少一修改器，用以反應該決定的變化率而修改載入該指令記憶體的該等指令。 20.如申請專利範圍第1 9項之裝置，其中該至少一介面處理器係進一步包含比較裝置，用以將該決定的變化率與至少一預定邊界相比較，而且其中當該變化率具有該至少一預定邊界的指定關係時，該修改器便可修改指令。 -6- 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐) 申請專利範圍 21. 如申請專利範圍第19項之裝置，其中該網路處理器包含 -半導體基材，而且其中該等介面處理器、該指令記憶體、該資料記憶體與該等輸入/輸出璋是在料導體基材上形成。 22. 如申μ專利範圍第丨9項之裝置，其中該網路處理器是適於處理通訊協定，且與該網路資源伺服器交換由該網路資源伺服器所處理的資料。 23·如申明專利範圍第2 2項之裝置，其中該網路資源伺服器具有複數個電腦系統，其中該等電腦系統是用來服務不同目的，而且該網路處理器可根據適當目的而將應用資料傳送給該等電腦系統的一適當電腦系統供資料運用。 24·如申叫專利範圍第2 2項之裝置，其中該網路資源伺服器具有複數個電腦系統，而且該網路處理器能以該等電腦系統中的一預定資料流而將應用資料傳送給該等電腦系統的一些不同電腦系統供資料運用。 25. 如申請專利範圍第丨9項之裝置，其中該等介面處理器數量是超過4。 26. 如申請專利範圍第2 〇項之裝置，其中該至少一資料率監督器可監督從該網路資源伺服器外送的資料流，而且其中只要外送資料的變化率降到低於一預定邊界，該至少一修改器便會增加回送資料的丟棄。 27·如申請專利範圍第2 〇項之裝置，其中只要外送資料的變化率提高超過一第二預定邊界，該網路處理器的該至少一修改器會減少回送資料的丟棄率。本紙張尺度適用中國國家標準(CNS) A4規格(21〇x 297公釐) A8 B8 C8 D8

修 i 補 28·-種使用-網路處理器來防止在词服器或伺服器群集上 π拒絕服務的知襲之方法，其包含下列步驟：經由-網路處理器而將在-網路資源词服器與一資料網路之間交換的資料位元流傳遞；監督經由該網路處理器所傳遞資料的资計算該資料流率的一第一導出，以決;:;车料流率的變化率；及根據該資料流率的變化率而選擇性丟棄流向該網路資源伺服器的資料。 29·如申請專利範圍第2 8項之方法，其進一步包含將該資料流率的變化率與至少一預定邊界相比較，而且其中當該變化率具有與至少一預定邊界的一指定關係時，該選擇性丟棄可便能使用。 30·如申請專利範圍第2 8項之方法，其中該監督步驟包含監督回送到網路資源伺服器的該資料流率。 31.如申請專利範圍第2 9項之方法，其中該選擇性丟棄資料的步驟包含·只要判斷該回送資料流的變化率提高超過一預足邊界，便會增加流向該網路資源伺服器的丟棄率。 32·如申請專利範圍第2 9項之方法，其中該選擇性丟棄資料的步驟包含：只要判斷該回送資料流的變化率降到低於一預定邊界，便會減少流向該網路資源伺服器的丟棄率0 33·如申請專利範圍第2 8項之方法，其中該監督步驟包含監 -8- 本紙張尺^家標準(CNS) Α4規格(21() χ 297公羡)' "~- Η::該網路資源词服器外送的資料流率。的步罘3,3項之方法’其中該選擇性丟棄資料一預二、匕3 ·只要判斷外送資料流的該變化率降到低於在Γ &邊界’便會增加流向該網路資錢服器的資料丟業率。專利乾圍第33項之方法，其中該選擇性丟棄資料一#:只纟判斷外送資料流的該變化率提升高於預疋邊界，<更會減少流向該網路資源飼服器的資料丟棄率。 36·-種輪合到至少_網路資源祠服器與〆外部網路之網路處理器，其包含：複數個介面處理器； =令記憶體，用以儲存存取該等介面處理器的指令；貝料圮憶體，用以儲存經由該網路處理器而在該網路貝源伺服器之間來回傳遞的資料，以存取該等介面處理器；及複數個輸入/輸出埠；該等輸入/輸出埠之一輸入/輸出埠能在該等介面處理器的方向下能經由該網路處理器而與一外部網路交換資料；該等輸入/輸出埠的至少另一輸入/輸出埠能與該網路資源伺服器交換經由該網路處理器傳遞的資料；該網路處理器是與該網路資源伺服器協同工作，以反應透過載入該指令記憶體指令的該等介面處理器執行而 ^紙張尺度國家標準(CNS) A4規格(210 x 297公羡） -9- 57興“： A8 一一； B8 C8 、 D8 六、申請專利範圍使資料在該等輸入/輸出埠之間交換資料，且資料是經由該資料記憶體而能在該網路資源伺服器之間來回流動；該網路處理器係進一步包含至少一資料率監督器，用以監督回送到該網路資源伺服器的資料流率，該等介面處理器之至少一者包含：一元件，用以計算隨時間變化的資料流率導出，以來決定資料流的變化率；及至少一修改器，用以反應該決定的變化率而修改載入該指令記憶體的該等指令。本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐)