（无线电物理专业论文）基于网络处理器实现的网络入侵防御系统——cookie用户分类模块及接口模块.pdf

基于网络处理器实现的网络入侵防御系统 c o o k i e 用户分类模块及接口模块 专业：无线电物理 硕十生：吕智权 指导老师：余顺争教授 摘要 随着网络带宽的不断增加，以及多种d d o s u l 工具的不断出现，使d d o s 攻 击更加泛滥，严重威胁着网络系统安全。许多大型网站对此攻击未能作出有效防 御，导致网络附近充斥着大量的攻击包，使网络拥塞，网络性能下降。而传统的 入侵检测系统对可疑流量一般是进行简单的丢弃，这就很有可能把合法用户流误 判为攻击流，系统则变得不适用。 本系统针对目的入侵防御系统的不足以及大型网站的发展需求，实现了基于 网络处理器的新型网络入侵防御系统。该系统提出了细粒度流量分类方案，利用 c o o k i e 进行用户区分，在w e b 服务器的配合下，把c o o k i e 标识放到每个浏览网 站用户的报文当中，通过唯一的c o o k i e 值达到细粒度区分的目的。这样就可以 区分隐藏在代理服务器和n a t 服务器背后的用户，减少误判率。此外，对每个 流的统计采用隐半马尔科夫模型f 2 卅进行检测，判断用户的正常程度，并据此分 配带宽，j 下常度高的带宽分配较多，正常度低的则分配较少，这样对正常度低的 包并非简单的丢弃，提高了容错性能。 本文主要是在网络处理器上实现字符串匹配以及i d 管理映射，并与其余两大 模块连接以实现整个系统的功能。 关键词：d d o s 攻击c o o k i e 网络处理器字符串匹配 an e t w o r kp r o c e s s o rb a s e di n t r u s i o np r e v e n t i o n s y s t e m c o o k i e s - b a s e du s e rc l a s s i f i c a t i o nm o d u l e a n di n t e r f a c em o d u l e m a j o r ： n a m e r a d i op h y s i c s z h i q u a nl v s u p e r v i s o r ：p r o f e s s o rs h u n z h e n gy u a b s t r a c t w i t ht h ei n c r e m e n to fn e t w o r kb a n d w i d t ha n dr e l e a s ec o n t i n u o u s l yo fv a r i o u s a t t a c kt o o l s ，t h es p r e a do fd d o s a t t a c kp o s ea l li m m e n s et h r e a dt ot h ei n t e r n e t s e c u r i t y m o s to ft h el a r g ew e b s i t e sc a nn o td e f e n da g a i n s tt h i sk i n do fa t t a c k e f f e c t i v e l y a sar e s u l t ，t h e r ea r ea l w a y sl o t so fa t t a c kp a c k e t sa r o u n dt h e s ew e b s i t e s w h i c hl e a d st on e t w o r kc o n g e s t i o na n dl o wp e r f o r m a n c e m o s tt r a d i t i o n a ls c h e m e s f o c u so nd e t e c t i n ga t t a c kt r a f f i ca n dt h e ns i m p l yd r o pt h es u s p i c i o u sp a c k e t s ，w h i c h m i g h tb es e n tb yl e g a lu s e r s i nt h i sc a s e t h e s es c h e m e sa r en o ta p p l i c a b l e i no r d e rt om e e tt h en e e do fl a r g ew e b s i t e ，an e t w o r kp r o c e s s o rb a s e di n t r u s i o n p r e v e n t i o ns y s t e mi si m p l e m e n t e di nt h i sp a p e r t h i ss y s t e mp r o p o s e dar e s o l u t i o nf o r c l a s s i f y i n gt h en e t w o r kt r a f f i c 一d i f f e r e n t i a t i n gu s e r su s i n gc o o k i e s n a m e l y , u n d e r n e g o t i a t i o nw i t hs e r v e r s ，u s e r s i d e n t i t i e sa r eh i d e di nc o o k i e sa n di n t h i sw a yu s e r s d i f f e r e n t i a t i o nc a nb er e a l i z e d h e n c e ，u s e r sh i d e db e h i n dt h ep r o x ys e r v e r so rn a t s e r v e r sc a l la l s ob ed i f f e r e n t i a t e ds ot h a tt h ep r o b a b i l i t yo fd r o p p i n gt h el e g a lu s e r s p a c k e t si sr e d u c e d w h a t sm o r e ，t h i ss y s t e ma d o p t st h eh i d d e ns e m i m a r k o vm o d e l l 2 - 4 1 t oe s t a b l i s ha ne x a m i n a t i o nm o d e lt oe s t i m a t et h en o r m a l i t yo fu s e r s t h el a r g e rt h e n o r m a l i t yo ft h eu s e ri s ，t h em o r eb a n d w i d t hh ew o u l db ea s s i g n e da n dp a c k e t sw i t h s m a l l e rn o r m a l i t ya r en o ts i m p l yd r o p p e d t h e r e f o r et h ep e r f o r m a n c eo ft h ew h o l e s y s t e mi si m p r o v e dg r e a t l y 1 t h i st h e s i sm a i n l yf o c u s e so nt h ei m p l e m e n t a t i o no ft h ep a t t e r nm a t c h i n ga n dt h e m a n a g e m e n to fs e s s i o ni do nn e t w o r kp r o c e s s o ra sw e l la st h ei n t e g r a t i o no ft h e w h o l es y s t e m k e yw o r d s ：d d o sa t t a c k ，c o o k i e ，n e t w o r kp r o c e s s o r , p a t t e r nm a t c h 1 1研究背景 第1 章绪论 随着网络技术的不断发展，各种各样的网络应用让i n t e m e t 延伸得更广更深。 网络用户越来越多，直接导致各网站用户访问量的迅速攀升。在这样的大流量背 景下，大型网站除了要满足数以亿计的用户需求外，还要提防隐减在路由器和代 理背后的恶意攻击者。自2 0 0 0 年以来，以d d o s ( d i s t r i b u t e dd e n i a lo f s e r v i c e 分布拒绝服务) 为代表的恶意攻击丌始成为各网站的噩梦，而不久前，互联网的 核心，位于美国、瑞典、英国、r 本的1 3 台肩负互联网数据传输重任的根服务 器遭到来历不明的网络攻击，其中有9 台根服务器因遭受攻击而陷入瘫痪，造成 服务中断l 小时。这一事件再次提醒人们：d o s 和d d o s 仍然是网络的一种严重 威胁。分布式拒绝服务攻击( d d o s ) 是一种大范围、协作式的攻击方法，它直接 或f 日j 接通过互联网上其他计算机攻击目标系统或者网络资源的可用性，可分为资 源消耗攻击和带宽消耗攻击1 5 1 。带宽消耗攻击【5 l 是通过多余的通信来消耗受害者 网络带宽资源从而造成合法用户请求无法到达受害者系统。此类攻击不但会让受 害者网络严重拥塞，更严重的是它可能会引起受害者网络附近的整个网络都瘫 痪。 现有的入侵检测系统中，对d d o s 的入侵解决方案往往将重点放在对d d o s 攻击的检测和追踪上，而在检测和追踪模块之后的控制模块功能一般都很简单。 在这些系统中，往往只粗略地区分出萨常流量和异常流量，而且对异常流量的处 理也非常简单丢弃。这种粗粒度区分方式以及简单的处理方式，要求判决门 限非常精准，否则，就会出现大量误报而影响正常用户，使证常用户的流量不能 得到任何保证，这样攻击流量就可能造成很大危害。可见，现有的入侵检测和控 制系统不足以有效地抵御大规模的d d o s 攻击。 1 2论文主要成就 本文是国家自然科学基金“网络与信息安全”研究计划项目网络时空行为与 2 0 0 8 奥运会网络安全关键技术研究的一部分。主要工作足进行大型活动网站 网络安全方面的研究，为2 0 0 8 年奥运会的活动网站的网络安全提供解决方案。 本系统位于受保护w e b 服务器的前端，从用户分类出发，以细粒度方式区分 用户，从而为高级别的用户提供优先级服务，有效地保证币常流量获得应得的服 务，限制攻击流量。此外，本系统采用具有高速处理能力和灵活性特点的网络处 理器作为丌发平台，增加了对各种d d o s 攻击的抵御能力。 本文主要完成上述大型网站检测与防御系统中的一个模块( 基于c o o k i e s 的 用户分类模块) ，并与其他两个模块( 基于h s m m 模型的训练与检测模块和排队 服务模块) 进行连接以实现整个系统功能。系统首先对用户基于c o o k i e s 分类， 然后将训练得到的h s m m 模型检测用户的正常程度，根据计算得到的f 常程度 对用户进行优先级排队。本文主要描述了整个系统在网络处理器上的实现过程， 并以具体硬件实验验证本系统功能。 1 3系统特色 本论文主要描述c o o k i e 模块和连接模块，创新点在于对数据包处理所采取的 细粒度分类策略与实现该策略的平台： ( 1 ) 分类策略：利用h t t p l 6 】协议中的c o o k i e 阴字段，通过对c o o k i e 的相关内容 进行匹配分类，将数掘包进行划分处理。 ( 2 ) 实现平台：在开发板e n p 2 6 1 l 上实现，该板内含网络处理器芯片i x p 2 4 0 0 0 ， 对数据包的处理比一般p c 要快。 第2 章d d o s 与入侵防御系统 2 1d d o s 攻击 2 1 1 概念 d o s 和d d o s 拒绝服务攻击( d e n i a lo f s e r v i c e ，简称d o s ) 这种攻击使服务 器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负 荷以至于瘫痪而停止提供正常的网络服务。d o s 拒绝服务攻击的过程是这样的： 攻击者发送大量要求确认的数据包到服务器，使服务器罩充满了大量无用的信 息，所有这些信息都有需要回复的虚假地址，以至于当服务器试图回传时，无法 找到相应的发送者。服务器于是暂时等待，超过一定的等待时间( 一般一分钟) 后，才会切断连接。服务器切断连接时，攻击者会再发送一批需要确认的信息， 这个过程周而复始，最终导致服务器瘫痪。 2 1 2 攻击过程 分椎式拒绝服务攻击( d i s t r i b u t e dd e n i a lo fs e r v i c e ，简称d d o s ) 是指通过 非法控制连接在互联网上的第三方计算机，把过量的信息流发至根服务器，使其 无法应付而瘫痪。发动d d o s 攻击时，攻击者在c l i e n t ( 客户端) 操纵整个攻击 过程。每个h a n d l e r ( 主控端) 则是一台已被攻击者入侵并运行了特定程序的系 统主机。每个主控端主机能够控制多个a g e n t ( 代理端) 。每个代理端也是一台 已被入侵并运行特定程序的系统主机。每个响应攻击命令的代理端会向被攻击目 标服务器发送拒绝服务攻击的数据包。具体攻击模型见图2 1 。 宽带网络在给大家带来方便的同时，也为d d o s 攻击创造了有利的条件。在 低速网络时代，黑客入侵总是会优先考虑离目标网络距离近的机器，因为经过路 由器的跳数少，而现在电信骨干节点之间的连接都是千兆级的，这使得攻击者可 以从更远的地方发起攻击，所入侵的代理端的位置也可以分布在更大的范围。 图2 1d d o s 攻击模型 d d o s 攻击过程可以分为四步：扫描探测大量主机以寻找可入侵主机目标； 入侵有安全漏洞的主机并获取控制权：在每台入侵主机中安装攻击程序；利用已 入侵主机继续进行扫描和入侵。由于整个过程是自动化的，攻击者能够在几秒钟 内入侵一台主机并安装攻击程序，即在- - d , 时之内攻击者可以入侵数千台主机。 d d o s 是目前破坏力最强的攻击方式之一。 2 1 3 攻击方法 d d o s 的攻击方法可以分成两类：泛洪攻击( f l o o da t t a c k ) 和畸形包攻击 ( m a l f o r m e dp a c k e t a t t a c k ) 。泛洪攻击就是资源消耗，以大量无用的请求或者无用 的数掘包堵塞带宽，消耗服务器的系统资源。而畸形包攻击就是针对漏洞发送畸 形包，使得服务器崩溃。而在d d o s 攻击中，泛洪攻击的优势和威力尤为显著， 所以这是目的d d o s 攻击的主流。 ( 一) 泛洪攻击 4 泛洪攻击细分有s m u f f 泛洪，t c ps y n 泛洪，u d p 泛洪，i c m p 泛洪以及应 用层攻击几种。以下就这几种攻击逐一进行介绍。 ( 1 ) s m u f f 泛洪 攻击者以攻击目标的地址为源地址，以某一网段的广播地址为目标地址，发 送一些伪造的i c m pe c h or e q u e s t 数据包。如果这个网段不禁止这种形式的 广播包的话，这个网段上的所有主机收到这个i c m pe c h or e q u e s t 包的时候 就都会对攻击目标发送i c m pe c h or e p l y 的数据包，从而快速地耗尽攻击目 标的带宽，使其他合法用户无法正常访问该目标。 ( 2 ) t c ps y n 泛洪 s y n 泛洪实际上是利用了t c p 三次握手中的漏洞进行的攻击。攻击者向攻 击目标的服务器发送大量伪造源地址的s y n 请求包。服务器收到这些连接请求 之后，会向这些伪造的源地址的主机发送s y n a c k 包。由于这些主机并没有真 的向服务器发送请求，因此不会响应服务器的s y n a c k 包。于是服务器就不得 不保存越来越多的这种半打开状态的连接，等待一些永远不会到来的连接确认。 最后服务器的内存和c p u 时问就会被这种等待的队列占满，于是合法用户就无 法与服务器建立连接，从而达到拒绝服务的攻击目的。 由于这种伪造的s y n 包与普通的连接请求看上去没有什么两样，而且伪造 的源地址为这种攻击提供了更好的隐蔽性。因此服务器极难把这种攻击流量与j 下 常的请求流量区分丌来。 ( 3 ) u d p 泛洪 与t c p 不同，u d p 是一种无连接的传输协议，因此也不需要三次握手建立 连接等过程。当提供基于u d p 的服务的服务器收到一个u d p 数据包的时候，会 将这个数据包的目的端口跟自己提供服务的端口比较，如果这个u d p 包不是这 个端口的，服务器会向客户端返回一个d e s t i n a t i o np o r tu n r e a c h a b l e 的i c m p 包。攻击者乖是利用这一点，向服务器的u d p 端口随机地大量地发送 u d p 数据包，致使服务器处理不过束而d o w n 机。 ( 4 ) i c m p 泛洪 攻击者向攻击目标发送大量的i c m p 包，使得服务器忙于处理和响应这些 1 c m p 包而出现对正常服务响应速度变慢甚至死机的现象。 ( 5 ) 应用层攻击 随着i n t e r n e t 上的新技术新应用的不断出现，攻击者可以获得的攻击资源和 攻击方法也越来越多。而一种新的d d o s 攻击类型也渐渐崛起，这种新的攻击类 型就是应用层的d d o s 攻击。与的面的泛洪攻击不同，应用层d d o s 攻击合法地 使用t c p i p 协议( p r o t o c o l c o m p l i a n t ) 【s 】，不需要利用系统漏洞入侵系统 ( n o n i n t r u s i v e ) ，而是利用合法的应用层请求来攻击服务器。随着i n t e m e t 应用 复杂度的不断增加和带宽的不断增大，服务器资源如c p u 时问和i o 带宽等逐 渐代替网络带宽成为网络性能的新瓶颈。应用层攻击正是利用了这一事实，通过 向服务器发送与合法的用户请求一样的请求来消耗服务器资源。应用层攻击可以 分为三类： 请求泛洪攻击。这种攻击以高于正常会话的请求速度发送应用层请求。 非对称攻击( a s y m m e t r i ca t t a c k ) 。这种攻击向服务器发送大运算量的高负荷 请求。 r e a p e t e do n e s h o r ta t t a c k 。在这种攻击中，攻击者把多个请求分散在不同的 会话中，以高于j 下常会话的请求速度发送应用层请求。 ( 二) 畸形包攻击 畸形包攻击是利用系统漏洞进行的攻击，但这在资源对抗的d d o s 攻击中并 不是起主要作用的因素，因此畸形包攻击并不是流行的d d o s 攻击方式。 ( 1 ) p i n g o f d e a t h 早期路由器和许多操作系统对t c p i p 堆栈的实现在i c m p 包上都是规定 6 4 k b ，并且在对包的标题头进行读取之后，要根据该标题头罩包含的信息来为 有效载荷生成缓冲区，当产生畸形的，称自己的尺寸超过i c m p 上限的包也就是 加载的尺寸超过6 4 k 上限时，就会出现内存分配错误，导致t c p i p 堆栈崩溃， 致使接收方宕机。【9 】 ( 2 ) t e a rd r o p 攻击者把同一个i p 分组分成几个碎片，碎片中的偏移量是错误的，使到服 务器不能矿确重组，这会导致服务器重启或者系统崩溃。 ( 3 ) l a n d 在l a n d 攻击中，攻击包是一个特别打造的s y n 包，它的原地址和目标地 6 址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送 s y n a c k 消息，结果这个地址又发回a c k 消息并创建一个空连接，每一个这 样的连接都将保留直到超时。不同的操作系统对l a n d 攻击反应不同，许多 u n i x 最终将崩溃，n t 变得极其缓慢( 大约持续血分钟) 。 2 1 4 常用攻击工具 攻击者最常使用的分御式拒绝服务攻击工具有t f i n o o 、t f n 、t f n 2 k 和 s t a c h e l d r a h t 四种。 ( 1 ) t r i n 0 0 lm o l t r i n 0 0 是一个较早的d d o s 攻击工具。t f i n 0 0 只能进行u d pf l o o d 攻击。 t f i n 0 0 的主控端地址必须手动加入到攻击端的源程序中再进行编译。攻击端一旦 安装运行时，将向主控端的3 1 3 3 5 端口发送包含数据h e l l o 的u d p 包，主控 端通过接受这些包获得一张包含所有攻击端地址的l i s t 。攻击者通过t e l n e t 或 n e t c a t 等程序连接主控端的2 7 6 6 5 端口，指令主控端向某一个或多个i p 地址节点 发动攻击：主控端将以u d p 包的形式向攻击端的2 7 4 4 4 端口发送命令，由攻击 端实施直接的攻击。攻击者到主控端，主控端到攻击端之间的通信都有口令保护。 ( 2 ) t f n 【l l 】 1 1 n 是一个可以进行多种攻击的d d o s 工具。它可以进行u d p f l o o d ，t c p s y nf l o o d ，p i n gf l o o d 以及s m u r f 攻击。t f n 还可以把远程s h e l l 绑定 到t c p 端口，便于进行远程控制。攻击者到主控端无须密码，但攻击者必须给 出一个包含攻击目标i p 地址的列表。主控端和攻击端之日j 的通信是采用i c m p e c h or e p l y 包，命令等信息放在i c m p 包的数据段中，以明文传送。虽然t f n 无口令保护，但每个命令都是以1 6 位的二进制数形式放在i c m p 包的i d 字段中 发送的。由于某个i d 的意义是可以通过修改源程序柬改变的，因此可以避免其 他人向攻击端发出指令。 ( 3 ) t f n 2 k m 2 1 t f n 2 k 是t f n 的后续版本。与t f n 相比，t f n 2 k 具有更多的功能和更大 的灵活性。t f n 2 k 可以移植到多个平台上运行，包括u n i x 、l i n u x 和w i n d o w s n t 等。主控端可以通过t c p 、u d p 、i c m p 或随机性使用其中之一的数据包向攻击 端发送命令。对目标的进行包括t c ps y nf l o o d 、u d pf l o o d 、p i n gf l o o d 或s m u r f 等的攻击。与t f n 不同，t f n 2 k 的守护程序是完全沉默的，它不会 对接收到的命令有任何回应。客户端重复发送每一个命令2 0 次，并且认为守护 程序应该至少能接收到其中一个。另外，主控端给攻击端发指令的时候，默认是 使用伪造的源地址的，这样就使主控端更难被发现。主控端发给攻击端的控制数 据包数据字段都经过c a s t - 2 5 6 算法( r f c2 6 1 2 ) 加密。加密关键字在程序编译 时定义，并作为运行t f n 2 k 主控端程序的口令。很明显，t f n 2 k 比t f n 更加 难以监测，但t f n 2 k 也并非全无规律可寻。加密后的b a s e6 4 编码在每一个 t f n 2 k 数据包的尾部留下了痕迹( 与协议和加密算法无关) 。可能是程序作者为 了使每一个数据包的长度变化而填充了1 到1 6 个零( 0 x 0 0 ) ，经过b a s e6 4 编码后 就成为多个连续的0 x 4 1 ( a ) 。添加到数据包尾部的0 x 4 1 的数量是可变的，但至 少会有一个。这些位于数据包尾部的0 x 4 1 ( a ) 就成了捕获t f n 2 k 命令数据包的 特征了。 r 4 1s t a c h e l d r a c h t 1 1 3 】 s t a c h e l d r a c h t 是一种与t f n 极为相似的工具，s t a c h e l d r a h t 也使用了与t f n 攻击工具一样的拒绝服务攻击方法，如：p i n gf l o o d 、s y nf l o o d 、u d pf l o o d 和 s m u r f 等。但与t f n 和t f n 2 k 不同的是，s t a c h e l d r a h t 没有包含绑定到某个t c p 端口的r o o ts h e l l 。t f n 攻击工具的一个弱点是攻击者到t f n 主控端的网络通讯 是明文传输，易受常见的t c p 攻击( 会话劫持、r s t 攻击等) ，s t a c h e l d r a h t 为解 决这个问题增加了加密传输功能。 2 2入侵防御系统介绍 入侵防御技术是近年出现的一种主动防范技术，而建立在此技术基础之上的 系统就是入侵防御系统。目前，入侵防御系统主要有网络型和主机型两种。网络 型入侵防御系统通过实时在线监听网络原始流量对捕获的网络报文进行处理，从 中获取有用的信息。网络型入侵防御系统是通过检测流经的嘲络流量，对网络系 统进行安全保护的。由于实时在线，网络型入侵防御系统需要具备很高的实时性 能，否则便会成为高速网络中的瓶颈。主机型入侵防御系统则是由安装在主机服 务器上的代理程序实现的，以保护操作系统以及应用程序，使它们免受攻击【1 4 1 。 主机型入侵防御系统与具体的主机服务器操作系统平台紧密相关，不同的平台需 要不同的软件代理程序。由于具有操作系统级的文件控制权，主机型入侵防御系 统会给服务器带来新的安全隐患，使得具体实现主机型入侵防御系统时必须非常 小心。下面主要介绍网络型入侵防御系统。 网络入侵防御系统是建立在i d s ( 入侵检测系统) 和防火墙相结合的基础之 上的，既能够发现网络入侵，又可以主动对网络入侵采取行动【”j 。当i d s 检测 到攻击行为时，就会向网络管理员发出警报。网络管理员收到警报后，就会采取 一些措施以阻止攻击。i d s 在防御入侵攻击行为方面完全处于被动状态，它只是 发现入侵，而并不是阻止。防火墙也不能完全防止网络攻击。一般情况下，它的 过滤规则比较简单，因此不能够阻止应用层的攻击。此外，防火墙的阻止策略也 是静止的，不能够自动调整。将i d s 的检测功能和防火墙的阻断功能结合起来 就组成了网络入侵防御系统的功能1 1 5 j 。网络入侵防御系统不仅能够发现并阻止 低层的网络攻击，而且可以通过检测数据包的内容发现病毒或恶意代码。在网络 入侵防御系统发现入侵或攻击之后，就会丢弃有入侵行为的数据包，或者采取某 些方法缓解攻击。 9 第3 章网络处理器技术 3 1网络处理器基本概念 网络处理器( n p ，n e t w o r kp r o c e s s o r ) 是新一代用束执行数据处理和转发的 高速可编程处理器。与传统的处理器不同，它的设计采用了全新的理念，使其既 有a s i c ( a p p l i c a t i o ns p e c i f i ci n t e r g r a t e dc i r c u i t ，专用集成电路) 的高速处理能 力，又有完全的可编程特性。由于n p 在网路数据处理方面的明显优势，它必将 成为高速网络设备支持业务管理、安全与网络监控、q o s 等网络功能必不可少的 元件。因此，可以说网络处理器代表了未来网络设备设计的发展方向。 从功能上讲，网络处理器主要是完成数掘处理和转发任务。例如，对数据分 段或重组，对数据帧进行识别，实施流量控制，保证服务质量，进行报文过滤等。 网络处理器可以广泛地应用在因特网的核心层、边沿层和局域网、企业网中。 在核心网中，网络处理器可以用于实现核心路由器；在边沿网中，它可以应用于 i s p 接入设备和数据中心，提供对新型业务和网络汇接的支持；在局域网中，则 可以用于用户管理和接入控制，实施安全与网络监控，以及防火墙等。l j 叫 3 2基于i n t e li x p 2 4 0 0 的网络处理器硬件平台 n t e l 公司推出的i n t e li x a ( i n t e li n t e m e te x c h a n g ea r c h i t e c t u r e ) 它包括两个 方面：在硬件平台方面，i n t e l 公司丌发了i x p 2 x x x 第二代网络处理器；在软件 平台方面，i n t e l 丌发了1 x as o f t w a r ep o r t a b i l i t yf r a m e w o r k 。上述平台使得i n t e l 公司的包括i x p 2 4 0 0 在内的第二代网络处理器能很好地满足新发展的需求。 0 3 2 1 硬件结构体系 i x p 2 4 0 0 是i n t e l 公司的第二代网络处理器，由x s c a l e 核( c o r e ) ，微引擎 m e ，s r a m 控制器，d r a m 控制器，介质和交换结构接口m s f ，p c i 控制器， s h a c 单元，高速内部通道c h a s s i s 组成。 i x p 2 4 0 0 的硬件结构如图3 - l 所刹1 7 】 图3 1 i x p 2 4 0 0 内部结构 对以上各部分的描述如下： ( 1 )i n t e lx s c a l ec o r e ：3 2 b i t 的嵌入式精简指令集处理器，时钟频率为 6 0 0 m h z 。负责处理网络处理器中的c o n t r o lp l a n e 处理任务，执行系统 芯片初始化配置、系统控制管理、运行路由协议栈、更新路由表等操作。 ( 2 )m e ：微引擎，m e 是i x p 2 4 0 0 的核心部件，也是i x p 2 4 0 0 取得线速 处理性能的关键所在，负责绝大部分的数据包处理任务。m e 能访问 i x p 2 4 0 0 中的所有共享资源。i x p 2 4 0 0 中有8 个m e ，分为两组：m e c l u s t e r 0 和m ec l u s t e r l 。 ( 3 )s r a mc o n t r o l l e r ：s r a m 控制器，用于接口s r a m 存储设备，控制、 管理i x p 2 4 0 0 中其他功能单元对s r a m 存储设备的访问、操作。i x p 2 4 0 0 共有两个s r a mc o n t r o l l e r ：s r a mc o n t r o l l e r 0 和s r a mc o n t r o l l e r l 。 ( 4 ) d r a mc o n t r o l l e r ：d r a m 控制器，用于接口d r a m 存储设备，控 制、管理i x p 2 4 0 0 中其他功能单元对d r a m 存储设备的访问、操作。 d r a m 存储设备的最大存储空自j 为2 g 。 ( 5 )m s f ：介质和交换结构接口。是i x p 2 4 0 0 与外部物理层设备、交换 结构的接口单元。 ( 6 ) p c ic o n t r o l l e r ：p c i 控制器，用于接口c o n t r o lp l a n ep r o c e s s o r 、 m a n a g e m e n tp r o c e s s o r 、其他i x p 网络处理器、以及p c i 以太网卡等符合 p c i 规范的设备。 ( 7 ) s h a c 单元：包括s c r a t c h p a dm e m o r y 、h a s hu n i t 、c a p 3 部分。 8 ) c h a s s i s ：系统底盘，是i x p 2 4 0 0 中各功能单元的内部高速通道，由 多组单向高速数据总线、命令总线，以及相应的总线仲裁单元组成。 3 2 2e n p 2 6 1 1 丌发板介绍l i s - 1 9 e n p 2 6 1 1 是一款由r a d i s y s 公司出品的基于网络处理器i n t e li x p 2 4 0 0 的丌发 板，其硬件的部分功能如下： ( 1 ) 网络处理器i x p 2 4 0 0 和存储结构 l x p 2 4 0 0 是e n p 2 6 11 的核心，整个系统在它的控制下工作。开发板上的存 储器采用一根s a m s u n g2 5 6 md d r 3 3 3 内存条，一片2 8 f 1 2 8 j 3f l a s h ( 1 6 m b ) ，两片c y 7 c 1 4 6 3s r a m ( 8 m ) 与i x p 2 4 0 0 相连。 ( 2 )千兆以太网控制部分 p m 3 3 8 6 是p m c s i e r r a 公司提供的双通道千兆以太网控制器，支持p o s p h y l e v e l 3 接口，可通过内部支持1 2 5 0 m h z 差分线的并串串并器直接连接光纤， 也可通过支持i e e e 8 0 2 3 1 9 9 8 标准的两个g m i i 接口连接铜缆千兆以太网，它每 个通道包含6 4 b y t e 的入1 2 1f i f o 和1 6 k b y t e 的出口f i f o ，用于调节系统等待时间， 并提供一个1 6 位的微处理器接口，用柬对器件的控制及初始化。p m 3 3 8 7 与 p m 3 3 8 6 基本一样，唯一不同的是它只提供一个通道。p m 3 3 8 6 和p m 3 3 8 7 完成 网络的物理层连接，将接收的数据包转为s p i 3 包交给l x p 2 4 0 0 处理。 ( 3 ) 百兆以太网控制部分 8 2 5 5 9 是i n t e l 推出的以太网多功能p c i c a r d b u s 控制器，它合并了m a c 层 和p h y 层的接口，提供1 0 m 1 0 0 m 的连接。i x p 2 4 0 0 通过p c i 2 0 5 0 b 提供的转 接功能对8 2 2 5 9 进行配置，p c i 2 0 5 0 b 在这里作为连接6 4 位p c i 和3 2 位p c i 的 桥梁。8 2 2 5 9 和p c i 2 0 5 0 b 为i x p 2 4 0 0 提供一个百兆以太网接口，用于调试。 ( 4 ) 与备板主机连接部分 2 1 5 5 5 在主从两边有独立的地址空阳j 、总线宽度和总线时钟，为主从两边提 供非透明的p c it op c i 传输。i x p 2 4 0 0 通过2 1 5 5 5 与备板主机连接。 e n p 2 6 l l 硬件原理图如图3 2 所示： l o o me t h e l w e tl a n 存储蕞境l | l 0 ml r r e r n e t 船! 鲇9 百冕以 太一控 铷嚣 蟊f a r i , i i x l 2 4 0 0 哟 l 柝接曩ii lp m 3 3 8 6 ，p 1 h 3 3 8 7 1 千兆以太一控嚣 惑怀桥接嚣r _ 1 主机 图3 2e n p 2 6 1 1 硬件结构 3 3基于i n t e li x p 2 4 0 0 的软件开发 在网络处理器平台上进行软件开发主要有三个逻辑部分【1 9 l ： ( 1 )管理层面，运行于通用处理器或x s c a l ec o r e 之上，主要负责用户界 面、设置配置、管理策略及审计。 ( 2 ) 控制层面，运行于x s c a l ec o r e 之上，主要负责协议栈的实现，以及 生成、更新、管理数据层面所使用的各种表格，比如路由表。 3 )数据层面，主要负责数据包的高速处理及转发。数据层面的处理是 影响性能的关键因素。数据层面又分为：快速数据层面，运行于微引擎 之上，处理绝大部分的数据包，主要进行数据流输入输出、打包拆包、 分类、快速查表、转发等实时性高的处理；慢速数据层面，运行于x s c a l e c o r e 之上，负责处理异常数掘包，异常数掘包是指无法进行高速处理的 数据包。包括碎片包、带有选项的包、经过加密的数据包或错误的数据 包。 基于i x p 2 4 0 0 实现的入侵防御系统需要注意以下几个问题： ( 1 )将各种功能合理分配到不同层面。 ( 2 ) 利用系统所特有的硬件结构，加快处理速度。 ( 3 )合理利用多种分布式存储单元，权衡访问速度与空间大小，合理分 配数据。 ( 4 )各模块问的通讯方式选取【2 0 1 。 4 第4 章c o o k i e 技术简介 4 1 h t t p 概貌2 1 1 w e b 的应用层协议h t t p 是w e b 的核心。h t t p 在w e b 的客户程序和服务 器程序中得以实现。运行在不同端系统上的客户程序和服务器程序通过交换 h t t p 消息彼此交流。h 丁r p 定义这些消息的结构以及客户和服务器如何交换这 些消息。 h t t p 定义w e b 客户( 即浏览器) 如何从w e b 服务器请求w e b 页面，以及服务 器如何把w e b 页面传送给客户。图4 1 展示了这种请求一响应行为。当用户请 求一个w e b 页面( 譬如说点击某个超链接) 时，浏览器把请求该页面中各个对 象的h t t p 请求消息发送给服务器。服务器收到请求后，以运送含有这些对象 h r r p 响应消息作为响应。到1 9 9 7 年底，基本上所有的浏览器和w e b 服务器软 件都实现了在r f c1 9 4 5 中定义的h t t p 1 0 版本。1 9 9 8 年初，一些w e b 服务器 软件和浏览器软件丌始实现在r f c2 6 1 6 中定义的h 丁r p 1 1 版本。h t t p 1 1 与 h 1 v r p 1 0 向后兼容；运行1 1 版本的w e b 服务器可以与运行1 0 版本的浏览器对 话”，运行1 1 版本的浏览器也可以与运行1 0 版本的w e b 服务器“对话”。 运行e x p l o r e 的p c 同 吲w e b 服务器 运 y n a v i g a t o r 的p c 图4 1h r r p 请求与响应过程 h t t p 1 0 和h t t p i 1 都把t c p 作为底层的传输协议。h t t p 客户首先发起 建立与服务器t c p 连接。一旦建立连接，浏览器进程和服务器进程就可以通过 各自的套接字来访问t c p 。客户端套接字是客户进程和t c p 连接之日j 的“门”， 服务器端套接字是服务器进程和同一t c p 连接之日j 的“门”。客户往自己的套接 字发送h t t p 请求消息，也从自己的套接字接收h t t p 响应消息。类似地，服务 器从自己的套接字接收h t t p 请求消息，也往自己的套接字发送h t t p 响应消息。 客户或服务器一旦把某个消息送入各自的套接字，这个消息就完全落入t c p 的 控制之中。t c p 给h t t p 提供一个可靠的数据传输服务；这意味着由客户发出的 每个h r r p 请求消息最终将无损地到达服务器，由服务器发出的每个h t t p 响应 消息最终也将无损地到达客户。我们可从中看到分层网络体系结构的一个明显优 势一h t t p 不必担心数据会丢失，也无需关心t c p 如何从数据的丢失和错序中 恢复出来的细节。这些是t c p 和协议栈中更低协议层的任务。 4 2c o o k i e 概述 2 2 - 2 3 】 r f c 2 1 0 9 把状态的变化定义为一个会话，一个会话由一系列相关联的请求 和响应组成，一个会话应具有四个特征：每个会话都应有起始和结束；每个会话 应尽量只存在于一个较短的时间内；客户方和服务器都可以主动地结束一个会 话；一个会话的标识应含于一系列的状态信息中。 为了定义一个会话，新产生了两种头部：c o o k i e 和s e t c o o k i e ，其中s e t c o o k i e ， 包含于服务器响应中，c o o k i e 包含在客户请求中，会话由服务器提议建立。请注 意，一个会话并不是一个连续不f b j 隔的客户方到服务器的连接，在会话期1 甘j ，双 方仍然采用h t t p 的一问一答方式，需要每次建立连接。对于一个未包含会话的 普通请求，服务器可以给出一个包含s e t c o o k i e 的响应。客户在收到s e t c o o k i e 之后，可以通过响应c o o k i e 建立会话，或者简单忽略s e t c o o k i e 而拒绝建立会话； 服务器也可以对c o o k i e 响应以更新的状态s e t c o o k i e 或者把s e t c o o k i em a x a g e 域改为0 ，从而结束一个会话，双方就是用这样自愿的方式建立和维持一个会话。 为了表征一个会话，s e t c o o k i e 扩展定义了一些域值，其中有： 6 n a m e = v a l u e ：n a m e 是表征状念的属性名，这由具体每一个会话决定， 可以是任意一个不以$ 丌头的名称，v a l u e 则是它的值，这个域用于提供给对方 状念信息； v e r s i o n - - v e r s i o n ：其域值代表了会话所遵从的状态控制规范的版本，对于 r f c 2 1 0 9 它应为v e r s i o n = l ： p a t h = p a t h ：指明本c o o k i e 所针对的ur l 的子集，它常常是一个ur l 的不 完