[发明专利]优化路由缓存的方法

说明书

背景技术

一般地，本发明涉及阻止对服务器攻击的方法，该服务器通过使用大量入口充满该服务器路由缓存而操作。

当在互联网协议(IP)网络上发送数据包时，经常将由不同包所采用的路由加到称作为转发信息库(FIB)的数据库。也将FIB称作为路由表。该路由表指出如何正确地转发包使得他们到达他们的正确目的地。一些操作系统，包括Linux，支持多个FIB。一些FIB能够相关于不同网络接口。FIB规则数据库包含指出在处理给定IP包时候应使用哪一个FIB的规则。当处理即将到来的，将离开的，或转发的包时，操作系统不仅必须跟踪应使用哪一个FIB，也应确定应使用什么路由，应处理这些包的什么程序序列，应将该包发送到哪一个邻近节点，以及更多。该操作系统也实施对这些包的源和目的IP地址的数个确认以阻扰服务攻击的拒绝。为了提高包处理性能，常见的是，保留数个跟踪最近见到的包的流和如何处理他们的缓存。这帮助了在属于流的潜在大数量包之上的每包确认和内部包处理路径的高成本的分摊。为了缓存目的，流可能是具有相同IP源地址，IP目的地址，即将到来/即将离开的接口和该服务类型(ToS)标记的包。

该Linux IP堆栈使用三种不同缓存：路由缓存，邻近缓存，和硬件报头缓存。他们是所有专业化的通用目的缓存。该目的缓存保留了以协议无关的形式中的目的地址和程序相关的信息。该邻近缓存保留了在给定模式的所有邻近节点的IP地址和MAC地址之间的映射。给定节点的邻近节点(也称作为“链接上”节点)是从该给定节点处可本地到达的一个节点，例如，在以太网链接上。可将从给定节点处不可本地到达的节点称作为关于该给定节点的“离开链接”节点。也将该邻近缓存称作为用于IPv4协议的地址分辨协议(ARP)表。该硬件报头缓存保留了用来操纵这些报头的MAC层报头和程序。该路由缓存保留了与该IP包的特性相关的信息，使用处理他们的程序，和应接受该匹配包的邻近节点相关的信息。

通常将路由缓存实施为在该机器引导时间时初始化的哈希表。基于在该系统中的存储器数量在引导时间时自动计算哈希桶的数量。该路由缓存能够存储的最大数量入口是由操作系统参数可控的。

经常地，存在为在由该IPv4堆栈所处理的所有包上的IPv4源和目的地址的每一个唯一组合所创建的一个路由缓存。可将其用作攻击向量。攻击者能够将包发送给使用随机源地址的受害者。该攻击者甚至不必接收任意响应。当该受害者处理这些包时，其保持使用其期望重新使用的入口来填充该路由缓存，但是由于在该攻击中使用的源地址是唯一的，其决不重新使用他们。在几十万包内，在该受害者中的路由缓存可填满，且性能可能限制下降。

本发明的实施方案能够通过对使用该路由缓存的方式进行改变来移除该攻击向量。

发明概述

本发明的实施方案能够改变管理该路由缓存的过程。能够将至少一个网络接口识别为“前端接口”。能够正常地处置从本地(链接上)节点(如，邻近节点)到达该前端接口的所有事务。处理这样的链接上的包能够导致具有本地目的地地址的唯一路由缓存入口。然而，对于从寻址到给定目的地IP地址的远程(离开链接)的源处所到达的包来说，能够使用单个，共享的路由缓存入口。能够归零在该入口中的源地址字段，因为其将不用于从任一源处到来的事务。相同地，对于通过该前端接口到达离开链接的目的的所有包，可创建和使用另一个单个共享路由缓存入口。归零在该入口中的目的地址，因为其将不用于到达任一目的地的事务。

从该服务器到离开链接目的地的所有包可通过单个路由器。当一般该路由器地址是在将包发送到离开链接的目的地时从该路由缓存处所需的仅有信息时，单个路由缓存入口可用于所有来到离开链接的目的地的事务。这也是当使用作出显现为到该节点的单个路由器的一组路由器的某些协议来实施路由器冗余时的情况，包括虚拟路由器冗余协议(VRRP)或Cisco热备份路由协议(HSRP)。当使用多个路由器时，用于冗余或其他情况，仍旧可能的是使用该路由缓存优化，但是仍必要的是使用超过两个共享入口或将附加信息嵌入该共享的入口。

相同地，当来自离开链接的源的所有事务一般依赖于来自该路由缓存处的相同信息时，可使用单个缓存入口用于来自离开链接的源的所有即将到来的事务。

当来自新的远程IP地址的请求将不再导致在该路由缓存中新入口的创建时，这阻止了当服务器接收来自大量源IP地址的请求，无论这样的请求是否合法或被电子欺骗时的该路由缓存的充满。

根据结合该附图所提供的本发明的实施方案的下列具体说明将更容易理解这些和其他优点和特征。

附图简要说明