[发明专利]一种基于IP分片的完整数据包留存方法及系统

说明书

本发明涉及信息通讯中的网络层、传输层数据包的处理以及网络数据传输与留存技术领域，具体涉及一种基于IP分片的完整数据包留存与导出方法，该方法包括：对接收到的IP分片数据包通过网络层信息进行分类和重组，获得重组后的IP分片数据包；对重组后的IP分片数据包进行重填第一分片的首部信息后，并与剩余分片组合形成链状巨帧格式的数据包；根据基于留存的六元组信息的留存标准，从链状巨帧格式的数据包中筛选符合留存标准的数据包并留存，获得留存的IP分片数据包；将留存的IP分片数据包转化为单独的完整数据包，并将其进行存储。

技术领域

本发明属于信息通讯中的网络层、传输层数据包的处理以及网络数据传输与留存技术领域，具体涉及一种基于IP分片的完整数据包留存方法及系统。

背景技术

在现有的网络模型架构TCP/IP中，首先，不同物理性质的网络传输情况不同，这不仅体现在传输速度上，更体现在所能传输的最大数据包大小上，即最大传输单元(MaximumTransmission Unit，简写为MTU)。其中，网络层和传输层是独立于链路层的基础传输技术，当一个网络需要发送数据包通过一个MTU较小的网络时，IP层会在提交数据包到链路层之前将数据包分片，以保证物理层数据包的大小不会超过当前网络的MTU。

需要注意的是，在IPv4中，IP分片的功能是在网络层实现的，所以作为该网络层的最高处理单元都可以执行IP分片的命令，即发送端、网络中的转发路由器等等都有执行IP分片的权利；但是，在IPv6中，不允许路由器执行IP分片，发送端在发送数据包之前，必须提前确定整个网络链路的最小MTU，以确保数据包发送成功。

由于MTU的存在，当接收端收到数据包之后，会在IP层进行IP分片并重组，根据源IP、协议版本和IP分片标识号来确定是否属于同一IP数据包，当接收到全部IP分片数据包后，完成重组。

但是，在网络数据包留存设备与系统中，接收到的是网络中最原始的数据包，由于传输层对于网络层而言是透明的，所以网络层并不知道也不需要知道传输层的首部，这种情况下，在IP分片数据包中，只有第一片IP分片会具有传输层的首部，其余IP分片均没有传输层的首部信息，如图1所示。这样就使得留存设备与系统记录的数据包缺失部分信息，当用户需要按照数据包的四元组信息，即源IP、目的IP、源端口和目的端口，留存和导出符合条件的数据包时，会缺失IP分片的其余分片数据包，这是一个比较严重的问题。为了解决该问题，需要在留存数据包的同时使IP分片数据包重组完成，使得每个留存下来的数据包包含完整的网络层、传输层等首部信息，这样需要提出一种针对IP分片的完整数据包留存和导出方法。

目前，处理IP分片数据包，并将其留存和导出的方法有：

第一种，专利名称《一种分片报文的重组方法》(专利申请号：200610034570.8)：该专利提出了一种根据IP协议版本、IP分片标识字段和源IP地址建立三级索引表，根据这三级索引查找到对应的重组信息表，完成对IP分片报文的重组，具有内存需求小而且实时性好的特点。但是，这种建立多级索引的方式，在网络数据包留存系统与设备中需要额外维护索引表，增加设备的工作量，而且由于该方法仅对源IP地址进行了索引，当出现交叉流以及一对多复杂传输时的情况，极有可能出现索引不匹配导致重组失败或者增加索引时间的情况，这对于留存及导出是很不利的。

第二种，tcpdump抓包和Wireshark重组分析：tcpdump是一个用于截取网络分组，并输出分组内容的工具；tcpdump抓取IP分片的数据包时，将会截取完整的原始网络数据包，不做任何处理的存储下来。Wireshark则是一款网络数据包分析软件，使用Wireshark分析tcpdump抓取的IP分片数据包时，Wireshark会在执行程序中完成IP重组的功能，即依次读取数据包的IP首部信息，将可以完成重组的数据包的信息分析完成。但是，这种保留原始包，在导出分析时进行重组的方法缺点在于将计算压力完全置于导出分析系统一侧，致使在快速导出分析数量庞大的数据包时，性能不佳，并且存在重组失败的风险，将风险暴露在整个流程的最后，浪费前部分的计算以及存储资源。