專利名稱:存儲網(wǎng)絡(luò)流信息的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例大體涉及網(wǎng)絡(luò)計算機(jī)系統(tǒng)�����。
背景技術(shù):
計算機(jī)系統(tǒng)通常被聯(lián)網(wǎng)到其他計算機(jī)系統(tǒng)�。網(wǎng)絡(luò)能夠包括計算機(jī)系統(tǒng)、交換機(jī)����、路由器和其他網(wǎng)絡(luò)裝置。在一些情況下��,經(jīng)由網(wǎng)絡(luò)發(fā)送的信息����、網(wǎng)絡(luò)業(yè)務(wù)和/或網(wǎng)絡(luò)分組可能損害計算機(jī)系統(tǒng)或以另外方式對其有不利影響。因此���,期望追蹤和定位發(fā)送信息����、網(wǎng)絡(luò)業(yè)務(wù)和/或網(wǎng)絡(luò)分組的計算機(jī)系統(tǒng)��。在一些情況下�,發(fā)送信息、網(wǎng)絡(luò)業(yè)務(wù)和/或網(wǎng)絡(luò)分組的源計算機(jī)系統(tǒng)的地址是偽裝或欺騙的。這使得難以追蹤源計算機(jī)系統(tǒng)��。已經(jīng)開發(fā)出了用于追蹤和定位這種具有不正確的地址信息的源計算機(jī)系統(tǒng)的技術(shù)���,不過這種技術(shù)要求源計算機(jī)系統(tǒng)連續(xù)地發(fā)送信息和網(wǎng)絡(luò)業(yè)務(wù)或發(fā)送多于一個的網(wǎng)絡(luò)分組����。因此���,沒有用于追蹤具有不正確的地址信息的源計算機(jī)系統(tǒng)的實(shí)用方案����。
發(fā)明內(nèi)容
本文中描述了用于存儲網(wǎng)絡(luò)流信息的本發(fā)明技術(shù)的各種實(shí)施例�。在網(wǎng)絡(luò)裝置處接收包括網(wǎng)絡(luò)協(xié)議流信息的網(wǎng)絡(luò)分組����,該網(wǎng)絡(luò)分組包括網(wǎng)際協(xié)議(IP)頭部,其包括網(wǎng)際協(xié)議源和目的地信息對��。在網(wǎng)絡(luò)裝置的存儲表處存儲IP源和目的地信息對����。使得所述IP源和目的地信息對可用于搜索。
圖1示出根據(jù)本發(fā)明技術(shù)的實(shí)施例的示例計算機(jī)網(wǎng)絡(luò)的框圖。圖2示出根據(jù)本發(fā)明技術(shù)的實(shí)施例的��、用于存儲網(wǎng)絡(luò)流信息的示例方法的流程圖���。圖3示出根據(jù)本發(fā)明技術(shù)的實(shí)施例的�、用于存儲和跟蹤網(wǎng)絡(luò)流信息的示例方法的流程圖����。圖4示出可以在其上實(shí)現(xiàn)本發(fā)明技術(shù)的實(shí)施例的示例計算機(jī)系統(tǒng)的圖示。圖5示出根據(jù)本發(fā)明技術(shù)的實(shí)施例的����、包含網(wǎng)絡(luò)流信息的表。在實(shí)施例的本說明中所引用的附圖應(yīng)該被理解為并非按照比例繪制��,除非特別注明��。
具體實(shí)施例方式現(xiàn)在將詳細(xì)參考本發(fā)明技術(shù)的實(shí)施例��,這些實(shí)施例的示例在附圖中圖示����。雖然將結(jié)合(一個或多個)各種實(shí)施例來說明此技術(shù),應(yīng)該理解�,它們不意圖將本發(fā)明技術(shù)限制于這些實(shí)施例�����。相反�����,本發(fā)明技術(shù)意圖覆蓋可以被包括在如由所附權(quán)利要求書定義的各種實(shí)施例的精神和范圍內(nèi)的替代方案��、修改和等效物��。此外��,在對實(shí)施例的以下說明中��,闡明了許多特定細(xì)節(jié)以提供對本發(fā)明技術(shù)的徹底理解����。但是����,本發(fā)明技術(shù)沒有這些特定細(xì)節(jié)也可以實(shí)現(xiàn)��。在其他情況中��,沒有詳細(xì)說明公知的方法、過程��、部件和電路���,以避免不必要地模糊本實(shí)施例的方面�。除非如從以下討論中顯而易見的那樣另有特定陳述�,應(yīng)理解,遍及實(shí)施例的此說明中�����,使用諸如“接收”�����、“存儲”��、“使得…可用”�、“檢測”、“訪問”�����、“跟蹤”�����、“擴(kuò)寬”等術(shù)語的討論指代計算機(jī)系統(tǒng)或類似電子計算裝置的動作和過程。計算機(jī)系統(tǒng)或類似電子計算裝置對表示為計算機(jī)系統(tǒng)的寄存器和存儲器中的物理(電子)量的數(shù)據(jù)進(jìn)行操縱并將其轉(zhuǎn)換成類似表示為計算機(jī)系統(tǒng)存儲器或寄存器或其他此類信息存儲��、傳輸或顯示裝置中的物理量的其他數(shù)據(jù)�����。本發(fā)明技術(shù)的實(shí)施例也良好適于其他計算機(jī)系統(tǒng)的使用�����,所述其他計算機(jī)系統(tǒng)諸如例如光學(xué)和機(jī)械計算機(jī)����。討論概述
本發(fā)明技術(shù)的實(shí)施例用于存儲和跟蹤網(wǎng)絡(luò)流信息。例如����,網(wǎng)絡(luò)流信息在網(wǎng)絡(luò)中發(fā)生���。此網(wǎng)絡(luò)流信息包括網(wǎng)絡(luò)協(xié)議流����,所述網(wǎng)絡(luò)協(xié)議流被攜載于包括網(wǎng)際協(xié)議(IP)頭部的至少一個網(wǎng)絡(luò)分組中。網(wǎng)絡(luò)分組的IP頭部包括IP源和目的地信息對����。該網(wǎng)絡(luò)包括網(wǎng)絡(luò)裝置,所述網(wǎng)絡(luò)裝置包括存儲表�,所述存儲表存儲IP源和目的地信息對。使得存儲在存儲表中的IP 源和目的地信息對可用于搜索�。網(wǎng)絡(luò)分組的IP頭部還可以包括源和目的地端口信息,其也可以被存儲并如果可用的話使其可用于搜索���。在以下的實(shí)施例中�����,參照“(一個或多個)網(wǎng)絡(luò)分組”�����。該術(shù)語應(yīng)被解釋為用于在計算機(jī)系統(tǒng)和其他硬件裝置的網(wǎng)絡(luò)上發(fā)送信息的典型的網(wǎng)絡(luò)分組��。應(yīng)該認(rèn)識到��,網(wǎng)絡(luò)分組包括但不限于IP頭部以及還包括也稱為有效載荷的用戶數(shù)據(jù)�,所述IP頭部也稱為控制信息�����, 所述控制信息包括遞送網(wǎng)絡(luò)分組所需的數(shù)據(jù)。以下討論將展示各種硬件���、軟件和固件部件����,所述各種硬件����、軟件和固件部件與用于使用本發(fā)明技術(shù)的各種實(shí)施例以存儲和跟蹤網(wǎng)絡(luò)流信息的網(wǎng)絡(luò)裝置和計算機(jī)系統(tǒng)一起使用,以及用于所述網(wǎng)絡(luò)裝置和計算機(jī)系統(tǒng)中�。此外,網(wǎng)絡(luò)裝置�、計算機(jī)系統(tǒng)和它們的方法可以包括下面討論的硬件、軟件和固件部件中的一些�、全部或不包括任何一種。存儲網(wǎng)絡(luò)流信息的實(shí)施例
現(xiàn)在參考圖1�����,示出根據(jù)本發(fā)明技術(shù)的實(shí)施例的包括用于存儲和跟蹤網(wǎng)絡(luò)流信息的網(wǎng)絡(luò)系統(tǒng)的示例環(huán)境的框圖��。環(huán)境100包括主計算機(jī)系統(tǒng)105���、網(wǎng)絡(luò)裝置110����、網(wǎng)絡(luò)裝置115�、 網(wǎng)絡(luò)裝置120、網(wǎng)絡(luò)裝置125和主計算機(jī)系統(tǒng)130�。環(huán)境100包括可以或可以不與本發(fā)明技術(shù)的不同實(shí)施例一起使用的部件,且不應(yīng)解釋為限制本發(fā)明技術(shù)�����。應(yīng)該認(rèn)識到�����,環(huán)境100的部件可以實(shí)現(xiàn)為軟件�����、硬件����、固件或其任何組合。圖1被繪制以在一個實(shí)施例中圖示具有兩個計算機(jī)系統(tǒng)的環(huán)境100,該兩個計算機(jī)系統(tǒng)為主計算機(jī)系統(tǒng)105和主計算機(jī)系統(tǒng)130�����。在一個實(shí)施例中����,主計算機(jī)系統(tǒng)105發(fā)送網(wǎng)絡(luò)分組,其中主計算機(jī)系統(tǒng)130作為接收器或最終目的地�。在這種實(shí)施例中,經(jīng)由網(wǎng)絡(luò)裝置110���、網(wǎng)絡(luò)裝置115����、網(wǎng)絡(luò)裝置120和網(wǎng)絡(luò)裝置125�,將網(wǎng)絡(luò)分組發(fā)送到主計算機(jī)系統(tǒng)130。 應(yīng)該認(rèn)識到���,主計算機(jī)系統(tǒng)105可以發(fā)送多于一個的網(wǎng)絡(luò)分組���,但是為了本發(fā)明技術(shù)的目的僅僅需要發(fā)送一個網(wǎng)絡(luò)分組。在一個實(shí)施例中��,主計算機(jī)系統(tǒng)130的用戶期望跟蹤所接收的網(wǎng)絡(luò)分組,以確定哪個計算機(jī)系統(tǒng)發(fā)送了該網(wǎng)絡(luò)分組�����。如果網(wǎng)絡(luò)分組的發(fā)送者欺騙或偽裝了它們在網(wǎng)絡(luò)上的地址���,則該任務(wù)會是復(fù)雜的。應(yīng)該認(rèn)識到����,這種欺騙或偽裝可能由惡意用戶有意發(fā)生。另外���,網(wǎng)絡(luò)分組可以包括在主計算機(jī)系統(tǒng)130上造成不期望或不利結(jié)果的信息��,其增加了跟蹤網(wǎng)絡(luò)分組以確定哪個計算機(jī)系統(tǒng)發(fā)送了該網(wǎng)絡(luò)分組的需求��。為了獲得跟蹤網(wǎng)絡(luò)分組的能力��,在一個實(shí)施例中�����,網(wǎng)絡(luò)裝置110�、網(wǎng)絡(luò)裝置115、網(wǎng)絡(luò)裝置120和網(wǎng)絡(luò)裝置125被配置為包括硬件存儲表����。在一個實(shí)施例中,硬件存儲表是實(shí)際上定位于網(wǎng)絡(luò)裝置中的硬件部件�。該硬件存儲表具有存儲在網(wǎng)絡(luò)分組中包括的信息的能力,所述網(wǎng)絡(luò)分組經(jīng)由所述存儲表作為其部分的網(wǎng)絡(luò)裝置來發(fā)送�����。具體地�����,硬件存儲表存儲網(wǎng)絡(luò)分組的IP頭部的信息或控制信息�����。在一個實(shí)施例中����,由硬件存儲表存儲的信息被稱為網(wǎng)絡(luò)IP流。應(yīng)該認(rèn)識到��,硬件存儲表也可以被包括在網(wǎng)絡(luò)裝置中的軟件或固件中���。應(yīng)該認(rèn)識到����,網(wǎng)絡(luò)裝置110、網(wǎng)絡(luò)裝置115��、網(wǎng)絡(luò)裝置120和網(wǎng)絡(luò)裝置125能夠是交換機(jī)�����、路由器����、較大計算機(jī)系統(tǒng)的部件部分�����,或在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中使用的其他裝置��。另外��, 在圖1中圖示的網(wǎng)絡(luò)裝置也可以連接到圖1中未示出的其他網(wǎng)絡(luò)裝置���。此外��,在一個實(shí)施例中����,網(wǎng)絡(luò)裝置包括如下處理器、能夠是隨機(jī)存取存儲器或更持久的存儲器的存儲器����、以及能夠是以太網(wǎng)端口或通用串行總線端口的至少一個物理端口。網(wǎng)絡(luò)裝置能夠是硬件的獨(dú)立件����,或其能夠是計算機(jī)系統(tǒng)的部件。在一個實(shí)施例中�,IP頭部或控制信息包括IP源和目的地信息對,以及還可以包含源和目的地端口信息����。該IP源和目的地信息對包括識別如下地址的信息意圖接收網(wǎng)絡(luò)分組的作為目的地的計算機(jī)系統(tǒng)的地址;以及發(fā)送網(wǎng)絡(luò)分組的作為源的計算機(jī)系統(tǒng)的地址����。 如上所述,發(fā)送網(wǎng)絡(luò)分組的計算機(jī)系統(tǒng)的地址可能是偽裝或欺騙的��。應(yīng)該認(rèn)識到����,IP源和目的地信息對能夠是網(wǎng)際協(xié)議(IP)地址����、介質(zhì)訪問控制(MAC)地址����、虛擬局域網(wǎng)(VLAN)地址、以及意圖識別網(wǎng)絡(luò)分組的源和目的地的任何其他網(wǎng)絡(luò)地址���。應(yīng)該認(rèn)識到����,源和目的地端口信息能夠是但不局限于用于傳輸控制協(xié)議端口和用戶數(shù)據(jù)報協(xié)議端口(TCP/UDP端口) 的源和目的地信息����。參考圖5�����,表500是示出網(wǎng)絡(luò)流信息的表����,所述網(wǎng)絡(luò)流信息包括將被存儲在硬件存儲表中的IP源和目的地信息對���。列505包含IP源地址。列510包含IP目的地地址���。列 515包含MAC源地址����。列520包含MAC目的地地址�����。列525包含VLAN源����。列530包含源端口信息。應(yīng)該認(rèn)識到���,表500不限于其中所示的數(shù)據(jù)類型����,其還能夠包含關(guān)于IP協(xié)議����、傳輸控制協(xié)議(TCP)端口��、用戶數(shù)據(jù)報協(xié)議(UDP)端口的數(shù)據(jù)和其他相關(guān)數(shù)據(jù)���。再次參考圖1,在一個實(shí)施例中��,使得在硬件存儲表中存儲的網(wǎng)絡(luò)網(wǎng)際協(xié)議流可用于搜索��。能夠執(zhí)行此搜索�,以識別網(wǎng)絡(luò)分組的源計算機(jī)系統(tǒng)或發(fā)送者。例如����,主計算機(jī)系統(tǒng) 105經(jīng)由網(wǎng)絡(luò)裝置110、網(wǎng)絡(luò)裝置115�、網(wǎng)絡(luò)裝置120和網(wǎng)絡(luò)裝置125將網(wǎng)絡(luò)分組發(fā)送到主計算機(jī)系統(tǒng)130。主計算機(jī)系統(tǒng)130確定期望跟蹤網(wǎng)絡(luò)分組到源計算機(jī)系統(tǒng)�����,但是在檢查網(wǎng)絡(luò)分組時�����,發(fā)現(xiàn)源地址已經(jīng)是欺騙的�。為了跟蹤和定位源計算機(jī)系統(tǒng),搜索網(wǎng)絡(luò)裝置的硬件存儲表����。在此示例中,首先搜索網(wǎng)絡(luò)裝置125����,因為其被直接連接到主計算機(jī)系統(tǒng)130。搜索網(wǎng)絡(luò)裝置125的硬件存儲表以尋找等同于網(wǎng)絡(luò)分組中的IP源和目的地信息對的IP源和目的地信息對���。一旦相同的IP源和目的地信息對被定位于網(wǎng)絡(luò)裝置125中����,還檢測源端口信息��,以及搜索連接到網(wǎng)絡(luò)裝置125的其他網(wǎng)絡(luò)裝置以尋找相同的源端口信息���。如果源端口信息不可用�,則IP源和目的地信息對將被用于搜索�。在此示例中,使用源端口信息跟蹤相同的IP源和目的地信息對到網(wǎng)絡(luò)裝置120�����。然后,使用在網(wǎng)絡(luò)裝置120的存儲表中找到的源端口信息�����,對連接到網(wǎng)絡(luò)裝置120的裝置執(zhí)行搜索��。搜索以此方式從一個網(wǎng)絡(luò)裝置到下一個網(wǎng)絡(luò)裝置使用源端口信息繼續(xù)跟蹤IP源和目的地信息對�,直到發(fā)現(xiàn)源計算機(jī)系統(tǒng)為止。應(yīng)該認(rèn)識到�����,源端口信息并不總是可用的��,在這種情況中��,搜索可以使用IP源和目的地信息對來繼續(xù)�。在此示例中,即便源計算機(jī)系統(tǒng)僅僅發(fā)送一個網(wǎng)絡(luò)分組���,也定位該源計算機(jī)系統(tǒng)���。 即便源計算機(jī)系統(tǒng)偽裝或欺騙了它們的網(wǎng)絡(luò)地址,也能夠定位該源計算機(jī)系統(tǒng)。這是因為網(wǎng)絡(luò)裝置的硬件存儲表存儲了與通過網(wǎng)絡(luò)裝置傳輸?shù)乃蟹纸M相關(guān)的網(wǎng)絡(luò)IP流信息而得以實(shí)現(xiàn)的��。應(yīng)該認(rèn)識到,硬件存儲表無需無限期地存儲網(wǎng)絡(luò)IP流信息�,而是需要存儲該信息達(dá)一定量的時間�,一旦期望定位源計算機(jī)系統(tǒng)�,所述時間將允許進(jìn)行搜索����。在一個實(shí)施例中,所述搜索將通過搜索邊緣網(wǎng)絡(luò)裝置而非核心網(wǎng)絡(luò)裝置來開始����。 邊緣網(wǎng)絡(luò)裝置被定義為是直接連接到主計算機(jī)系統(tǒng)以及至少一個其他網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)裝置。核心網(wǎng)絡(luò)裝置被定義為是僅僅連接到其他網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)裝置��。理想地����,邊緣網(wǎng)絡(luò)裝置會經(jīng)歷較少的業(yè)務(wù)�����,并因此在它們的硬件存儲表中存儲有較少的IP流信息����。因此�,由于要搜索較少的信息��,搜索更快���。另外����,因為與目的地計算機(jī)系統(tǒng)連接的網(wǎng)絡(luò)裝置將是邊緣網(wǎng)絡(luò)裝置�,搜索更可能在邊緣網(wǎng)絡(luò)裝置中找到匹配網(wǎng)絡(luò)分組的IP源和目的地信息對�。在一個實(shí)施例中���,并非所有網(wǎng)絡(luò)裝置都包括硬件存儲表���。在這種實(shí)施例中,所述搜索和跟蹤不能使用不包括硬件存儲表的網(wǎng)絡(luò)裝置來發(fā)生���。在此情況中,搜索是可縮放的����,并被擴(kuò)寬以包括未直接連接到主計算機(jī)系統(tǒng)130的網(wǎng)絡(luò)裝置。例如,如果網(wǎng)絡(luò)裝置125不包括硬件存儲表,則搜索會被擴(kuò)寬以包括網(wǎng)絡(luò)裝置120�����。在不同示例中,假設(shè)網(wǎng)絡(luò)裝置120不包括硬件存儲表����。在此示例中,IP源和目的地信息對將被使用源端口信息跟蹤到網(wǎng)絡(luò)裝置 125���。此時�����,搜索會被擴(kuò)寬以包括網(wǎng)絡(luò)裝置115���。如果網(wǎng)絡(luò)裝置115不包括硬件存儲表,則搜索會被擴(kuò)寬以包括網(wǎng)絡(luò)裝置110��。搜索能夠以此方式繼續(xù)擴(kuò)寬,直到使用源端口信息將IP 源和目的地信息對定位在網(wǎng)絡(luò)裝置或源計算機(jī)系統(tǒng)中為止��。應(yīng)該認(rèn)識到���,源端口信息并非總是可用的�,在這種情況中��,搜索可以使用IP源和目的地信息對來繼續(xù)�����。在一個實(shí)施例中�����,所述搜索由計算機(jī)系統(tǒng)使用軟件���、程序、固件��、硬件和/或算法的組合來執(zhí)行����,所述軟件、程序、固件��、硬件和/或算法的組合被設(shè)計為執(zhí)行上述的搜索技術(shù)�����。在一個實(shí)施例中��,主計算機(jī)系統(tǒng)130被用于執(zhí)行搜索��。操作
更一般地����,在根據(jù)本發(fā)明的實(shí)施例中,存儲和跟蹤網(wǎng)絡(luò)流信息被用于定位作為網(wǎng)絡(luò)分組的源或發(fā)送者的主計算機(jī)系統(tǒng)�。這種方法能夠被實(shí)現(xiàn)為用于定位主計算機(jī)系統(tǒng)的搶先的方式,意味著該方法的前幾步在期望跟蹤和定位作為網(wǎng)絡(luò)分組的源或發(fā)送者的主計算機(jī)系統(tǒng)之前實(shí)現(xiàn)�。另外,這些方法能夠用于在發(fā)送僅僅一個網(wǎng)絡(luò)分組時跟蹤主計算機(jī)系統(tǒng)���。圖2是圖示根據(jù)本發(fā)明一個實(shí)施例的�、用于存儲網(wǎng)絡(luò)流信息的過程200的流程圖�����。 在一個實(shí)施例中,由處理器和電部件在計算機(jī)可讀和計算機(jī)可執(zhí)行指令的控制下來執(zhí)行過程200�����。計算機(jī)可讀和計算機(jī)可執(zhí)行指令駐留于例如數(shù)據(jù)存儲特征中���,所述數(shù)據(jù)存儲特征諸如計算機(jī)可用易失性和非易失性存儲器����。但是��,計算機(jī)可讀和計算機(jī)可執(zhí)行指令可以駐留于任何類型的計算機(jī)可讀介質(zhì)中���。在一個實(shí)施例中��,由圖1的主計算機(jī)系統(tǒng)130執(zhí)行過程 200��。在一個實(shí)施例中,使用過程200來存儲網(wǎng)絡(luò)流信息�。在205,在一個實(shí)施例中�����,在網(wǎng)絡(luò)裝置處接收包括網(wǎng)絡(luò)IP流信息的網(wǎng)絡(luò)分組,該網(wǎng)絡(luò)分組包括IP頭部�����,所述IP頭部包括 IP源和目的地信息對���。在210��,在一個實(shí)施例中�,使用存儲硬件表將網(wǎng)絡(luò)IP流的IP源和目的地信息對存儲在網(wǎng)絡(luò)裝置中����。在一個實(shí)施例中,存儲表是網(wǎng)絡(luò)裝置的硬件部件�。應(yīng)該認(rèn)識到,存儲表能夠是硬件����、軟件、固件或其任何組合����。在215,在一個實(shí)施例中�,使得網(wǎng)絡(luò)IP流的IP源和目的地信息對可用于搜索����。圖3是示出根據(jù)本發(fā)明一個實(shí)施例的���、用于跟蹤網(wǎng)絡(luò)流信息的過程300的流程圖��。 在一個實(shí)施例中�����,由處理器和電部件在計算機(jī)可讀和計算機(jī)可執(zhí)行指令的控制下來執(zhí)行過程300�����。計算機(jī)可讀和計算機(jī)可執(zhí)行指令駐留于例如數(shù)據(jù)存儲特征中�����,所述數(shù)據(jù)存儲特征諸如計算機(jī)可用易失性和非易失性存儲器�。但是�����,計算機(jī)可讀和計算機(jī)可執(zhí)行指令可以駐留于任何類型的計算機(jī)可讀介質(zhì)中����。在一個實(shí)施例中,由圖1的主計算機(jī)系統(tǒng)130執(zhí)行過程 300�。在一個實(shí)施例中,過程300被用于跟蹤網(wǎng)絡(luò)流信息����。在305,在一個實(shí)施例中�����,檢測包括網(wǎng)絡(luò)協(xié)議流信息的至少一個網(wǎng)絡(luò)分組�����。在310�����,在一個實(shí)施例中����,訪問由與網(wǎng)絡(luò)分組相關(guān)聯(lián)的網(wǎng)絡(luò)協(xié)議信息識別的第一網(wǎng)絡(luò)裝置的存儲表。在一個實(shí)施例中���,存儲表是第一網(wǎng)絡(luò)裝置的硬件部件�。應(yīng)該認(rèn)識到,存儲表能夠是硬件�����、軟件����、固件或其任何組合。在315����,在一個實(shí)施例中,跟蹤與網(wǎng)絡(luò)分組相關(guān)聯(lián)的網(wǎng)絡(luò)協(xié)議流信息到第二網(wǎng)絡(luò)裝置����。在一個實(shí)施例中,重復(fù)步驟315以跟蹤第三網(wǎng)絡(luò)裝置��。在一個實(shí)施例中��,重復(fù)步驟 315�����,直到發(fā)送該至少一個網(wǎng)絡(luò)分組的主計算機(jī)系統(tǒng)被定位為止。在一個實(shí)施例中��,執(zhí)行步驟315以首先搜索邊緣網(wǎng)絡(luò)裝置以及然后搜索核心硬件
直ο在一個實(shí)施例中����,步驟315導(dǎo)致未發(fā)現(xiàn)第二網(wǎng)絡(luò)裝置��。在這種實(shí)施例中��,能夠擴(kuò)寬跟蹤以包括搜索除了所述第二網(wǎng)絡(luò)裝置之外的網(wǎng)絡(luò)裝置的存儲表����。在一個實(shí)施例中,通過首先搜索在被直接連接到計算機(jī)系統(tǒng)的網(wǎng)絡(luò)裝置的硬件存儲表中包含的網(wǎng)絡(luò)協(xié)議流信息���,來執(zhí)行步驟315�����。在一個實(shí)施例中��,此搜索可以被擴(kuò)寬以包括未直接連接到計算機(jī)系統(tǒng)的網(wǎng)絡(luò)裝置��。在類似實(shí)施例中��,在已經(jīng)發(fā)現(xiàn)第二網(wǎng)絡(luò)裝置之后���, 可以對第三網(wǎng)絡(luò)裝置進(jìn)行搜索��。在這種實(shí)施例中���,可以搜索直接連接到第二網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)裝置,或可以將搜索擴(kuò)寬以包括未直接連接到第二網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)裝置����。示例計算機(jī)系統(tǒng)環(huán)境
現(xiàn)在參考圖4,用于提供由計算機(jī)可讀和計算機(jī)可執(zhí)行指令組成的通信的技術(shù)的實(shí)施例的部分�����,所述計算機(jī)可讀和計算機(jī)可執(zhí)行指令駐留于例如計算機(jī)系統(tǒng)的計算機(jī)可用介質(zhì)中�����。也就是說�����,圖4示出能夠用于實(shí)現(xiàn)本發(fā)明技術(shù)的實(shí)施例的計算機(jī)的類型的一個示例。圖4示出根據(jù)本發(fā)明技術(shù)的實(shí)施例使用的示例計算機(jī)系統(tǒng)400�。應(yīng)該認(rèn)識到,圖 4的系統(tǒng)400僅僅是個示例�����,且本發(fā)明技術(shù)的實(shí)施例能夠在許多不同的計算機(jī)系統(tǒng)上或內(nèi)操作�,所述許多不同的計算機(jī)系統(tǒng)包括通用聯(lián)網(wǎng)計算機(jī)系統(tǒng)��、嵌入型計算機(jī)系統(tǒng)��、路由器���、 交換機(jī)����、服務(wù)器裝置��、用戶裝置�����、各種中間裝置/人工制品��、獨(dú)立計算機(jī)系統(tǒng)、移動電話����、個人數(shù)據(jù)助理等。如圖4中所示��,圖4的計算機(jī)系統(tǒng)400良好適于具有外圍計算機(jī)可讀介質(zhì)402���,諸如例如耦合到其的軟盤�、緊致盤等�。圖4的系統(tǒng)400包括地址/數(shù)據(jù)總線404,用于傳輸信息��;以及耦合到總線404 的處理器406A����,用于處理信息和指令。如圖4中所示����,系統(tǒng)400還良好適于多處理器環(huán)境, 其中����,存在多個處理器406A��、406B和406C���。相反地,系統(tǒng)400還良好適于具有單個處理器�, 諸如例如處理器406A。處理器406A�����、406B和406C可以是各種類型的微處理器中的任何一種����。系統(tǒng)400還包括數(shù)據(jù)存儲特征��,諸如計算機(jī)可用易失性存儲器408�,例如隨機(jī)存取存儲器(RAM),其耦合到總線404以用于存儲用于處理器406A�����、406B和406C的信息和指令�。系統(tǒng)400還包括計算機(jī)可用非易失性存儲器410,例如只讀存儲器(ROM)����,其耦合到總線404�,用于存儲用于處理器406A�����、406B和406C的靜態(tài)信息和指令����。系統(tǒng)400中還存在數(shù)據(jù)存儲單元412 (例如磁盤或光盤以及盤驅(qū)動器),其耦合到總線404用于存儲信息和指令�。系統(tǒng)400還包括可選的字母-數(shù)字輸入裝置414,其包括耦合到總線404的字母數(shù)字和功能鍵��,用于將信息和命令選擇傳輸?shù)教幚砥?06A或處理器406A����、406B和406C。系統(tǒng)400還包括耦合到總線404的可選的光標(biāo)控制裝置416����,用于將用戶輸入信息和命令選擇傳輸?shù)教幚砥?06A或處理器406A、406B和406C�����。本實(shí)施例的系統(tǒng)400還包括耦合到總線 404的用于顯示信息的可選的顯示裝置418。依然參考圖4���,圖4的可選的顯示裝置418可以是液晶裝置��、陰極射線管����、等離子體顯示裝置或其他適于創(chuàng)建用戶能夠辨別的圖形圖像和字母數(shù)字字符的顯示裝置�����?��?蛇x的光標(biāo)控制裝置416允許計算機(jī)用戶動態(tài)地用信號通知可見符號(光標(biāo))在顯示裝置418的顯示屏幕上的移動���。本領(lǐng)域中已知光標(biāo)控制裝置416的很多實(shí)現(xiàn)方式����,包括跟蹤球、鼠標(biāo)���、觸摸板��、操縱桿或能夠用信號通知給定位移方向或位移方式的移動的字母數(shù)字輸入裝置414上的特殊鍵����。可替代地����,將認(rèn)識到,能夠使用特殊鍵和鍵序列命令經(jīng)由來自字母數(shù)字輸入裝置 414的輸入來導(dǎo)向和/或激活光標(biāo)���。系統(tǒng)400還良好適于使得由其他手段來導(dǎo)向光標(biāo)����,所述其他手段諸如例如語音命令�。系統(tǒng)400還包括用于將系統(tǒng)400與外部實(shí)體耦合的I/O裝置420。例如��,在一個實(shí)施例中�����,I/O裝置420是用于實(shí)現(xiàn)在系統(tǒng)400與外部網(wǎng)絡(luò)之間的有線或無線通信的調(diào)制解調(diào)器�,所述外部網(wǎng)絡(luò)諸如但不局限于因特網(wǎng)。依然參考圖4����,圖示用于系統(tǒng)400的各種其他部件����。具體地�,當(dāng)存在時,操作系統(tǒng) 422����、應(yīng)用424、模塊426以及數(shù)據(jù)4 被示出為典型地駐留在例如隨機(jī)存取存儲器(RAM) 的計算機(jī)可用易失性存儲器408和數(shù)據(jù)存儲單元412的一個或某種組合中���。但是�����,應(yīng)認(rèn)識到�����,在一些實(shí)施例中,操作系統(tǒng)422可以存儲在其他位置處���,諸如存儲在網(wǎng)絡(luò)上或閃速驅(qū)動器上�����;以及進(jìn)一步���,可以經(jīng)由例如到互聯(lián)網(wǎng)的耦合從遠(yuǎn)程位置訪問操作系統(tǒng)422�����。在一個實(shí)施例中�����,本技術(shù)例如被存儲為RAM 408內(nèi)的存儲位置和數(shù)據(jù)存儲單元412內(nèi)的存儲區(qū)域中的應(yīng)用4 或模塊426�����。本技術(shù)的實(shí)施例可以應(yīng)用于所述系統(tǒng)400的一個或多個元件����。例如���,修改裝置115A的用戶接口 225A的方法可以應(yīng)用于操作系統(tǒng)422�、應(yīng)用424、模塊似6 和/或數(shù)據(jù)428����。計算系統(tǒng)400僅僅是適合的計算環(huán)境的一個示例,并且不意圖就本技術(shù)的使用或功能的范圍暗示任何限制���。計算環(huán)境400也不應(yīng)解釋為具有關(guān)于示例計算系統(tǒng)400中示出的部件的任何一個或組合的任何依賴性或要求��。本技術(shù)的實(shí)施例可以在由計算機(jī)執(zhí)行的例如程序模塊的計算機(jī)可執(zhí)行指令的一般上下文中進(jìn)行描述��。一般說來�,程序模塊包括例程���、程序�、對象����、部件、數(shù)據(jù)結(jié)構(gòu)等����,其執(zhí)行特定的任務(wù)或?qū)崿F(xiàn)特定的抽象數(shù)據(jù)類型。本技術(shù)的實(shí)施例還可以在分布式計算環(huán)境中實(shí)施�,其中,由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理裝置來執(zhí)行任務(wù)����。在分布式計算環(huán)境中,程序模塊可以位于包括存儲器-存儲裝置的本地和遠(yuǎn)程計算機(jī)存儲介質(zhì)二者中����。
雖然以結(jié)構(gòu)特征和/或方法行為特有的語言描述了主題,應(yīng)該理解��,在所附權(quán)利要求書中定義的主題不必限于上述的具體特征或行為����。相反,上述的具體特征和行為被公開作為實(shí)現(xiàn)權(quán)利要求的示例形式�。
權(quán)利要求
1.一種用于存儲網(wǎng)絡(luò)流信息的方法,所述方法包括在網(wǎng)絡(luò)裝置處接收包括網(wǎng)絡(luò)網(wǎng)際協(xié)議流信息的網(wǎng)絡(luò)分組����,所述網(wǎng)絡(luò)分組包括網(wǎng)際協(xié)議頭部,所述網(wǎng)際協(xié)議頭部包括網(wǎng)際協(xié)議源和目的地信息對���;在所述網(wǎng)絡(luò)裝置的存儲表處存儲包括所述網(wǎng)際協(xié)議源和目的地信息對的所述網(wǎng)際協(xié)議流信息��;以及使得包括所述網(wǎng)際協(xié)議源和目的地信息對的所述網(wǎng)際協(xié)議流信息可用于搜索�����。
2.根據(jù)權(quán)利要求1所述的方法��,其中��,所述網(wǎng)際協(xié)議源和目的地信息對是包括源和目的地地址的網(wǎng)際協(xié)議地址���。
3.根據(jù)權(quán)利要求1所述的方法�����,其中��,所述網(wǎng)際協(xié)議源和目的地信息對是包括源和目的地地址的介質(zhì)訪問控制(MAC)地址���。
4.根據(jù)權(quán)利要求1所述的方法,其中��,所述網(wǎng)際協(xié)議流信息還包括源和目的地端口信息��,所述存儲所述網(wǎng)際協(xié)議流信息還包括存儲所述源和目的地端口信息�����,以及所述使得所述網(wǎng)際協(xié)議流信息可用于搜索還包括使得所述源和目的地端口信息可用于搜索。
5.根據(jù)權(quán)利要求1所述的方法���,其中����,所述存儲表是所述網(wǎng)絡(luò)裝置的部件硬件存儲表�����。
6.根據(jù)權(quán)利要求1所述的方法����,其中�����,所述網(wǎng)絡(luò)分組的所述網(wǎng)際協(xié)議源和目的地信息對包括不正確地識別所述網(wǎng)絡(luò)分組的源的源信息����。
7.一種用于存儲網(wǎng)絡(luò)流信息的網(wǎng)絡(luò)裝置,所述裝置包括 處理器����;存儲器��;用于接收包括網(wǎng)絡(luò)流信息的網(wǎng)絡(luò)分組的物理端口�����,所述網(wǎng)絡(luò)分組包括網(wǎng)際協(xié)議頭部���, 所述網(wǎng)際協(xié)議頭部包括網(wǎng)際協(xié)議源和目的地信息對;以及硬件存儲表�����,其被配置用于存儲所述網(wǎng)際協(xié)議源和目的地信息對以及使之可用于搜索�。
8.根據(jù)權(quán)利要求7所述的裝置,其中��,所述網(wǎng)絡(luò)裝置是網(wǎng)絡(luò)交換機(jī)���。
9.根據(jù)權(quán)利要求7所述的裝置�����,其中����,所述網(wǎng)際協(xié)議頭部還包括源和目的地端口信息, 以及所述硬件存儲表還被配置用于存儲所述源和目的地端口信息以及使之可用于搜索�����。
10.根據(jù)權(quán)利要求7所述的裝置�����,其中�����,所述網(wǎng)際協(xié)議源和目的地信息對是包括源和目的地地址的虛擬局域網(wǎng)(VLAN)地址���。
11.一種用于跟蹤網(wǎng)絡(luò)流信息的方法,所述方法包括檢測包括網(wǎng)際協(xié)議頭部的至少一個網(wǎng)絡(luò)分組����,所述網(wǎng)際協(xié)議頭部包括網(wǎng)絡(luò)協(xié)議流信息;訪問由與所述網(wǎng)絡(luò)分組相關(guān)聯(lián)的所述網(wǎng)絡(luò)協(xié)議流信息識別的第一網(wǎng)絡(luò)裝置的存儲表����;以及跟蹤與所述網(wǎng)絡(luò)分組相關(guān)聯(lián)的所述網(wǎng)絡(luò)協(xié)議流信息到第二網(wǎng)絡(luò)裝置。
12.根據(jù)權(quán)利要求11所述的方法���,其中�,所述網(wǎng)絡(luò)協(xié)議流信息包括網(wǎng)際協(xié)議源和目的地地址。
13.根據(jù)權(quán)利要求11所述的方法�����,其中����,所述網(wǎng)絡(luò)協(xié)議流信息包括源和目的地端口信肩、ο
14.根據(jù)權(quán)利要求11所述的方法��,其中��,所述跟蹤包括首先搜索邊緣網(wǎng)絡(luò)裝置以及然后搜索核心網(wǎng)絡(luò)裝置��。
15.根據(jù)權(quán)利要求11所述的方法��,其中�,所述網(wǎng)絡(luò)裝置的所述存儲表是所述網(wǎng)絡(luò)裝置的部件硬件裝置。
全文摘要
存儲網(wǎng)絡(luò)流信息���。在網(wǎng)絡(luò)裝置處接收包括網(wǎng)絡(luò)網(wǎng)際協(xié)議流信息的網(wǎng)絡(luò)分組�����,所述網(wǎng)絡(luò)分組包括網(wǎng)際協(xié)議頭部��,所述網(wǎng)際協(xié)議頭部包括網(wǎng)際協(xié)議源和目的地信息對�����。在所述網(wǎng)絡(luò)裝置的存儲表處存儲所述網(wǎng)際協(xié)議源和目的地信息對��。使得所述網(wǎng)際協(xié)議源和目的地信息對可用于搜索�。
文檔編號H04L29/06GK102273139SQ200880132584
公開日2011年12月7日 申請日期2008年12月30日 優(yōu)先權(quán)日2008年12月30日
發(fā)明者瓦庫莫托 S., 馬宗達(dá) S. 申請人:惠普開發(fā)有限公司