Giải thuật lọc gói tin động tổng quát có thể đƣợc phát triển và mở rộng từ giải thuật lọc tĩnh nhƣ Hình 2.7
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/
Tạo luồng mới Tìm thấy luồng?
A
Trích thông tin luồng từ bảng luồng
Trích bộ 5 thông số của gói tin: Địa chỉ nguồn, đích, Cổng nguồn,
đích, Giao thức. Tính ID
Lƣu thông tin luồng vào bảng luồng
So sánh thông tin của kết nối hiện tại trong gói phù hợp với thông tin trích
tử bảng luồng
Tìm trong bảng luồng kết nối
Gói tin hợp luồng?
Cập nhật thông tin luồng
Xử lý tiếp hay Hủy bỏ gói tin Nhận gói tin hòan chỉnh
đ
đ
s
Chuyển tiếp gói tin
B Gói tin TCP? Tách tiêu đề TCP, lƣu trữ, xử lý, đ đ s s đ đ s
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ Hình 2.7. Lƣu đồ thuật toán lọc gói tin động
* Phân tích lưu đồ
- Bƣớc 1: Nhận gói tin IP hoàn chỉnh, tức gói tin không lỗi và đã ghép mảnh thành công
- Bƣớc 2: Trích các thông tin từ gói tin bao gồm: Địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức…
- Bƣớc 3: Tính định danh luồng (Có thể dùng hàm băm) và tìm trong bảng luồng - Bƣớc 4: Nếu luồng kết nối chƣa tồn tại và đƣợc phép thì một luồng mới đƣợc tạo ra và lƣu thông tin luồng vào bảng luồng. Nếu luồng đƣợc tìm thấy có nghĩa là kết nối TCP đã tồn tại.
- Bƣớc 5: Xử lý thông tin luồng của gói tin và thông tin trong bảng luồng, ví dụ kiểm tra cờ SYN hay số trình tự của tiêu đề TCP. Nếu phù hợp thì gói tin đƣợc chuyển tiếp. Thông tin mới trong tiêu đề gói tin cũng đƣợc cập nhật vào bảng luồng. Nếu không phù hợp, gói tin có thể đƣợc xử lý bởi modul an ninh khác hay hủy bỏ.
Để có thể thực hiện lọc gói đầy đủ, việc tạo ra, duy trì, cập nhật hay xóa một tập luật trong bảng luồng khá phức tạp, chúng tôi sẽ phân tích một số kỹ thuật lọc gói động trong các mục tiếp theo