NetBsd操作系统网络部分ICMP缺陷的修正.pdfVIP

ISSN1 009—3044 and ComputorKnowtedgeTechnology电脑知识与技术 V01．5，No．14，May2009，PP．3645-3646 Tel：+86—551-56909635690964 I＼letBsd操作系统网络部分ICMP缺陷的修正 肖晨阳10 (1．长沙博华科技有限公司，湖南长沙410205；2．湖南师范大学生命科学学院，湖南长沙410081) ， 其修正方法。 关键词：NetBsd；ICMP；缺陷 中圈分类号：TP393文献标识码：A 文章编号：1009—3044(2∞9)14-3645—02 Founda inNetBsd NetworkSourceandFixIt Bug OperatingSystem XIAO Chen—yan91。 BohuaScienceand ofLife Normal Science，Hunan (1．Changsha TechnologyCo．，Ltd．，Changsha410205，China；2．CoUege University， 41008 Changsha1，China) for Abstract：NetBsdisa Unix—likeSource available free，secure，andhighlyportable Open operatingsystem many large— platforms，from scatleserver to tohandheldandembeddeddevices．Wefounda inNetBsdnetworkSoLIrCe systemspowerfuldesktopsystems bug code，and wefoundanewmet}10dtOfixit． Keywords：NetBsd；ICMP；BUG 1引言 我们使用NetBsd作为防火墙设备的控制部分系统软件。完成防火墙中连接的建立、界面控制。操作系统的功能主要是完成连接 跟踪的建立和维护，基于连接跟踪的地址转换(NAT)，是建立在连接跟踪上的。 连接。 防火墙网络数据流如图1所示。 1)网络数据包从硬件加速卡进入，加速卡把新连接上传到X86硬件由 NetBsd的连接跟踪部分，在内存中建立连接表等。 2)建立连接后的数据流直接由硬件加速卡处理．不再上传到X86硬件，由 于这部分数据流不需要上传到X86硬件．所以网络数据得到快速处理。 3)通常而言，由于ICMP的数据量不大，因此将所有的ICMP的数据上传到 X86硬件平台，由NetBsd处理。而不是由硬件加速卡处理。 综上所述，本产品对ICMP的处理完全由控制层操作系统来完成。 图1 防火墙网络数据流 2缺陷描述 本产品在使用过程中，发现了作为控制层操作系统NetBsd的一个缺陷，描述如图2。 如图2所示，当在防火墙NAT后面的计算机(A、B)通过防火墙同时向网络上的发送Ping请求包， 远端计算机(C)回应ping回复包，当通过防火墙NAT后有时候会出现Ping回复包丢失的现象，本来应 该回复到A的数据包，错误的传递到B计算机。导致A收不到ping回复包。 ．