Способ фильтрации данных пакетов в сетевых пакетных коммутаторах

Предлагаемый способ относится к области построения систем маршрутизации в системах коммутации сетевых пакетов, а именно к способам обработки данных при маршрутизации и направлен на решение задач предварительной фильтрации данных, передаваемых в составе сетевых пакетов, в маршрутизаторах для снижения нагрузки на системы глубокого анализа данных, а также ограничения доступа конечного потребителя к определенному сетевому контенту при передаче больших объемов сетевого трафика.

Целью заявляемого способа является обеспечение фильтрации данных сетевых пакетов в коммутаторах, например, стандарта Ethernet, поддерживающих стек протокола TCP/IP, без снижения пропускной способности, с минимальной задержкой на обработку с обеспечением неподверженности уязвимости со стороны злоумышленников, действующих по сети (под фильтрацией данных сетевых пакетов понимается передача получателю только тех байт в составе сетевого пакета, которые имеют определенную позицию, или номер).

В настоящее время большинство локальных вычислительных сетей подключены к сети Интернет. Расширение спектра и повышение требований к уровню конфиденциальности требует использования специальных технических средств разграничения доступа к информационным ресурсам, а также глубокого анализа данных, передаваемых по сети.

Одним из способов снижения вычислительной нагрузки на системы глубокого анализа данных при передаче больших объемов сетевого трафика (более 1,5 Тбит/с) является выполнение фильтрации данных в составе передаваемых пакетов в узловых коммутаторах вычислительных сетей на уровне отдельных байт.

В качестве средств фильтрации данных традиционно применяются межсетевые экраны, представляющие собой специализированные устройства, которые включаются между двумя сегментами сети таким образом, что весь обмен сетевыми пакетами между указанными сегментами обрабатывался с помощью установленных правил. Как правило, последние строятся на базе ЭВМ, включающих операционные системы, которые могут потенциально содержать уязвимости, используемые злоумышленниками для нарушения штатного функционирования межсетевого экрана.

Существующие пакетные коммутаторы, функционирующие с использованием операционных систем, построены таким образом, что данные передаются с уровня операционной системы на физический (сетевой) уровень через уровень драйвера. Центральный процессор загружает данные пакета в системную память, где они обрабатываются. Как только вся информация обработана, она пересылается в память данных сетевого интерфейса, который начинает ее считывать и передавать потребителю. Чтение и запись пакета сначала в системную память, а затем в память данных требует большого количества времени. Пропускная способность подобных систем, как правило, не превышает величин порядка 40 Гбит/с.

Повышение производительности пакетных коммутаторов возможно посредством исключения системной памяти и уровня операционной системы, то есть затрат времени на операции записи в память и чтение из памяти при обработке данных.

Известен способ глубокого разбора сетевых протоколов для анализа и фильтрации их содержимого, описанный в патенте RU 2640295 от 30.06.2016 ([1]), не имеющий существенных общих признаков с предлагаемым изобретением, но обладающий схожим функциональным назначением.

Способ, описанный в [1], предназначен для реализации в сетевых коммутаторах, построенных на основе электронно-вычислительных машин (ЭВМ), функционирующей на платформах Linux и FreeBSD и включающей в своем составе программы, обеспечивающие прямой доступ к памяти сетевых интерфейсов. Основные недостатки данного способа заключаются в том, что он предназначен для реализации на базе ЭВМ под управлением операционной системы, которая потенциально может быть подвержена уязвимости, и при его практической реализации будут иметь место существенные временные задержки на обработку и пересылку пакетов информации между сетевыми интерфейсами, следовательно, при использовании данного способа будет иметь место снижение пропускной способности при передаче больших объемов сетевого трафика.

Также известен способ удаления кадра в сетевом интерфейсе, описанный в патенте US 6717941 B1 от 06.04.2004 ([2]), заключающийся в том, что считывают информацию из поля аннулирования данных в передаваемом кадре (маску), которое входит в дескриптор, связанный с выбранными данными кадра, определяют статус выбранных данных кадра, удаляют выбранные данные кадра, если информация поля аннулирования данных, передаваемых в кадре, в связанном с ними дескрипторе указывает, что выбранные данные кадра должны быть удалены, а статус выбранного кадра указывает, что данные выбранного кадра должны быть переданы, добавляют инвертированную контрольную последовательность кадра к данным выбранного кадра, когда информация поля аннулирования данных кадра указывает, что данные выбранного кадра должны быть удалены, а статус выбранного кадра указывает, что данные выбранного кадра должны быть переданы, причем инвертированная контрольная последовательность кадра является инверсией контрольной последовательности кадра, которая должна быть добавлена к выбранным данным кадра, если выбранные данные кадра не подлежат удалению.

По функциональному назначению, а также схожести ряда признаков указанный способ выбран в качестве прототипа.

В рассматриваемом прототипе обеспечивается минимальная задержка на фильтрацию данных кадра. Однако это достигается за счет того, что фильтрация в нем осуществляется только на уровне кадров, передаваемых получателю, а именно следующим образом: если кадр требуется отфильтровать, и он еще не передан получателю, то его передача блокируется; если кадр требуется отфильтровать, а он уже передается получателю, то к нему добавляют инвертированную контрольную последовательность, в результате чего последний будет отфильтрован на принимающей стороне как содержащий ошибки. Как следствие, в прототипе отсутствует возможность технической реализации обработки передаваемой информации на уровне отдельных байт, что необходимо для систем глубокого анализа данных.

Второй существенный недостаток прототипа заключается в том, что он предназначен для реализации в составе ЭВМ, неотъемлемыми частями которой являются центральный процессор и системная память. Информация о необходимости удаления того или иного кадра закладывается центральным процессором в дескриптор удаляемого кадра, когда он находится в системной памяти ЭВМ. Данный процесс потенциально может быть подвержен внешней уязвимости, так как ЭВМ, как правило, функционирует под управлением операционной системы.

Указанные недостатки преодолены в предлагаемом способе фильтрации данных при сетевой пакетной коммутации, который заключатся в том, что в способ, содержащий признаки прототипа: удаление данных из передаваемого пакета в соответствии с заданной маской, причем маска является битовой последовательностью фиксированной длины, а оставшиеся после удаления данные дополняют контрольной последовательностью и направляют получателю, включены новые признаки: маска задается оператором через не связанный с сетью конфигурационный интерфейс и остается неизменной для передаваемых пакетов, удаление данных из передаваемого пакета осуществляют побайтно по следующему правилу: если n-й бит маски равен «1», то n-й байт данных в передаваемом пакете не доставляется получателю, а если «0», то указанный байт доставляется получателю, где n - номер байта данных в передаваемом пакете, n=[1, 2, ..., Nmax], Nmax - длина маски, равная максимально возможному количеству байт в передаваемом пакете, причем, если в результате удаления данных из передаваемого пакета количество байт, доставляемых получателю, Nfilt, стало меньше Nmin, где Nmin – минимально возможное количество байт, доставляемое получателю в составе одного пакета, то получателю дополнительно передаются (Nmin – Nfilt) нулевых байт, а контрольная последовательность, добавляемую к данным, доставляемым получателю, вычисляется по указанным данным с использованием алгоритма CRC-32, причем удаление данных из передаваемого пакета, вычисление контрольной последовательности и дополнение ей данных, доставляемых получателю, выполняется аппаратно, на основе жесткой логики.

Следовательно, предлагаемый способ удовлетворяет критерию «новизна».

Сравнение с другими техническими решениями показывает, что предлагаемый способ обладает признаками, позволяющими достичь обеспечения фильтрации данных сетевых пакетов на уровне отдельных байт в коммутаторах, например, стандарта Ethernet, без снижения пропускной способности, с минимальной задержкой на обработку информации при передаче больших объемов сетевого трафика, а также отсутствие уязвимости со стороны злоумышленников со стороны сети.

Предлагаемый способ исключает возможность вмешательства в работу средств фильтрации трафика со стороны сети, поскольку удаление данных предполагает аппаратную реализацию, без операционной системы и центрального процессора, а маска, используемая для сравнения и фильтрации, может быть изменена только оператором путем подключения по отдельному доверенному конфигурационному интерфейсу, не связанному с сетью.

При аппаратной реализации предлагаемого способа задержка на обработку данных будет минимальна. Его аппаратная реализация на основе жесткой логики, а также и загрузка маски через не связанный с сетью конфигурационный интерфейс исключает возможность вмешательства и модификации злоумышленниками алгоритма обработки данных через сеть.

Изобретение поясняется следующими графическими материалами:

Фиг. 1 – Блок-схема, поясняющая заявляемый способ фильтрации пактов при коммутации данных.

Фиг. 2 – Функциональная схема сетевого коммутатора, реализующего заявляемый способ фильтрации пактов при коммутации данных.

Фиг. 3 – Пример обработки данных, поясняющий заявляемый способ.

Фиг. 4 – Пример реализации блока фильтрации данных, реализующего заявляемый способ.

Способ фильтрации данных пакетов в сетевых пакетных коммутаторах (фиг. 1), заключается в том, что оператором через не связанный с сетью доверенный конфигурационный интерфейс задается маска - битовая последовательность фиксированной длины Nmax, соответствующей максимально возможному количеству байт в передаваемом пакете в соответствии со стандартом сетевого протокола. Маска сохраняется в памяти и остается неизменной для всех передаваемых пакетов до тех пор, пока она не будет изменена оператором.

Передаваемый пакет данных принимают через входной сетевой интерфейс коммутатора.

Выполняют фильтрацию передаваемого пакета данных по следующему алгоритму: из передаваемого пакета побайтно удаляют данные в соответствии с заданной маской таким образом, что если n-й бит маски равен «1», то n-й байт данных в передаваемом пакете не доставляется получателю, а если «0», то указанный байт доставляется получателю, где n-номер байта данных в передаваемом пакете, n=[1, 2, ..., Nmax], причем, если в результате удаления данных из передаваемого пакета количество байт, доставляемых получателю, Nfilt, стало меньше Nmin, где Nmin – минимально возможное количество байт, доставляемое получателю в составе одного пакета, то получателю дополнительно передаются (Nmin – Nfilt) нулевых байт. Результатом фильтрации является пакет данных, направляемый получателю.

Полученный пакет дополняют контрольной последовательностью, вычисляемой по всем входящим в него данным с использованием известного алгоритма CRC-32 в соответствии со стандартом сетевого протокола IEEE 802.3 [3], и доставляют получателю через выходной сетевой интерфейс коммутатора.

Длина контрольной последовательности, вычисляемой с использованием алгоритма CRC-32 в соответствии со стандартом сетевого протокола IEEE 802.3, равна 4 байтам.

Алгоритм вычисления контрольной последовательности CRC-32 заключается в следующем ([3]). Последовательность бит пакета данных, направляемого получателю, интерпретируется как двоичный полином. Каждый бит пакета является двоичным коэффициентом при аргументе в соответствующей степени указанного полинома. Вычисляемая контрольная последовательность, является остатком от деления по модулю 2 указанного двоичного полинома на порождающий полином G(x), имеющий степень 32, который в соответствии со стандартом сетевого протокола IEEE 802.3 определяется как ([3]):

G(x) = x³² + x²⁶ + x²³ + x²² + x¹⁶ + x¹² + x¹¹ + x¹⁰ + x⁸ + x⁷ + x⁵ + x⁴ + x² + x + 1.

Передаваемые и доставляемые получателю пакеты могут иметь формат в соответствии с используемым в коммутаторе сетевым протоколом, например, IEEE 802.3.

Минимально возможное количество байт Nmin, доставляемое получателю в составе одного пакета определяется стандартом сетевого протокола, например, IEEE 802.3, в соответствии с которым оно может быть равно 60.

Максимально возможное количество байт в передаваемом пакете Nmax определяется стандартом сетевого протокола, например, IEEE 802.3, в соответствии с которым оно может быть равно 16384.

Удаление данных из передаваемого пакета, вычисление контрольной последовательности и дополнение ей пакета данных, доставляемых получателю, выполняется аппаратно, на основе жесткой логики.

Предлагаемый способ может быть реализован в составе сетевого коммутатора (фиг. 2), включающего последовательно соединенные входной сетевой интерфейс, блок фильтрации данных, блок вычисления контрольной последовательности, выходной сетевой интерфейс, а также конфигурационный интерфейс, соединенный со входом блока удаления данных, предназначенным для загрузки маски.

Входной и выходной сетевые интерфейсы коммутатора могут быть, например, стандарта Ethernet.

В качестве конфигурационного интерфейса, в зависимости от элементной базы, на основе которой реализован блок обработки, может быть использован любой цифровой интерфейс, например, JTAG.

Для достижения максимальной пропускной способности и минимальной задержки при обработке блок фильтрации данных должен быть реализован аппаратно, на основе программируемых логических интегральных схем (ПЛИС) или специализированных заказных или полузаказных интегральных микросхем.

Блок вычисления контрольной последовательности является стандартным устройством, применяемым в сетевых коммутаторах, функционирующих в соответствии со стандартом IEEE 802.3.

Блок фильтрации данных (фиг. 4) может быть реализован, например, в виде цифрового логического устройства, имеющего входы: шину для загрузки маски, шину данных передаваемого пакета, а также входы для подачи сигналов: синхронизации («Синхр.») и сопровождения передачи данных пакета (DE) и выход – шину данных пакета, выдаваемого получателю. Блок фильтрации данных включает в своем составе следующие функциональные узлы: сдвиговый регистр с параллельной загрузкой, инвертор, блок формирования адреса записи в память, блок формирования сигнала разрешения записи в память, коммутатор сигналов оперативного запоминающего устройства (ОЗУ), первый и второй банки ОЗУ, счетчик байт фильтрованного пакета данных, буфер, блок вычисления длины пакета, выдаваемого получателю, блок формирования адреса чтения из памяти, блок формирования сигнала разрешения чтения из памяти, компаратор адреса, мультиплексор выходных данных, блок управления коммутатором ОЗУ, вход для подачи сигнала синхронизации («Синхр.») блока фильтрации данных соединен с одноименными входами сдвигового регистра с параллельной загрузкой и блоков: формирования сигнала разрешения записи в память, формирования сигнала разрешения чтения из памяти и формирования адреса чтения из памяти, а также счетчика байт фильтрованного пакета данных, вход для подачи сигнала передачи данных пакета (DE) блока фильтрации данных является одноименным входом сдвигового регистра с параллельной загрузкой, блока формирования адреса записи в память, счетчика байт фильтрованного пакета данных, буфера, блока формирования адреса чтения из памяти и блока управления коммутатором ОЗУ, входная шина для загрузки маски блока фильтрации данных является входной шиной параллельной загрузки сдвигового регистра, входная шина данных передаваемого пакета блока фильтрации данных является выводом данных (Din) первого входа коммутатора сигналов ОЗУ, выход блока фильтрации данных - шина данных пакета, выдаваемого получателю – является выходом мультиплексора выходных данных, выход сдвигового регистра с параллельной загрузкой соединен с входом инвертора, выход которого соединен с входами данных блока формирования адреса записи в память, блок формирования сигнала разрешения записи в память и счетчика байт фильтрованного пакета данных, выход блока формирования адреса записи в память соединен с выводом адреса (Ain) первого входа коммутатора сигналов ОЗУ, выход блока формирования сигнала разрешения записи в память соединен с выводом сигнала разрешения (WE) первого входа коммутатора сигналов ОЗУ, выход счетчика байт фильтрованного пакета данных соединен с входом данных буфера, выход которого соединен с опорным входом компаратора адреса и первым входом блока вычисления длины пакета, выдаваемого получателю, второй вход которого соединен с источником постоянной величины (Nmin), а выход которого соединен со входом данных блока формирования адреса чтения из памяти, выход которого соединен со входом данных компаратора адреса и с выводом адреса (Aout) второго входа коммутатора сигналов ОЗУ, выход блока управления коммутатором ОЗУ соединен со входом управления коммутатора сигналов ОЗУ, выход компаратора адреса соединен с входом управления мультиплексора выходных данных и входом данных блока формирования сигнала разрешения чтения из памяти, выход которого соединен с выводом сигнала разрешения (RE) второго входа коммутатора сигналов ОЗУ, вывод данных которого (Dout) соединен с первым входом мультиплексора выходных данных, ко второй вход которого соединен с источником нулевого значения (0х00), выводы: адреса (A0), данных (D0), сигнала разрешения (W/R0) первого и второго выходов коммутатора сигналов ОЗУ попарно соединены с одноименными выводами первого и второго банков ОЗУ соответственно.

Блок фильтрации данных функционирует следующим образом. Маска по команде оператора через конфигурационный интерфейс коммутатора загружается в сдвиговый регистр по соответствующей шине («Маска»).

Перед приходом очередного пакета данных сдвиговый регистр с параллельной загрузкой находится в исходном состоянии, значения в блоках формирования адресов записи и чтения из памяти соответствуют начальным, значение в счетчике байт фильтрованного пакета данных равно нулю, блок управления коммутатором ОЗУ вырабатывает сигнал, при котором первый банк ОЗУ подключен к первому, а второй банк – ко второму входу коммутатора.

Передаваемый пакет данных побайтно поступает в блок фильтрации в сопровождении сигнала передачи DE, который выставляется в момент начала и снимается в момент окончания передачи пакета, а также импульсов сигнала синхронизации («Синхр.»), сопровождающего каждый байт передаваемых данных.

При подаче очередного импульса сигнала синхронизации в сдвиговый регистр с параллельной загрузкой, с выхода последнего снимается соответствующий бит маски, который через инвертор подается в блок формирования адреса записи в память, который по сигналу «Синхр.» выполняет подсчет поступающих единичных импульсов с выхода инвертора. Одновременно с этим по выходному сигналу инвертора и сигналу «Синхр.» в одноименном блоке формируется сигнал разрешения записи данных передаваемого пакета. Если текущий бит маски, снимаемый со сдвигового регистра, равен «0», то значение в блоке формирования адреса записи в память инкрементируется и вырабатывается сигнал разрешения записи в память и текущий байт данных передаваемого пакета заносятся в первый банк ОЗУ, подключенный коммутатором для записи данных по адресу, выработанному блоком формирования адреса записи в память. Если текущий бит маски, снимаемый со сдвигового регистра, равен «1», то значение в блоке формирования адреса, соответственно, не инкрементируется, сигнал разрешения записи в память не вырабатывается и текущий байт передаваемого пакета в ОЗУ не заносится. Одновременно по сигналу «Синхр.» счетчиком выполняется подсчет количества байт данных фильтрованного пакета, записанных в ОЗУ.

После окончания передачи входного пакета данных сигнал «Синхр.» перестает вырабатываться и деактивируется сигнал DE. При возникновении указанного события сдвиговый регистр с параллельной загрузкой возвращается в исходное состояние, в блоках формирования адресов записи и чтения из памяти устанавливаются начальные значения, значение количества байт фильтрованного пакета данных Nfilt, накопленное счетчиком за время приема текущего пакета данных, перегружается в буфер, а блок управления коммутатором инвертирует выходной сигнал, при этом первый и второй выходы коммутатора меняются местами. Таким образом, если при приеме текущего пакета данные записывались в первый банк ОЗУ, то при приеме следующего пакета они будут записываться во второй банк.

При поступлении в блок фильтрации следующего передаваемого пакета данных описанный выше процесс повторяется. Одновременно с этим осуществляется формирование данных, выдаваемых получателю в следующей последовательности.

Блок вычисления длины пакета, выдаваемого получателю, определяет количество байт, которые необходимо выдать на выход блока фильтрации данных по правилу: max(Nmin, Nfilt), где max(.) – функция вычисления максимума. Если Nfilt < Nmin, то при выдаче пакета получателю, данные, записанные в ОЗУ, потребуется полнить нулевыми значениями в количестве (Nmin – Nfilt). Полученное значение длины пакета, выдаваемого получателю, поступает в блок формирования адреса чтения из памяти, который выполняет счет поступающих в него импульсов сигнала «Синхр.» Счет выполняется вплоть до достижения накопленного значения величины max(Nmin, Nfilt).

Одновременно со счетом в блоке формирования сигнала разрешения чтения из памяти по сигналу «Синхр.» при неактивном сигнале компаратора адреса формируется сигнал разрешения чтения данных из второго банка ОЗУ, откуда считанные данные через мультиплексор выдаются на выход блока фильтрации данных.

Адрес чтения из памяти поступает во второй банк ОЗУ, подключенный коммутатором для чтения данных, и в компаратор адреса, который его сравнивает со значением Nfilt.

Выходной сигнал компаратора не активен до тех пор, пока сформированный адрес чтения из памяти не превысит значения Nfilt.

При активизации сигнала компаратора, блок формирования сигнала разрешения чтения из памяти перестает формировать указанный сигнал, и чтение данных из второго банка ОЗУ прекращается. При активном сигнале компаратора адреса мультиплексора выходных данных на выход блока фильтрации данных выдает нулевые значения (0х00) из одноименного источника до тех пор, пока выполняется счет в блоке формирования адреса чтения из памяти.

Сдвиговый регистр с параллельной загрузкой, инвертор и буфер являются общеизвестными цифровыми устройствами.

Компаратор адреса является стандартным восьмибитным цифровым компаратором.

Мультиплексор выходных данных является стандартным восьмиразрядным мультиплексором «2 в 1» с одноразрядным управляющим входом.

Блок формирования адреса записи в память является стандартным двоичным накапливающим сумматором со сбросом, который тактируется по сигналу «Синхр.», на вход данных которого поступает одноразрядный сигнал.

Блок формирования сигнала разрешения записи в память может быть реализован в виде одноразрядной схемы логического «И».

Коммутатор сигналов ОЗУ является двоичным многоразрядным двунаправленным коммутатором «2 на 2» с одноразрядным управляющим входом. При неактивном сигнале на входе коммутатора его выводы: адреса (Ain), данных (Din), сигнала разрешения (WE) первого входа попарно соединены с выводами адреса (A0), данных (D0), сигнала разрешения (W/R0) первого выхода, а выводы: адреса (Aout), данных (Dout), сигнала разрешения (RE) второго входа попарно соединены с выводами адреса (A1), данных (D1), сигнала разрешения (W/R1) второго выхода. При активном сигнале на входе его выводы: адреса (Ain), данных (Din), сигнала разрешения (WE) первого входа попарно соединены с выводами адреса (A1), данных (D1), сигнала разрешения (W/R1) второго выхода, а выводы: адреса (Aout), данных (Dout), сигнала разрешения (RE) второго входа попарно соединены с выводами адреса (A0), данных (D0), сигнала разрешения (W/R0) второго выхода.

Первый и второй банки ОЗУ могут быть реализованы в виде статической памяти разрядностью 8 бит объемом не менее максимальной длины передаваемого пакета каждый.

Устройство счетчика байт фильтрованного пакета данных по устройству аналогично устройству блока формирования адреса записи в память.

Блок вычисления длины пакета, выдаваемого получателю является многоразрядным цифровым логическим устройством, вычисляющим функцию максимума (max(N1, N2)), где N1, N2 – значения на его входе.

Блок формирования адреса чтения из памяти является цифровым автоматом со сбросом в исходное состояние, который выполняет подсчет импульсов сигнала «Синхр.» до достижения накопленной суммы значения на его входе данных, после чего подсчет прекращается до поступления сигнала сброса.

Блок формирования сигнала разрешения чтения из памяти может быть реализован в виде инвертора, соединенного с одним из входов одноразрядной схемы логического «И».

Использованные источники

1. Патент RU 2640295 от 30.06.2016. Способ глубокого разбора сетевых протоколов для анализа и фильтрации их содержимого.

2. Патент US 6,717,941 B1 от 06.04.2004. Method and Apparatus for Early Termination of Frame Data.

3. IEEE Std 802.3-2012. IEEE Standard for Ethernet (https://standards.ieee.org/ieee/802.3/5084/).

Способ фильтрации данных пакетов в сетевых пакетных коммутаторах, заключающийся в том, что удаляют данные из передаваемого пакета в соответствии с заданной маской, причем маска является битовой последовательностью фиксированной длины, оставшиеся после удаления данные дополняют контрольной последовательностью и доставляют получателю, отличающийся тем, что маска задается оператором через не связанный с сетью интерфейс и остается неизменной для передаваемых пакетов, удаление данных из передаваемого пакета осуществляют побайтно по следующему правилу: если n-й бит маски равен «1», то n-й байт данных в передаваемом пакете не доставляется получателю, а если «0», то указанный байт доставляется получателю, где n - номер байта данных в передаваемом пакете, n=[1, 2, ..., Nmax], Nmax - длина маски, равная максимально возможному количеству байт в передаваемом пакете, причем, если в результате удаления данных из передаваемого пакета количество байт, доставляемых получателю, Nfilt стало меньше Nmin, где Nmin – минимально возможное количество байт, доставляемое получателю в составе одного пакета, то получателю дополнительно передаются (Nmin – Nfilt) нулевых байт, причем контрольную последовательность, добавляемую к данным, доставляемым получателю, вычисляют по этим данным с использованием алгоритма CRC-32, а удаление данных из передаваемого пакета, вычисление контрольной последовательности и дополнение ей данных, доставляемых получателю, выполняется аппаратно, на основе жесткой логики.