一种VPC网络下IP地址溯源方法及装置
文献发布时间:2024-04-18 20:02:40
技术领域
本发明属于通信技术领域,尤其涉及一种VPC网络下IP地址溯源方法及装置。
背景技术
目前,VPC网络访问Underlay网络,通常通过网络地址转换NAT方式将源IP地址转换成Underlay网络下的IP地址进行通信。例如,当从VPC网络中的某个虚拟机上网时,在离开VPC网络的出口处,会将源IP地址转换为与Underlay网络相连的出口公网IP地址。这种方式有助于隐藏VPC网络内部的真实IP地址,同时允许VPC网络中的虚拟机与Underlay网络和互联网进行安全通信。
其中,VPC网络(Virtual Private Cloud)是云计算平台中一种虚拟化网络资源服务,通常用于在云中部署和运行虚拟机、容器等各种云服务,同时保持对网络配置和安全性的控制。并且,允许用户在云中创建和配置自己的虚拟网络环境。在VPC中,用户可以定义自己的IP地址范围、子网、路由表,以及网络网关。也就是,用户可以通过VPC构建自己的逻辑隔离网络,同时使用云提供商的基础设施。Underlay网络是底层网络基础设施,提供了物理连接和数据传输的基础支持。在云计算环境中,Underlay网络是构成云服务提供商基础设施的网络层,通常由物理硬件和底层网络设备组成,例如路由器、交换机、光纤等。VPC网络是在Underlay网络之上构建的,Underlay网络对于VPC网络来说是不可见的。Underlay网络负责在不同的物理设备之间传输数据,而VPC网络则在这个基础上提供逻辑上的隔离和定制网络功能。
发明人在实现本申请的过程中发现,该种方式有助于隐藏VPC网络内部的虚拟机IP地址,同时允许VPC网络中的虚拟机与underlay网络和互联网进行安全通信,但是当Underlay网络被攻击的时候,难以找到发起攻击的虚拟机IP地址,从而难以对攻击者进行准确定位。
发明内容
鉴于以上现有技术的不足,发明的目的在于提供一种VPC网络下IP地址溯源方法及装置,以当网络被攻击的时候,可以快速找到发起攻击的虚拟机IP地址,从而对攻击者进行准确定位。
本发明的第一方面,提出了一种VPC网络下IP地址溯源方法,应用于VPC网络下的虚拟机所在的宿主设备,所述方法包括:
监测虚拟机发出的报文;
当监测所述报文发送到所述宿主设备时,调用所述宿主设备中的IP选项修改模块执行:
判断是否为新建通信连接的报文;若为新建通信连接的报文,在所述报文的元数据信息中增加所述VPC网络标识和所述虚拟机IP地址。
进一步地,在所述调用所述宿主设备中的IP选项修改模块之前,还包括:
调用控制器判断发出所述报文的虚拟机是否为待监控虚拟机;
若为待监控虚拟机,触发所述调用所述宿主设备中的IP选项修改模块的操作。
进一步地,所述控制器还用于:
接收目标设备解析的、针对所述报文的IP解析结果;其中,所述目标设备包括:所述报文的目的端设备,或,将所述报文发送给所述目的端设备的网络出口设备;所述IP解析结果包括:所述VPC网络标识、所述虚拟机IP地址及所述报文的五元组信息;
存储所述IP解析结果至所述控制器的日志中。
进一步地,所述方法还包括:
通过查找所述日志,获取针对发起报文攻击的虚拟机IP地址。
进一步地,所述方法还包括:
将虚拟机的能够传输的最大数据帧长度MTU调整为所述VPC网络链路MTU减去IP选项长度,所述IP选项长度为12字节,所述IP选项包括所述VPC网络标识和所述虚拟机IP地址。
第二方面,本发明实施例还提供了一种VPC网络下IP地址溯源装置,应用于VPC网络下的虚拟机所在的宿主设备,所述装置包括:
监测单元,用于监测虚拟机发出的报文;
第一调用单元,用于当监测所述报文发送到所述宿主设备时,调用所述宿主设备中的IP选项修改模块执行:
判断是否为新建通信连接的报文;若为新建通信连接的报文,在所述报文的元数据信息中增加所述VPC网络标识和所述虚拟机IP地址。
进一步地,所述装置还包括:
第二调用单元,用于在所述调用所述宿主设备中的IP选项修改模块之前调用控制器判断发出所述报文的虚拟机是否为待监控虚拟机;
若为待监控虚拟机,触发所述调用所述宿主设备中的IP选项修改模块的操作。
进一步地,所述控制器还用于:
接收目标设备解析的、针对所述报文的IP解析结果;其中,所述目标设备包括:所述报文的目的端设备,或,将所述报文发送给所述目的端设备的网络出口设备;所述IP解析结果包括:所述VPC网络标识、所述虚拟机IP地址及所述报文的五元组信息;
存储所述IP解析结果至所述控制器的日志中。
进一步地,所述装置还包括:
查找单元,用于通过查找所述日志,获取针对发起报文攻击的虚拟机IP地址。
进一步地,所述装置还包括:
长度调整单元,用于将虚拟机的能够传输的最大数据帧长度MTU调整为所述VPC网络链路MTU减去IP选项长度,所述IP选项长度为12字节,所述IP选项包括所述VPC网络标识和所述虚拟机IP地址。
本发明有益效果如下:
应用本发明所述的方法和装置,VPC网络下的虚拟机所在的宿主设备可以监测到虚拟机发出的报文,并当监测报文发送到宿主设备时,调用宿主设备中的IP选项修改模块执行如下操作:判断是否为新建通信连接的报文;若为新建通信连接的报文,在报文的元数据信息中增加VPC网络标识和虚拟机IP地址。这样,当Underlay网络被攻击的时候,可以通过报文携带的VPC网络标识和虚拟机IP地址快速找到发起攻击的虚拟机IP地址,从而快速对攻击者进行准确定位。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。显而易见地,下面描述中的附图仅仅是本发明实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种VPC网络下IP地址溯源方法的流程图;
图2为本发明实施例提供的控制器控制修改及存储解析结果的示意图;
图3为本发明实施例提供的一种VPC网络下IP地址溯源装置的示意图;
图4为本发明实施例提供的一种电子设备的示意图。
具体实施方式
为了使本领域的人员更好地理解本发明实施例中的技术方案,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。应该理解,这些描述只是示例性的,并非用于限定本发明的范围。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明公开的概念。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的方法和系统的例子。
为了解决现有技术存在的问题,本发明实施例提供了一种VPC网络下IP地址溯源方法及装置。
方法实施例
下面首先对本发明实施例提供的一种VPC网络下IP地址溯源方法进行说明。
图1为本发明实施例提供的一种VPC网络下IP地址溯源方法的流程图。该方法应用于VPC网络下的虚拟机所在的宿主设备,参见图1,该方法可以包括如下步骤:
S1.监测所述虚拟机发出的报文;
S2.当监测所述报文发送到所述宿主设备时,调用所述宿主设备中的IP选项修改模块执行:判断是否为新建通信连接的报文;
进一步地,在所述调用所述宿主设备中的IP选项修改模块之前,还包括:
调用控制器判断发出所述报文的虚拟机是否为待监控虚拟机;
若为待监控虚拟机,触发所述调用所述宿主设备中的IP选项修改模块的操作。
可以理解的是,控制器可以控制IP选项修改模块需要对哪些虚拟机发送出去的报文进行报文修改。这样,可以对需要重点监控的虚拟机发出的报文进行修改,使得监控更具有针对性。
其中,该控制器可以为该VPC网络中配置的控制器,当然并不局限于此。
S3.若为新建通信连接的报文,在所述报文的元数据信息中增加所述VPC网络标识和所述虚拟机IP地址。
图2为本发明实施例提供的控制器控制修改及存储解析结果的示意图。参见图2,当虚拟机发出报文进入所在宿主机的时候,IP选项修改模块可以判断是否是新建连接的报文,如果是,则插入含有VPC网络标识和虚拟机IP地址。当报文经过各种转发设备最终从网络出口设备发送到目的服务端,那么,在网络出口设备或者目的服务端就可以通过解析模块解析该报文,获取VPC网络标识和虚拟机IP地址,以及此时报文的源IP地址、源端口、目的IP地址、目的端口和协议信息。
进一步地,所述控制器还可以用于:
接收目标设备解析的、针对所述报文的IP解析结果;其中,所述目标设备包括:所述报文的目的端设备,或,将所述报文发送给所述目的端设备的网络出口设备;所述IP解析结果包括:所述VPC网络标识、所述虚拟机IP地址及所述报文的五元组信息;存储所述IP解析结果至所述控制器的日志中。
可以理解的是,当解析得到IP解析结果后,可以将IP解析结果存储到控制器的日志中。进而,当需要进行查询时,可以地查找日志,从而获得发起报文攻击的虚拟机IP地址。
这样,通过修改报文的IP选项,使得报文的IP选项可以记录VPC网络标识及虚拟机IP地址。基于此,当发生报文攻击时,可以精准溯源虚拟机IP地址,不需要通过现有的NAT日志查找方式进行查找。特别是如果报文经过多次NAT,则需要经过多次查找才能溯源,如果其中有日志缺失则不能完成溯源,而本方案不需要依赖NAT日志即可快速准确地完成溯源。另外,通过在报文发起端进行虚拟机IP地址标记,在报文终结端获取虚拟机IP地址,这样屏蔽了传输链路的复杂性,对复杂的网络环境有更好的适用性。
应用本发明所述的方法和装置,VPC网络下的虚拟机所在的宿主设备可以监测到虚拟机发出的报文,并当监测报文发送到宿主设备时,调用宿主设备中的IP选项修改模块执行如下操作:判断是否为新建通信连接的报文;若为新建通信连接的报文,在报文的元数据信息中增加VPC网络标识和虚拟机IP地址。这样,当Underlay网络被攻击的时候,可以通过报文携带的VPC网络标识和虚拟机IP地址快速找到发起攻击的虚拟机IP地址,从而快速对攻击者进行准确定位。
可选地,所述方法还包括:
将虚拟机的能够传输的最大数据帧长度MTU调整为所述VPC网络链路MTU减去IP选项长度,所述IP选项长度为12字节,所述IP选项包括所述VPC网络标识和所述虚拟机IP地址,所述IP选项包括所述VPC网络标识和所述虚拟机IP地址。
可以理解的是,在报文的元数据信息中插入IP选项(即增加VPC网络标识和虚拟机IP地址)会增加报文长度,为了避免大于链路最大数据帧长度MTU的报文发送出去,可以将虚拟机的链路最大数据帧长度MTU调小为:虚拟机链路MTU减去IP选项长度,IP选项长度是12字节。
装置实施例
相应于上述方法实施例,本发明实施例还提供了一种VPC网络下IP地址溯源装置,应用于VPC网络下的虚拟机所在的宿主设备。图3为本发明实施例提供的一种VPC网络下IP地址溯源装置的示意图,参见图3,所述装置包括:
监测单元301,用于监测虚拟机发出的报文;
第一调用单元302,用于当监测所述报文发送到所述宿主设备时,调用所述宿主设备中的IP选项修改模块执行:
判断是否为新建通信连接的报文;若为新建通信连接的报文,在所述报文的元数据信息中增加所述VPC网络标识和所述虚拟机IP地址。
这样,通过修改报文的IP选项,使得报文的IP选项可以记录VPC网络标识及虚拟机IP地址。基于此,当发生报文攻击时,可以精准溯源虚拟机IP地址,不需要通过现有的NAT日志查找方式进行查找。特别是如果报文经过多次NAT,则需要经过多次查找才能溯源,如果其中有日志缺失则不能完成溯源,而本方案不需要依赖NAT日志即可快速准确地完成溯源。另外,通过在报文发起端进行虚拟机IP地址标记,在报文终结端获取虚拟机IP地址,这样屏蔽了传输链路的复杂性,对复杂的网络环境有更好的适用性。
应用本发明所述的装置,VPC网络下的虚拟机所在的宿主设备可以监测到虚拟机发出的报文,并当监测报文发送到宿主设备时,调用宿主设备中的IP选项修改模块执行如下操作:判断是否为新建通信连接的报文;若为新建通信连接的报文,在报文的元数据信息中增加VPC网络标识和虚拟机IP地址。这样,当Underlay网络被攻击的时候,可以通过报文携带的VPC网络标识和虚拟机IP地址快速找到发起攻击的虚拟机IP地址,从而快速对攻击者进行准确定位。
进一步地,所述装置还包括:
第二调用单元,用于在所述调用所述宿主设备中的IP选项修改模块之前调用控制器判断发出所述报文的虚拟机是否为待监控虚拟机;
若为待监控虚拟机,触发所述调用所述宿主设备中的IP选项修改模块的操作。
进一步地,所述控制器还用于:
接收目标设备解析的、针对所述报文的IP解析结果;其中,所述目标设备包括:所述报文的目的端设备,或,将所述报文发送给所述目的端设备的网络出口设备;所述IP解析结果包括:所述VPC网络标识、所述虚拟机IP地址及所述报文的五元组信息;
存储所述IP解析结果至所述控制器的日志中。
进一步地,所述装置还包括:
查找单元,用于通过查找所述日志,获取针对发起报文攻击的虚拟机IP地址。
进一步地,所述装置还包括:
长度调整单元,用于将虚拟机的能够传输的最大数据帧长度MTU调整为所述VPC网络链路MTU减去IP选项长度,所述IP选项长度为12字节,所述IP选项包括所述VPC网络标识和所述虚拟机IP地址。
第三方面,本发明提出一种电子设备,如图4所示,包括:存储器和一个或多个处理器。
所述存储器中存储有一个或多个应用程序,所述一个或多个应用程序适于由所述一个或多个处理器执行以实现第一方面所述的VPC网络下IP地址溯源方法。
如图4所示,电子设备包括:处理器401和存储器402。其中,处理器401和存储器402相连,如通过总线相连。
该电子设备的结构并不构成对本发明实施例的限定。
处理器401可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器401也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线可包括一通路,在上述组件之间传送信息。总线可以是PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器402可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
第四方面,本发明提出一种计算机可读存储介质,其上存储有计算机程序,该计算机程序能够被处理器加载和执行以第一方面所述的方法。
本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述,但是本领域技术人员应该理解,以上实施示例仅为本发明的优选实施方案,详尽的说明只是为了帮助读者更好地理解本发明精神,而并非对本发明保护范围的限制,相反,任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。
最后应说明的是,以上实施例仅用以说明本发明实施例的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。