【技术实现步骤摘要】
本专利技术属于通信,尤其涉及一种vpc网络下ip地址溯源方法及装置。
技术介绍
1、目前,vpc网络访问underlay网络,通常通过网络地址转换nat方式将源ip地址转换成underlay网络下的ip地址进行通信。例如,当从vpc网络中的某个虚拟机上网时,在离开vpc网络的出口处,会将源ip地址转换为与underlay网络相连的出口公网ip地址。这种方式有助于隐藏vpc网络内部的真实ip地址,同时允许vpc网络中的虚拟机与underlay网络和互联网进行安全通信。
2、其中,vpc网络(virtual private cloud)是云计算平台中一种虚拟化网络资源服务,通常用于在云中部署和运行虚拟机、容器等各种云服务,同时保持对网络配置和安全性的控制。并且,允许用户在云中创建和配置自己的虚拟网络环境。在vpc中,用户可以定义自己的ip地址范围、子网、路由表,以及网络网关。也就是,用户可以通过vpc构建自己的逻辑隔离网络,同时使用云提供商的基础设施。underlay网络是底层网络基础设施,提供了物理连接和数据传输的基础支持。在云计算环境中,underlay网络是构成云服务提供商基础设施的网络层,通常由物理硬件和底层网络设备组成,例如路由器、交换机、光纤等。vpc网络是在underlay网络之上构建的,underlay网络对于vpc网络来说是不可见的。underlay网络负责在不同的物理设备之间传输数据,而vpc网络则在这个基础上提供逻辑上的隔离和定制网络功能。
3、专利技术人在实现本申请的过程中发现,该种方
技术实现思路
1、鉴于以上现有技术的不足,专利技术的目的在于提供一种vpc网络下ip地址溯源方法及装置,以当网络被攻击的时候,可以快速找到发起攻击的虚拟机ip地址,从而对攻击者进行准确定位。
2、本专利技术的第一方面,提出了一种vpc网络下ip地址溯源方法,应用于vpc网络下的虚拟机所在的宿主设备,所述方法包括:
3、监测虚拟机发出的报文;
4、当监测所述报文发送到所述宿主设备时,调用所述宿主设备中的ip选项修改模块执行:
5、判断是否为新建通信连接的报文;若为新建通信连接的报文,在所述报文的元数据信息中增加所述vpc网络标识和所述虚拟机ip地址。
6、进一步地,在所述调用所述宿主设备中的ip选项修改模块之前,还包括:
7、调用控制器判断发出所述报文的虚拟机是否为待监控虚拟机;
8、若为待监控虚拟机,触发所述调用所述宿主设备中的ip选项修改模块的操作。
9、进一步地,所述控制器还用于:
10、接收目标设备解析的、针对所述报文的ip解析结果;其中,所述目标设备包括:所述报文的目的端设备,或,将所述报文发送给所述目的端设备的网络出口设备;所述ip解析结果包括:所述vpc网络标识、所述虚拟机ip地址及所述报文的五元组信息;
11、存储所述ip解析结果至所述控制器的日志中。
12、进一步地,所述方法还包括:
13、通过查找所述日志,获取针对发起报文攻击的虚拟机ip地址。
14、进一步地,所述方法还包括:
15、将虚拟机的能够传输的最大数据帧长度mtu调整为所述vpc网络链路mtu减去ip选项长度,所述ip选项长度为12字节,所述ip选项包括所述vpc网络标识和所述虚拟机ip地址。
16、第二方面,本专利技术实施例还提供了一种vpc网络下ip地址溯源装置,应用于vpc网络下的虚拟机所在的宿主设备,所述装置包括:
17、监测单元,用于监测虚拟机发出的报文;
18、第一调用单元,用于当监测所述报文发送到所述宿主设备时,调用所述宿主设备中的ip选项修改模块执行:
19、判断是否为新建通信连接的报文;若为新建通信连接的报文,在所述报文的元数据信息中增加所述vpc网络标识和所述虚拟机ip地址。
20、进一步地,所述装置还包括:
21、第二调用单元,用于在所述调用所述宿主设备中的ip选项修改模块之前调用控制器判断发出所述报文的虚拟机是否为待监控虚拟机;
22、若为待监控虚拟机,触发所述调用所述宿主设备中的ip选项修改模块的操作。
23、进一步地,所述控制器还用于:
24、接收目标设备解析的、针对所述报文的ip解析结果;其中,所述目标设备包括:所述报文的目的端设备,或,将所述报文发送给所述目的端设备的网络出口设备;所述ip解析结果包括:所述vpc网络标识、所述虚拟机ip地址及所述报文的五元组信息;
25、存储所述ip解析结果至所述控制器的日志中。
26、进一步地,所述装置还包括:
27、查找单元,用于通过查找所述日志,获取针对发起报文攻击的虚拟机ip地址。
28、进一步地,所述装置还包括:
29、长度调整单元,用于将虚拟机的能够传输的最大数据帧长度mtu调整为所述vpc网络链路mtu减去ip选项长度,所述ip选项长度为12字节,所述ip选项包括所述vpc网络标识和所述虚拟机ip地址。
30、本专利技术有益效果如下:
31、应用本专利技术所述的方法和装置,vpc网络下的虚拟机所在的宿主设备可以监测到虚拟机发出的报文,并当监测报文发送到宿主设备时,调用宿主设备中的ip选项修改模块执行如下操作:判断是否为新建通信连接的报文;若为新建通信连接的报文,在报文的元数据信息中增加vpc网络标识和虚拟机ip地址。这样,当underlay网络被攻击的时候,可以通过报文携带的vpc网络标识和虚拟机ip地址快速找到发起攻击的虚拟机ip地址,从而快速对攻击者进行准确定位。
本文档来自技高网...【技术保护点】
1.一种VPC网络下IP地址溯源方法,其特征在于,应用于VPC网络下的虚拟机所在的宿主设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述调用所述宿主设备中的IP选项修改模块之前,还包括:
3.根据权利要求2所述的方法,其特征在于,所述控制器还用于:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
6.一种VPC网络下IP地址溯源装置,其特征在于,应用于VPC网络下的虚拟机所在的宿主设备,所述装置包括:
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
8.根据权利要求7所述的装置,其特征在于,所述控制器还用于:
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
10.根据权利要求6-9中任一项所述的装置,其特征在于,所述装置还包括:长度调整单元,用于将虚拟机的能够传输的最大数据帧长度MTU调整为所述VPC网络链路MTU减去IP选项长度,所述IP选项长度
...【技术特征摘要】
1.一种vpc网络下ip地址溯源方法,其特征在于,应用于vpc网络下的虚拟机所在的宿主设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述调用所述宿主设备中的ip选项修改模块之前,还包括:
3.根据权利要求2所述的方法,其特征在于,所述控制器还用于:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
6.一种vpc网络下ip地址溯源装置,其特征在于,应用于vpc网络下的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。