CN103001966B - 一种私网ip的处理、识别方法及装置 - Google Patents
一种私网ip的处理、识别方法及装置 Download PDFInfo
- Publication number
- CN103001966B CN103001966B CN201210539673.5A CN201210539673A CN103001966B CN 103001966 B CN103001966 B CN 103001966B CN 201210539673 A CN201210539673 A CN 201210539673A CN 103001966 B CN103001966 B CN 103001966B
- Authority
- CN
- China
- Prior art keywords
- message
- network
- user identifier
- private network
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种私网IP处理、识别的方法和装置。所述方法包括:用户主机截获用户主机准备向网络发送的IP报文;用户主机在截获的IP报文的报文头中添加用户标识符并对IP报文进行封装,然后将封装后的IP报文发送至网络;网络接入设备获取客户端发送的携带有用户标识符的IP报文,其中所述用户标识符与该IP报文的私网IP地址相对应;网络接入设备从获取到的IP报文中提取所述的用户标识符,根据所述用户标识符获取客户端对应的私网IP,并根据该私网IP地址确定该IP报文的处理策略。通过本发明,网络接入设备能够很快的通过IP报文识别NAT前私网IP,然后进行用户认证和流量监控等。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种私网IP的处理、识别方法及装置。
背景技术
随着互联网和网络应用的普及与发展,当内部网络中一台主机想发送数据到外部网络时,先将IP报文发送到NAT设备上,NAT设备将内部局部地址转化为内部全局地址后,将IP报文转发到外部网络。当外部网络对内部主机进行应答时,IP响应报文被送到NAT设备上,NAT设备将IP响应报文中的目的地址替换为内部局部地址,并将报文转发至内部主机。
现有的NAT技术包括BasicNAT和NAPT。BasicNAT方式属于一对一的地址转换,在这种方式下只转换IP地址,而对TCP/UDP协议的端口号不处理,一个公网IP地址不能同时被多个用户使用。BasicNAT方式的处理过程如下:NAT设备收到私网侧主机发送的访问公网侧服务器的报文;NAT设备从地址池中选取一个空闲的公网IP地址,建立与私网侧报文源IP地址间的NAT转换表项(正反向),并依据查找正向NAT表项的结果将报文转换后向公网侧发送;NAT设备收到公网侧的回应报文后,根据其目的IP地址查找反向NAT表项,并依据查表结果将报文转换后向私网侧发送。由于BasicNAT方式并未实现地址复用,因此并不能解决公网地址短缺的问题,而NAPT方式则可以解决这个问题。NAPT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式。NAPT方式的处理过程如下:NAT设备收到私网侧主机发送的访问公网侧服务器的报文;NAT设备从地址池中选取一对空闲的“公网IP地址+端口号”,建立与私网侧报文“源IP地址+源端口号”间的NAPT转换表项(正反向),并依据查找正向NAPT表项的结果将报文转换后向公网侧发送;NAT设备收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向NAPT表项,并依据查表结果将报文转换后向私网侧发送。由于BasicNAT这种一对一的转换方式并未实现公网地址的复用,不能有效解决IP地址短缺的问题,因此在实际应用中并不常用。私网主机访问外网时需要通过NAT设备,NAT设备将IP报文中的源IP由主机私网IP变为公网IP,使得主机的私网IP地址不被NAT后的网络接入设备所知。
现有技术中,出于安全考虑,大部分私网主机的IP地址通常不被公网用户得知,但在某些实际应用中,需要获取主机的私网IP地址。私网中网络接入为了做流量监控以及用户认证,NAT后的网络接入设备需要获取主机用户的私网IP,因此,需要提出一种方法,使得网络接入设备通过NAT后的IP能够获取NAT前的主机用户私网IP。
发明内容
有鉴于此,本发明提供一种私网IP的处理、识别方法,能够很快的通过IP报文识别NAT前私网IP。
为实现本发明目的,本发明实现方案具体如下:
一种处理私网IP的方法,应用于用户主机,所述方法包括:
截获用户主机准备向网络上发送的IP报文;
在截获的IP报文的报文头中添加用户标识符并对IP报文进行封装,然后将封装后的IP报文发送至网络,以便网络接入设备能够根据该用户标识符确定发送该IP报文的用户,其中所述用户标识符与该IP报文的私网IP地址相对应。
本发明同时提供一种识别私网IP的方法,应用于网络接入设备,所述方法包括:
获取客户端发送的携带有用户标识符的IP报文;
从获取到的IP报文中提取所述的用户标识符,根据所述用户标识符获取客户端对应的私网IP,并根据该私网IP地址确定该IP报文的处理策略。
本发明同时提供一种处理私网IP的装置,应用于用户主机,所述装置包括:
报文截获单元,用于截获用户主机准备向网络上发送的IP报文;
报文处理单元,用于在截获的IP报文的报文头中添加用户标识符并对IP报文进行封装,然后将封装后的IP报文发送至网络,以便网络接入设备能够根据该用户标识符确定发送该IP报文的用户,其中所述用户标识符与该IP报文的私网IP地址相对应。
本发明同时提供一种识别私网IP的装置,应用于网络接入设备,其特征在于,所述装置包括:
报文获取单元,用于获取客户端发送的携带有用户标识符的IP报文;
用户信息获取单元,用于从获取到的IP报文中提取所述的用户标识符,根据所述用户标识符获取客户端对应的私网IP,并根据该私网IP地址确定该IP报文的处理策略。
与现有技术相比,本发明通过在用户主机上的主机准备发往外部网络的IP报文的报文头中添加唯一用户标识符,NAT设备后网络连接设备通过所述唯一用户标识符获取私网用户IP,使得网络接入设备能够很快的通过IP报文识别NAT前私网IP,然后进行用户认证和流量监控等。
附图说明
图1为本发明处理、识别私网IP的装置逻辑结构图。
图2为本发明一种实施例中处理私网IP方法的流程示意图。
图3为本发明一种实施例中识别私网IP方法的流程示意图。
具体实施方式
本发明实现的一般设计方案为:在用户主机上安装NDIS类驱动程序,通过所述的NDIS类驱动程序在主机准备向网络发送的IP报文的报文头中添加用户标识符,携带有用户标识符的IP报文则经过NAT设备后发送到网络中间设备,当网络中间设备接收到携带有用户标识符的IP报文后,根据所述的用户标识符获取用户的私网IP,并将所述IP报文进行处理,其中所述用户标识符与该IP报文的私网IP地址相对应。
为实现本发明目的,以下结合附图详细说明本发明。请参考图1,本发明提供一种私网IP的处理装置,应用于用户主机;相应地本发明还提供一种私网IP的识别装置应用于网络接入设备。其中应用于用户主机端的处理装置包括报文截获单元101和报文处理单元102。请进一步参照图2,为本发明提供的一种处理私网IP的方法流程示意图,其由图1所示的用户主机端的所述处理装置执行,该方法包括以下步骤:
步骤201,截获用户主机准备向网络上发送的IP报文;
此步骤由报文截获单元101执行。具体地,在用户主机上安装NDIS类中间驱动程序,例如passthru驱动,通过所述NDIS类中间驱动程序截获来自网卡的所有原始报文。NDIS中间层驱动程序工作在MINIPROT和PROTOCOL接口之间的,向下导出一个PROTOCOL接口,向上导出一个MINIPORT接口。将NDIS创建的驱动程序***到网卡驱动程序与传输驱动程序之间。当下层的网卡驱动程序接收到报文后会通过MINIPORT接口发送到导出的PROTOCOL接口上,所述NDIS中间层驱动程序报文截获单元101便接收到了来自主机网卡的报文。这里接收到各种报文,并非全部都是IP报文,比如说还可能有ARP报文以及ICMP报文等非IP报文。因此在优选的方式中,在对报文进行截获及后续处理之前,所述报文截获单元101根据预先设置的过滤规则对数据报文进行过滤,如果接收的数据报文为非IP报文则放行,如果接收的数据报文为IP报文则保留并调用准备好的回调函数MPSend和PeSendComplete处理IP报文。这样就完成了报文获取单元101截获用户主机准备向网络上发送的IP报文的过程。
步骤202,在截获的IP报文的报文头中添加用户标识符并对IP报文进行封装,然后将封装后的IP报文发送至网络以便网络接入设备能够根据该用户标识符确定发送该IP报文的用户,其中所述用户标识符与该IP报文的私网IP地址相对应。
此步骤由报文处理单元102执行。具体地,当报文获取单元101截获到用户主机准备向网络上发送的IP报文后,报文处理单元102在所述IP报文的报文头的option选项字段中添加用户标识符,所述用户标识符为私网用户主机的私网IP。IP报文的报文头有的携带有option选项字段,有的没有option选项字段,普通的IP报文头中包含20个字节,不包括option选项字段。请参考表1,本发明使用IP报文头中携带有option选项字段的IP报文,并在option选项中添加用户标识符。这样一来,当被修改的IP报文通过NAT设备时,NAT设备将IP报文中的源IP地址改为对应的公网IP地址,即位于表1中的32位源IP地址字段,但是根据NAT的处理机制,IP报文中的option选项字段则不会发生改变,而所述用户标识符设置在IP报文头的option选项里面,因此在NAT过程中并没有发生改变,因此NAT处理后的IP报文仍然和NAT前的IP报文一样含有相同的用户标识符。无论该IP报文经过多少次NAT处理,option选项字段中的用户标识都可以保留,也就是说用户标识可以跨越广域的网络传输。
表1
在所述IP报文的报文头中添加用户标识符之后,将IP报文进行封装。优选地,NDIS中间驱动程序通过准备好的回调函数MPSend和PeSendComplete处理IP报文,NDIS中间层驱动在处理IP报文完毕后继续把数据通过导出的MINIPROT接口向PROTOCOL接口发送,然后将携带有用户标识符的IP报文发送至网络,以便网络接入设备获取到携带有用户标识符的IP报文后,根据获取到的IP报文中所述用户标识符获取IP报文所述对应的NAT前的私网IP。
当客户端将携带用户标识符的IP报文发送至网络之后,网络接入设备便可以接收客户端发送的所述IP报文。请参考图1中本发明提供的一种识别私网IP的装置,其中应用于网络接入设备上,该装置包括报文获取单元103和用户信息获取单元104。请进一步参考图3,为本发明提供的一种识别私网IP的方法,该方法由网络接入设备端的识别装置执行,包括以下步骤:
步骤301,获取客户端发送的携带有用户标识符的IP报文;
此步骤由报文获取单元103执行。在私网环境中,网络接入设备接入在NAT设备之后,与外界网络相连,即发送到外网的IP报文需要先通过NAT设备进行NAT转换之后,在进入网络中。当私网用户主机将携带有用户标识符的IP报文发送至网络之后,所述报文获取单元103可以获取到用户发送的携带有用户标识符的IP报文,其中所述用户标识符为主机用户的私网IP。
步骤302,从获取到的IP报文中提取所述的用户标识符,根据所述用户标识符获取客户端的私网IP,根据该私网IP地址确定该IP报文的处理策略。
此步骤由用户信息获取单元104执行。当所述获取单元103获取用户发送的携带有用户标识符的IP报文之后,用户信息获取单元104从获取到的IP报文中提取所述的用户标识符,根据所述用户标识符获取客户端对应的私网IP,然后根据需要将所述报文进行丢弃、转发以及限速中的至少两种报文处理方法。所述用户标识符为主机的私网IP,设置在所述IP报文的option字段中。网络接入设备通过所述用户标识符获取到主机用户的私网IP后,可以进一步根据获取到的私网IP并进行用户认证和流量的监控。
本发明通过在用户主机上安装NDIS类中间驱动程序,在主机准备发送到网络的IP报文的报文头中添加用户标识符,网络接入设备端便可以根据接收的IP报文中的所述用户标识符识别NAT前的私网IP,进而达到认证和流量监控的目的。例如,内部网络中有A、B、C、D四台主机,A主机部允许网访问外网,通过在这四台主机准备发送到网络的IP报文头中添加用户标识符,网络接入设备根据接收到的IP报文中的所述用户标识符,并可获取每一个IP报文对应的NAT前IP地址,当所述用户标识符对应的私网IP为主机A的IP时,网络接入设备会将所接收到的IP报文丢弃。通过这种方法并可以控制NAT前的主机是否能够上网,而不至于发生NAT前的一台主机通过认证之后,所有NAT前的主机都能够上网的情况。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种处理私网IP的方法,应用于用户主机,所述用户主机安装有NDIS类中间驱动程序,其特征在于,所述方法包括:
通过所述中间驱动程序接收来自主机网卡的数据报文,根据预先设置的过滤规则对数据报文进行过滤,如果接收到的数据报文为非IP报文则放行,如果接收的数据报文为IP报文则保留,并截获用户主机准备向网络上发送的IP报文,所述IP报文携带有option选项字段;
在截获的IP报文的报文头中的option选项字段中添加用户标识符并对IP报文进行封装,然后将封装后的IP报文发送至网络,以便网络接入设备能够根据该用户标识符确定发送该IP报文的用户,其中所述用户标识符与该IP报文的私网IP地址相对应,所述用户标识符为主机的私网IP。
2.如权利要求1所述的方法,其特征在于,所述中间驱动程序被设置在网卡驱动程序和传输驱动程序之间。
3.如权利要求1所述的方法,其特征在于,所述截获用户主机准备向网络上发送的IP报文之前,还包括:
判断用户主机准备向网络上发送的报文是否为IP报文;
如果不是,则放行该报文,否则截获该IP报文。
4.一种识别私网IP的方法,应用于网络接入设备,其特征在于,所述方法包括:
获取客户端发送的携带有用户标识符的IP报文,所述IP报文是经过用户主机安装的NDIS类中间驱动程序处理过的报文,所述用户标识符为主机的私网IP,所述用户标识位于IP报文的option选项字段中;
从获取到的IP报文中提取所述的用户标识符,根据所述用户标识符获取客户端对应的私网IP,并根据该私网IP地址确定该IP报文的处理策略。
5.如权利要求4所述的方法,其特征在于,还包括:
所述处理策略包括丢弃、转发以及限速三种策略中的至少两种策略。
6.一种处理私网IP的装置,应用于用户主机,所述用户主机安装有NDIS类中间驱动程序,其特征在于,所述装置包括:
报文截获单元,用于通过所述中间驱动程序接收来自主机网卡的数据报文,根据预先设置的过滤规则对数据报文进行过滤,如果接收到的数据报文为非IP报文则放行,如果接收的数据报文为IP报文则保留,并截获用户主机准备向网络上发送的IP报文,所述IP报文携带有option选项字段;
报文处理单元,用于在截获的IP报文的报文头中的option选项字段中添加用户标识符并对IP报文进行封装,然后将封装后的IP报文发送至网络,以便网络接入设备能够根据该用户标识符确定发送该IP报文的用户,其中所述用户标识符与该IP报文的私网IP地址相对应,所述用户标识符为主机的私网IP。
7.如权利要求6所述的装置,其特征在于,所述报文截获单元进一步用于:
截获用户主机准备向网络上发送的IP报文之前,判断用户主机准备向网络上发送的报文是否为IP报文;
如果不是则放行该报文,否则截获该IP报文。
8.一种识别私网IP的装置,应用于网络接入设备,其特征在于,所述装置包括:
报文获取单元,用于获取客户端发送的携带有用户标识符的IP报文,所述IP报文是经过用户主机安装的NDIS类中间驱动程序处理过的报文,所述用户标识符为主机的私网IP,所述用户标识位于IP报文的option选项字段中;
用户信息获取单元,用于从获取到的IP报文中提取所述的用户标识符,根据所述用户标识符获取客户端对应的私网IP,根据该私网IP地址确定该IP报文的处理策略。
9.如权利要求8所述的装置,其特征在于,还包括:
所述处理策略包括丢弃、转发以及限速三种策略中的至少两种策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210539673.5A CN103001966B (zh) | 2012-12-11 | 2012-12-11 | 一种私网ip的处理、识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210539673.5A CN103001966B (zh) | 2012-12-11 | 2012-12-11 | 一种私网ip的处理、识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103001966A CN103001966A (zh) | 2013-03-27 |
| CN103001966B true CN103001966B (zh) | 2016-06-08 |
Family
ID=47930110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210539673.5A Active CN103001966B (zh) | 2012-12-11 | 2012-12-11 | 一种私网ip的处理、识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103001966B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547428B (zh) * | 2017-07-05 | 2022-03-22 | 新华三信息安全技术有限公司 | 一种报文发送方法、装置、负载均衡lb设备及网关设备 |
| CN108833513B (zh) * | 2018-05-31 | 2021-01-26 | 中国联合网络通信集团有限公司 | 区块链节点间通信方法、装置及区块链节点 |
| CN109819070B (zh) * | 2019-04-12 | 2020-07-07 | 苏州浪潮智能科技有限公司 | 一种网络地址转换方法 |
| CN110166474B (zh) * | 2019-05-29 | 2021-07-09 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN112565053B (zh) * | 2020-12-01 | 2022-06-10 | 武汉绿色网络信息服务有限责任公司 | 识别私网用户的方法、装置、服务***及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040243710A1 (en) * | 2001-08-03 | 2004-12-02 | Xiaolei Mao | Method of user data exchange in the data network and a data network |
| CN101442425A (zh) * | 2007-11-22 | 2009-05-27 | 华为技术有限公司 | 网关的管理方法、地址分配的方法及装置、*** |
| CN101674587A (zh) * | 2009-10-14 | 2010-03-17 | 成都市华为赛门铁克科技有限公司 | 实现业务监控的方法和***及认证代理服务器 |
| CN102624935A (zh) * | 2011-01-26 | 2012-08-01 | 华为技术有限公司 | 一种转发报文的方法,装置和*** |
-
2012
- 2012-12-11 CN CN201210539673.5A patent/CN103001966B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040243710A1 (en) * | 2001-08-03 | 2004-12-02 | Xiaolei Mao | Method of user data exchange in the data network and a data network |
| CN101442425A (zh) * | 2007-11-22 | 2009-05-27 | 华为技术有限公司 | 网关的管理方法、地址分配的方法及装置、*** |
| CN101674587A (zh) * | 2009-10-14 | 2010-03-17 | 成都市华为赛门铁克科技有限公司 | 实现业务监控的方法和***及认证代理服务器 |
| CN102624935A (zh) * | 2011-01-26 | 2012-08-01 | 华为技术有限公司 | 一种转发报文的方法,装置和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103001966A (zh) | 2013-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4488077B2 (ja) | 仮想化システム、仮想化方法、及び仮想化用プログラム | |
| CN103001966B (zh) | 一种私网ip的处理、识别方法及装置 | |
| CN102761534B (zh) | 实现媒体接入控制层透明代理的方法和装置 | |
| CN104767752A (zh) | 一种分布式网络隔离***及方法 | |
| JP2008066945A (ja) | 攻撃検出システム及び攻撃検出方法 | |
| EP3007399A1 (en) | Method and device for forwarding message | |
| US11005813B2 (en) | Systems and methods for modification of p0f signatures in network packets | |
| CN104168257A (zh) | 基于非网络方式的数据隔离装置及其方法与*** | |
| CN106657035B (zh) | 一种网络报文传输方法及装置 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| WO2016201966A1 (zh) | 一种nat穿透方法、装置及*** | |
| CN106302371A (zh) | 一种基于用户业务***的防火墙控制方法和*** | |
| CN102546407B (zh) | 报文发送方法及装置 | |
| CN102055765A (zh) | 一种网络通信*** | |
| CN106713351B (zh) | 一种基于串口服务器的安全通讯方法及装置 | |
| CN101291343A (zh) | 一种基于透明代理设备的远程控制方法及其*** | |
| CN103560995A (zh) | 一种同时实现ipv4和ipv6的URL过滤方法 | |
| CN104202206A (zh) | 报文处理装置及方法 | |
| CN104993993A (zh) | 一种报文处理方法、设备和*** | |
| CN103327008A (zh) | 一种http重定向方法及装置 | |
| CN108989480A (zh) | 一种在服务器获取客户端地址的方法 | |
| CN202094935U (zh) | 基于动态ip网络实现远程开关信号控制*** | |
| CN108848198B (zh) | 一种多业务转发模式AP的Portal差异化推送方法 | |
| CN101083594A (zh) | 一种网络设备的管理方法及装置 | |
| CN111464550B (zh) | 一种用于报文处理设备的https透明防护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Patentee after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Patentee before: Hangzhou Dipu Technology Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |