盧文娟

（中國(guó)電信股份有限公司河南分公司，鄭州 450016）

1 引言

中國(guó)電信河南公司省公司網(wǎng)絡(luò)安全中心（以下簡(jiǎn)稱省SOC）人員要把所有IP地址查出歸屬地市，由分地市查找對(duì)應(yīng)用戶信息并通知用戶處理。由于數(shù)據(jù)量比較大，對(duì)IP地址分歸屬地市的工作就變得比較繁重。本文研究了如何快速IP地址查找歸屬地市的辦法。省公司劃分IP地址時(shí)最小的IP地址段為一個(gè)C，即同一個(gè)C段內(nèi)的IP必為同一地市。因此，從D路由器上查找到全省的IP路由分布，最全最準(zhǔn)確，再把大段IP細(xì)劃分為C段，利用Excel的分列、查找、組合等功能做到快速查到IP歸屬，大大節(jié)約了人力資源。本文將詳述此方法。

2 背景

當(dāng)今，互聯(lián)網(wǎng)的發(fā)展已經(jīng)出乎人們的想象，新技術(shù)、新概念層出不窮，互聯(lián)網(wǎng)實(shí)現(xiàn)了人們?cè)谛畔r(shí)代的夢(mèng)想，同時(shí)，網(wǎng)絡(luò)用戶成分越來(lái)越多樣化，出于各種目的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁，網(wǎng)絡(luò)應(yīng)用越來(lái)越深地滲透到金融、商務(wù)、國(guó)防等關(guān)鍵領(lǐng)域。

近年來(lái)，網(wǎng)絡(luò)攻擊的記錄正在逐年的成倍增長(zhǎng)。同時(shí)，攻擊所造成的危害性也逐漸增大。而且隨著各種各樣攻擊工具的出現(xiàn)，攻擊者不需要具備很多的入侵知識(shí)就可以實(shí)施破壞性的攻擊。

河南電信網(wǎng)絡(luò)安全系統(tǒng)是一個(gè)要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會(huì)嚴(yán)重地影響工作。所以河南電信公司網(wǎng)絡(luò)安全系統(tǒng)事關(guān)重大，要提到國(guó)家戰(zhàn)略的高度來(lái)衡量，否則一旦被黑客或者敵國(guó)攻入，其代價(jià)將是不能想象的。

3 工作內(nèi)容

省SOC每月會(huì)收到大量由通信管理局派發(fā)過來(lái)的僵木蠕及垃圾郵件處理數(shù)據(jù)，數(shù)據(jù)主要內(nèi)容有事件類型、發(fā)生時(shí)間、源IP、目前IP等信息。2013年中國(guó)電信河南公司省SOC處理省通信管理局派發(fā)各種數(shù)據(jù)53873例；2014年處理23576例；2015年處理25046例。省SOC主要關(guān)注本省需處理IP，然后派發(fā)地市進(jìn)行處理。省通信管理局初始下發(fā)地址不帶歸屬地市，若整體派發(fā)地市處理，則每個(gè)地市都要把所有IP查到一遍，這樣每個(gè)IP就會(huì)被查找18遍，平均每個(gè)IP有17次被查找是做得重復(fù)工作。為了節(jié)約人力成本，查找IP歸屬工作由省SOC來(lái)做，這樣雖然總體節(jié)約了大量時(shí)間，但是由于數(shù)據(jù)量很大，仍是一項(xiàng)煩瑣的工作。

4 Excel查找IP地址歸屬地

4.1 IP地址的結(jié)構(gòu)及省公司劃分IP地址的方法

IP地址（英語(yǔ)：Internet Protocol Address）是一種在Internet上的給主機(jī)編址的方式，也稱為網(wǎng)際協(xié)議地址。常見的IP地址分為IPv4與IPv6兩大類，本文討論的是IPv4。

IPv4地址的結(jié)構(gòu)：網(wǎng)絡(luò)使用32位長(zhǎng)度的地址以標(biāo)識(shí)一臺(tái)計(jì)算機(jī)和與其相連的網(wǎng)絡(luò)，其格式為：IP地址=網(wǎng)絡(luò)地址+主機(jī)地址。當(dāng)子網(wǎng)掩碼為255.255.255.0，即點(diǎn)分式IP地址前三段為網(wǎng)絡(luò)地址時(shí)，此網(wǎng)段內(nèi)有一個(gè)C的地址，這也是省公司擴(kuò)容IP地址的最小單位。

4.2 D路由器上查找全省路由

全省163網(wǎng)共部署4臺(tái)D路由器，鄭州、洛陽(yáng)各2臺(tái)，所有IP地址分配使用前必須在D路由器發(fā)布BGP路由，這樣流量流向才可以指向正常的下一跳。

全省有約35個(gè)B的地址，共有16個(gè)大段，利用命令（如：show bgp 1.192.0.0/13）在D路由器上查找全省路由。圖1為查找過程，第一列為小段IP，最后一列對(duì)應(yīng)城域網(wǎng)的AS號(hào)。

圖1 D路由器查找路由信息

4.3 利用Excel建立模板

將查到的所有大段的路由信息粘貼至Excel表格，以C為單位分成單條數(shù)據(jù)，并以“.”為分列符進(jìn)行分列，并把前三段加點(diǎn)進(jìn)行組合，組成IP地址的前三個(gè)段，最后利用Excel的VLOOUP函數(shù)對(duì)AS號(hào)查找所對(duì)應(yīng)的地市城域網(wǎng)。

4.4 制作查找單IP地址歸屬模板

重新找到一個(gè)工作表格，在“C段”列對(duì)前三列加點(diǎn)進(jìn)行組合，在“歸屬”列對(duì)“C段”列進(jìn)行VLOOKUP函數(shù)（=VLOOKUP(G2,完成!F:I,4,0)），從而查到對(duì)應(yīng)的歸屬地市。

由圖2可以看出用法，在B列粘貼所有被查找IP，按圖3的方式進(jìn)行分列，分列后自動(dòng)出現(xiàn)此IP對(duì)應(yīng)的城域網(wǎng)地市。

圖2 IP查找歸屬

圖3 IP分列

5 結(jié)語(yǔ)

通信管理局處給中國(guó)電信河南公司派發(fā)數(shù)萬(wàn)僵尸網(wǎng)絡(luò)及蠕蟲病毒數(shù)據(jù)，這些原始數(shù)據(jù)沒有對(duì)應(yīng)的歸屬地市。省SOC人員為了快速查找通管局派發(fā)IP的對(duì)應(yīng)地市，節(jié)約人力資源，從D路由器上查找到全省的IP路由分布，劃分為C段，利用Excel的分列、查找、組合等功能做到快速查到IP歸屬，并定制成了模板。此模板一次最多可查找65536條數(shù)據(jù)，足夠日常工作使用，大大節(jié)約了人力資源。