本发明专利技术提供一种基于地址翻译的网络会话流量对准方法,具体过程为:为每台流量处理服务器分配相应的可用地址池,地址池中包含一组可用的IP地址;当流量服务器获取上行数据包时,从其对应地址池选取一个IP地址来替换所述数据包中的源IP地址,然后提取上行数据包的五元组,存储到会话映射表中;当目标收到上行数据包时,生成下行数据包,当下行数据包经过另一个流量服务器时,将下行数据包发送至上行对应的流量处理服务器;流量服务器接收到下行数据包后获取数据包的五元组,当其与所存储的会话映射表比对后确定其为同一会话数据包时,则完成对准,否则回注到网络中。本发明专利技术实现了特定点只使用特定IP地址的功能,满足了网络审计、网络安全等相关应用中需要对双向流量进行处理的场景,方法快捷高效。
【技术实现步骤摘要】
一种基于地址翻译的网络会话流量对准方法
本专利技术提出了一种基于地址翻译的网络会话流量对准方法,属于网络流量会话
通过对IP地址进行编码来标识不同地区服务器,采用地址翻译技术解决了流量对准问题,实现了特定点只使用特定IP地址的功能,满足了网络审计、网络安全等相关应用中需要对双向流量进行处理的场景,方法快捷高效。
技术介绍
在网络审计、网络安全相关的应用中,有多种情况需要会话的双向流量才能正常进行。在实际的工程应用中,理想情况下(对称路由),用户发送的请求报文和服务器返回给用户的响应报文会走相同的网络路径,也就是说,在网络边界对流量进行获取和分析时,可以同时获取到用户的上下行流量,从而获取到完整报文,这样有利于识别及分析用户的访问行为。在实际的互联网环境中,用户与互联网进行交互时,尤其是与境外互联网进行交互时,如果在骨干路由器进行流量处理和分析,就会出现由于非对称路由而引发的单向流问题。如图1所示,用户访问互联网时,上行数据包通过A地区的骨干路由进行传输,互联网返回给用户的下行数据包通过C地区的骨干路由进行传输,这样就会出现非对称路由环境下的上下行流量多地点分散会话问题,即单向流问题,所以无法进行特定业务的开展,例如加密数据的汇聚处理。因此需要将分散在不同地点的数据进行对准,即将一个方向上的数据合并迁移到另一个方向上。用户在发起访问互联网上目标的请求时,流量流经分布在不同地区的路由器,这些路由器大都位于不同地方的机房(下文称为节点)。用户访问互联网目标时,上行数据包通过某节点进行传输,互联网返回给用户的下行数据包通过另外节点进行传输。传统的迁移方法大致分为两种,一种为基于连接追踪的广播对准法,另一种为基于编码的流量对准法。基于连接追踪广播对准法基本原理为:当用户访问互联网上目标时,通过流经某节点的上行数据包可获取其五元组(源地址、源端口、目的地址、目的端口、协议),并将该五元组特征信息以广播形式发送给其它所有节点,这样其他所有节点通过该五元组特征信息能够找到该上行数据包隶属的传输节点。当目标收到用户请求后生成下行数据包,下行数据包在节点传输过程中由于能找到该下行数据包对应上行数据包传输的节点,故将该下行数据包传输到对应节点上,保证了会话的完整性,但广播本身需要增加网络通信开销成本,而且传输过程中若广播的连接追踪信息丢失,则必然出错。基于编码的流量对准法基本原理为:在通信数据包的源端口进行编码,也就是在16个比特位置上基于某种算法(例如MD5算法)进行编码,用来区分流经不同服务器的流量。基本原理为:将用户访问互联网目标产生的上行数据包中的五元组取出,基于某算法构建源端口与(源地址、目的地址、目的端口、协议)的映射关系,并对源端口做地域标识,当目标收到用户请求后生成下行数据包,流量处理服务器获取其五元组后,通过还原算法得到上行数据包对应五元组中的源端口的地域标识,从而将下行数据包传输到对应上行数据包的节点上,达到流量对准的效果。但由于实际部署在不同地区的服务器很多,而较少的比特位不足以支持这种需求,因此基于编码的流量对准方法适用性较差。由上可知,为解决会话多地失准问题,基于连接追踪的广播对准法增加了通信网络开销成本,如果传输五元组连接追踪信息不及时,则无法对准;基于编码的流量对准法由于使用了通信的源端口进行编码,并且需要校验,支持的节点较少,错误率也比较高。
技术实现思路
有鉴于此,本专利技术提出一种基于地址翻译的网络会话流量对准方法,可以实现在特定机房只使用特定IP地址的目的,达到流量对准的目的。实现本专利技术的技术方案如下:一种基于地址翻译的网络会话流量对准方法,具体过程为:为每台流量处理服务器分配相应的可用地址池,地址池中包含一组可用的IP地址;当流量服务器获取上行数据包时,从其对应地址池选取一个IP地址来替换所述数据包中的源IP地址,然后提取上行数据包的五元组,存储到会话映射表中;当目标收到上行数据包时,生成下行数据包,当下行数据包经过另一个流量服务器时,流量服务器对目的地址进行计算,将所述下行数据包发送至上行对应的流量处理服务器;流量服务器接收到下行数据包后获取数据包的五元组,当其与所存储的会话映射表比对后确定其为同一会话数据包时,则完成对准,否则回注到网络中。进一步地,本专利技术为每台流量处理服务器构建ID号,所述ID号与流量处理服务器IP地址存在对应关系。进一步地,本专利技术为每台流量处理服务器准备可用地址池时,所述ID号与该服务器分配的可用地址池中所有IP地址存在对应关系。有益效果本专利技术提出了一种基于地址翻译的网络会话流量对准方法,基于地址翻译(利用地址池进行地址替换)技术解决了流量对准问题,实现了特定点只使用特定IP地址的功能,满足了网络审计、网络安全等相关应用中需要对双向流量进行处理的场景,方法快捷高效。附图说明图1多地区分散机房的示意图;图2上下行数据包处理示意图;图3数据包处理流程图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整的描述。用户与互联网上目标进行交互时,生成的上下行数据包会通过各个路由进行传输。实际上,出于对网络审计、网络安全等相关应用的考虑,需要对各地的流量进行审计分析,所以会部署相应的流量处理服务器,而且还会为每台服务器准备可用地址池,用于地址翻译。本专利技术实施例所提供一种基于地址翻译的网络会话流量对准方法分为三个过程:预处理过程、上行数据包处理过程以及下行数据包处理过程。一、预处理过程首先需要对每台流量处理服务器进行编码标识,也就是将分散在各地区的流量处理服务器IP地址进行唯一编号,为每台服务器构建ID号,由于每台服务器的IP地址具有唯一性,所以每台服务器的ID号也具有唯一性。确定了每台流量处理服务器ID号之后,接下来应为每台服务器准备相应的可用地址池,事实上每个可用地址池中包含有多个IP地址,以供流经服务器的不同会话进行源IP地址替换使用,本专利技术实施例所提出的方法可采用函数方式将可用地址池中的所有IP地址与服务器ID号对应起来。如表1所示,预处理过程中首先为流量处理服务器192.168.132.1进行编号,取该地址的尾数值1作为该服务器的编号,然后为其准备的可用地址池中的所有IP地址的尾数值也为1。表1服务器IP地址、编号与地址池IP地址对应关系表二、上行数据包处理过程当用户在发起访问互联网上目标的请求时,生成上行数据包,上行数据包通过各个路由进行传输过程中,通过流量处理服务器x获取上行数据包,并会从可用地址池中选取IP地址,并对上行数据包的源IP地址进行替换,则替换后的IP地址恰好一一对应服务器x的ID号,然后服务器x从替换IP地址后的数据包提取出该上行数据包的五元组,构建用户的会话映射表项a,存入会话映射表中。三、下行数据包处理过程当目标收到用户访问请求后,生成下行数据包,下行数据包通过各个路由进行传输过程中,经过流量处理服务器y时,服务器y首先对目的IP地址进行计算,得到处理该会话上行数据包的流量处理服务器为x,并将此下行数据包发送给服务器x。当下行数据包到达流量处理服务器x后,服务器x获取下行数据包的五元组,并查询会话映射表来判断此数据包是否为用户曾经发过来的流量。如果是,本文档来自技高网...
【技术保护点】
1.一种基于地址翻译的网络会话流量对准方法,其特征在于,具体过程为:为每台流量处理服务器分配相应的可用地址池,地址池中包含一组可用的IP地址;当流量服务器获取上行数据包时,从其对应地址池选取一个IP地址来替换所述数据包中的源IP地址,然后提取上行数据包的五元组,存储到会话映射表中;当目标收到上行数据包时,生成下行数据包,当下行数据包经过另一个流量服务器时,流量服务器对目的地址进行计算,将所述下行数据包发送至上行数据包所经过的流量处理服务器;流量服务器接收到下行数据包后获取数据包五元组,当其与所存储的会话映射表比对后确定其为同一会话数据包时,则完成对准,否则回注到网络中。
【技术特征摘要】
1.一种基于地址翻译的网络会话流量对准方法,其特征在于,具体过程为:为每台流量处理服务器分配相应的可用地址池,地址池中包含一组可用的IP地址;当流量服务器获取上行数据包时,从其对应地址池选取一个IP地址来替换所述数据包中的源IP地址,然后提取上行数据包的五元组,存储到会话映射表中;当目标收到上行数据包时,生成下行数据包,当下行数据包经过另一个流量服务器时,流量服务器对目的地址进行计算,将所述下行数据包发送至上行数据包所经过的流量处理服务器;流量...
【专利技术属性】
技术研发人员:张树壮,吴志刚,罗浩,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。