在数据传输过程中对地址转换用户的访问进行记录的方法 【技术领域】
本发明涉及一种数据传输过程中对地址转换用户的访问进行记录的方法,属于数据通信技术领域。背景技术
因特网的迅速普及导致了IP地址资源的短缺,为解决这一矛盾,提出了网络地址转换(Network Address Trnslation,以下简称NAT)。NAT的缺点之一是使得网络调试变得复杂,这是因为NAT技术隐藏了内部局域网的真实IP地址,而且目前在使用地址转换时几乎都使用端口、地址方式的地址转换(Port Address Translation,以下简称PAT),内部很多局域网用户公用一个合法IP址上网,因此当在外部网络发现内部局域网用户有攻击等行为发生时,很难定位是内部局域网中的哪个用户发出的攻击。
地址转换有一对一和PAT(port address tranlation)两种方式。一对一方式的地址转换,只对报文中的IP地址信息进行转换,在这种方式下,每一个内部主机都要占用地址池中地一个IP地址,当地址池内的地址被用尽时,就不能允许其它主机访问因特网。因此,NAT方式只允许若干个主机同时访问因特网,同时访问因特网的主机数目被合法地址的多少所局限。
PAT方式的地址转换使用了TCP/UDP的端口信息,用“地址+端口”来区分内部局域网的主机对外发起的不同连接,即若要转换数据包中的源地址,同时也要转换端口信息,因此内部局域网的许多主机可以共享一个IP地址访问因特网,这样就允许更多的内部主机同时访问因特网。在实际使用的过程中,PAT式是最主要的地址转换方式。
地址转换技术的一个重要特点就是可以隐藏内部局域网的真实IP地址,因此具有一定的安全保护作用,但是随之而来的问题是,使得网络调试变得复杂,很难定位来自内部局域网的非法访问以及非法攻击的确切主机。
图1所示的内部网络就是使用了一个私有地址的内部局域网。通过地址转换技术,可以使这个内部局域网的所有主机(或者部分主机)都可以访问因特网。如图1所示,由于“地址转换路由器”上面配置了合法的IP地址,内部网络中的所有主机都可以使用这些合法IP地址上网,因此当因特网上某台服务器遭受非法入侵时,服务器记录显示的IP地址是“地址转换路由器”上面的合法IP地址。由于NAT本身不具有记录的功能,因此不能判断该非法入侵具体来自于内部网络的哪个主机,仅仅能定位到这个内部网络中的主机进行了非法活动,当内部网络比较复杂的时候,就很难最终定位。发明内容
本发明的目的是针对当前地址转换技术不能记录用户曾经访问过的记录的缺点,提出一种在数据传输过程中对地址转换用户的访问进行记录的方法,用以对地址转换用户进行快速定位,有效地防止对网络的非法访问和入侵。
本发明提出的在数据传输过程中对地址转换用户的访问进行记录的方法,包括以下步骤:
1、初始化时,设置记录报文信息散列表;
2、建立各主机访问控制表;
3、将包含在接收到的报文中的信息与访问控制表中报文的相关信息进行比较,若其中有一个信息不同,则不记录,若所有信息相同,则进行第四步;
4、根据该报文的源端口和目的端口,从散列表中检索该报文的对应记录,若检索到该报文的对应记录,则完成地址转换,若检索不到,则进行第五步;
5、将接收到的报文信息加入到散列表中,同时根据访问控制表中的是否需要记录标志对该报文进行判断,若为不需记录,则完成地址转换,若为必须记录,则进行第六步;
6、记录上述接收的报文信息,并完成地址转换;
7、当上述接收到的报文完成访问时,记录访问结束时间。
上述方法中,在初始化时设置的散列表,用于记录接收报文的源地址、源端口、目的地址、目的端口以及访问时间。
上述方法中,各主机访问控制表由设备的使用者根据设备内部允许访问的地址情况而制定,控制表中记录了IP报文的源地址、源端口、目的地址、目的端口、协议号以及是否做记录的标志信息。
本发明提出的在数据传输过程中对地址转换用户的访问进行记录的方法,解决了通过地址转换上网的时候,不容易跟踪用户的问题。通过做日志的方法,记录用户访问过的网站、开始时间、结束时间等信息,根据这些记录,很容易定位网络故障的原因,并有效地防范用户对网络的非法访问和入侵。附图说明
图1是已有技术中的地址转换组网图。
图2是本发明方法流程图。具体实施方式
本发明的方法,在系统初始化是首先设置记录报文信息的散列表,用来记录报文的源地址、源端口、目的地址、目的端口、访问时间等信息。
然后由设备的使用者根据设备内部的允许访问的地址情况建立各主机访问控制表,里面记录了IP报文的源地址、源端口、目的地址、目的端口、协议号、是否做记录的标志信息,用来和接收到的报文比较,决定是否对该报文进行地址转换。该设备可以为地址转换路由器,它置于内部网络与因特网之间。
本方法的流程如图2所示,将包含在接收到的报文中的信息与访问控制表中报文的相关信息进行比较,若其中有一个信息不同,则不记录,若所有信息相同,则进一步根据该报文的源端口和目的端口从散列表中检索该报文的对应记录,若检索到该报文的对应记录,则完成地址转换;若在散列表中检索不到与接收到的报文相一致的记录,则将接收到的报文信息加入到散列表中,同时根据访问控制表中的是否需要记录标志对该报文进行判断,若为不需记录,则完成地址转换,若为必须记录,则记录上述接收的报文的信息,并完成地址转换;当上述接收到的报文完成访问时,记录访问结束时间。
本发明可以根据上网用户的内部IP地址,记录用户的有关信息,如用户的源端口、源地址、目的端口、目的地址和访问起始时间,同时访问功能也是可以配置的,通过对访问控制列表进行配置就可以规定对什么样的访问做记录,比如仅仅针对所有的超文本传输协议(HTTP)访问做记录,对其它访问不做记录。
地址转换是嵌在IP转发过程中的一个功能,当地址转换模块收到一个从IP层传递来的完整报文,使用这个报文中的源地址、目的地址、源端口、目的端口等信息和配置好的访问控制表进行比较,判断是否是和访问控制表中相一致的报文。如果不一致,则不进行任何处理,继续转发。
如果是访问控制表中规定的相一致的报文,则根据报文的源地址、源端口到散列表中查找相应的记录,如果找到了相应的记录,根据记录中记录的源地址、目的地址、源端口、目的端口信息,完成地址转换。
如果没有找到对应的记录,则创建一个新的记录,如果匹配这个IP报文的访问控制表里面定义,允许对这个报文做记录,则记录下来这次访问的目的地址、开始访问时间等信息。
当连接终止的时候,如果地址转换记录表里面显示曾经为这个连接做过一次记录,则记录下结束时间。
这样就记录下该用户访问相应地址的开始时间和结束时间,以及用户的源地址、目的地址等信息。