在數據傳輸過程中對地址轉換用戶的訪問進行記錄的方法
2023-05-27 12:34:56 4
專利名稱:在數據傳輸過程中對地址轉換用戶的訪問進行記錄的方法
技術領域:
本發明涉及一種數據傳輸過程中對地址轉換用戶的訪問進行記錄的方法,屬於數據通信技術領域。
地址轉換有一對一和PAT(port address tranlation)兩種方式。一對一方式的地址轉換,只對報文中的IP位址信息進行轉換,在這種方式下,每一個內部主機都要佔用地址池中的一個IP位址,當地址池內的地址被用盡時,就不能允許其它主機訪問網際網路。因此,NAT方式只允許若干個主機同時訪問網際網路,同時訪問網際網路的主機數目被合法地址的多少所局限。
PAT方式的地址轉換使用了TCP/UDP的埠信息,用「地址+埠」來區分內部區域網的主機對外發起的不同連接,即若要轉換數據包中的源地址,同時也要轉換埠信息,因此內部區域網的許多主機可以共享一個IP位址訪問網際網路,這樣就允許更多的內部主機同時訪問網際網路。在實際使用的過程中,PAT式是最主要的地址轉換方式。
地址轉換技術的一個重要特點就是可以隱藏內部區域網的真實IP位址,因此具有一定的安全保護作用,但是隨之而來的問題是,使得網絡調試變得複雜,很難定位來自內部區域網的非法訪問以及非法攻擊的確切主機。
圖1所示的內部網絡就是使用了一個私有地址的內部區域網。通過地址轉換技術,可以使這個內部區域網的所有主機(或者部分主機)都可以訪問網際網路。如圖1所示,由於「地址轉換路由器」上面配置了合法的IP位址,內部網絡中的所有主機都可以使用這些合法IP位址上網,因此當網際網路上某臺伺服器遭受非法入侵時,伺服器記錄顯示的IP位址是「地址轉換路由器」上面的合法IP位址。由於NAT本身不具有記錄的功能,因此不能判斷該非法入侵具體來自於內部網絡的哪個主機,僅僅能定位到這個內部網絡中的主機進行了非法活動,當內部網絡比較複雜的時候,就很難最終定位。
本發明提出的在數據傳輸過程中對地址轉換用戶的訪問進行記錄的方法,包括以下步驟1、初始化時,設置記錄報文信息散列表;2、建立各主機訪問控制表;3、將包含在接收到的報文中的信息與訪問控制表中報文的相關信息進行比較,若其中有一個信息不同,則不記錄,若所有信息相同,則進行第四步;4、根據該報文的源埠和目的埠,從散列表中檢索該報文的對應記錄,若檢索到該報文的對應記錄,則完成地址轉換,若檢索不到,則進行第五步;
5、將接收到的報文信息加入到散列表中,同時根據訪問控制表中的是否需要記錄標誌對該報文進行判斷,若為不需記錄,則完成地址轉換,若為必須記錄,則進行第六步;6、記錄上述接收的報文信息,並完成地址轉換;7、當上述接收到的報文完成訪問時,記錄訪問結束時間。
上述方法中,在初始化時設置的散列表,用於記錄接收報文的源地址、源埠、目的地址、目的埠以及訪問時間。
上述方法中,各主機訪問控制表由設備的使用者根據設備內部允許訪問的地址情況而制定,控制表中記錄了IP報文的源地址、源埠、目的地址、目的埠、協議號以及是否做記錄的標誌信息。
本發明提出的在數據傳輸過程中對地址轉換用戶的訪問進行記錄的方法,解決了通過地址轉換上網的時候,不容易跟蹤用戶的問題。通過做日誌的方法,記錄用戶訪問過的網站、開始時間、結束時間等信息,根據這些記錄,很容易定位網絡故障的原因,並有效地防範用戶對網絡的非法訪問和入侵。
圖2是本發明方法流程圖。
然後由設備的使用者根據設備內部的允許訪問的地址情況建立各主機訪問控制表,裡面記錄了IP報文的源地址、源埠、目的地址、目的埠、協議號、是否做記錄的標誌信息,用來和接收到的報文比較,決定是否對該報文進行地址轉換。該設備可以為地址轉換路由器,它置於內部網絡與網際網路之間。
本方法的流程如圖2所示,將包含在接收到的報文中的信息與訪問控制表中報文的相關信息進行比較,若其中有一個信息不同,則不記錄,若所有信息相同,則進一步根據該報文的源埠和目的埠從散列表中檢索該報文的對應記錄,若檢索到該報文的對應記錄,則完成地址轉換;若在散列表中檢索不到與接收到的報文相一致的記錄,則將接收到的報文信息加入到散列表中,同時根據訪問控制表中的是否需要記錄標誌對該報文進行判斷,若為不需記錄,則完成地址轉換,若為必須記錄,則記錄上述接收的報文的信息,並完成地址轉換;當上述接收到的報文完成訪問時,記錄訪問結束時間。
本發明可以根據上網用戶的內部IP位址,記錄用戶的有關信息,如用戶的源埠、源地址、目的埠、目的地址和訪問起始時間,同時訪問功能也是可以配置的,通過對訪問控制列表進行配置就可以規定對什麼樣的訪問做記錄,比如僅僅針對所有的超文本傳輸協議(HTTP)訪問做記錄,對其它訪問不做記錄。
地址轉換是嵌在IP轉發過程中的一個功能,當地址轉換模塊收到一個從IP層傳遞來的完整報文,使用這個報文中的源地址、目的地址、源埠、目的埠等信息和配置好的訪問控制表進行比較,判斷是否是和訪問控制表中相一致的報文。如果不一致,則不進行任何處理,繼續轉發。
如果是訪問控制表中規定的相一致的報文,則根據報文的源地址、源埠到散列表中查找相應的記錄,如果找到了相應的記錄,根據記錄中記錄的源地址、目的地址、源埠、目的埠信息,完成地址轉換。
如果沒有找到對應的記錄,則創建一個新的記錄,如果匹配這個IP報文的訪問控制表裡面定義,允許對這個報文做記錄,則記錄下來這次訪問的目的地址、開始訪問時間等信息。
當連接終止的時候,如果地址轉換記錄表裡面顯示曾經為這個連接做過一次記錄,則記錄下結束時間。
這樣就記錄下該用戶訪問相應地址的開始時間和結束時間,以及用戶的源地址、目的地址等信息。
權利要求
1.一種在數據傳輸過程中對地址轉換用戶的訪問進行記錄的方法,其特徵在於該方法包括以下步驟(1)初始化時,設置記錄報文信息散列表;(2)建立各主機訪問控制表;(3)將包含在接收到的報文中的信息與訪問控制表中報文的相關信息進行比較,若其中有一個信息不同,則不記錄,若所有信息相同,則進行第四步;(4)根據該報文的源埠和目的埠,從散列表中檢索該報文的對應記錄,若檢索到該報文的對應記錄,則完成地址轉換,若檢索不到,則進行第五步;(5)將接收到的報文信息加入到散列表中,同時根據訪問控制表中的是否需要記錄標誌對該報文進行判斷,若為不需記錄,則完成地址轉換,若為必須記錄,則進行第六步;(6)記錄上述接收的報文信息,並完成地址轉換;(7)當上述接收到的報文完成訪問時,記錄訪問結束時間。
2.如權利要求1所述的方法,其特徵在於初始化時設置的散列表,記錄接收報文的源地址、源埠、目的地址、目的埠以及訪問時間。
3.如權利要求1所述的方法,其特徵在於其中的各主機訪問控制表由設備使用者根據設備內部允許訪問的地址情況而制定。
4.如權利要求1所述的方法,其特徵在於其中建立的各主機訪問控制表中,記錄IP報文的源地址、源埠、目的地址、目的埠、協議號以及是否做記錄的標誌信息。
全文摘要
本發明涉及一種在數據傳輸過程中對地址轉換用戶的訪問進行記錄的方法,屬於數據通信技術領域。本方法首先初始化時,設置記錄報文信息散列表,建立各主機訪問控制表,將包含在報文中的信息與訪問控制表中的信息比較,若不同,則不記錄,若所有信息相同,則進一步根據源埠和目的埠從散列表中檢索該報文的對應記錄,完成地址轉換或將接收到的報文信息加入到散列表中,並根據訪問控制表中的是否需要記錄標誌對該報文進行判斷後進行記錄或完成地址轉換,最後當報文完成訪問時,記錄訪問結束時間。本發明的方法,記錄了用戶訪問的網站、開始時間、結束時間等信息,根據這些信息,即可定位網絡故障的原因,並有效地防範用戶對網絡的非法訪問和入侵。
文檔編號H04L29/06GK1474570SQ02130030
公開日2004年2月11日 申請日期2002年8月10日 優先權日2002年8月10日
發明者王寧, 王 寧 申請人:華為技術有限公司