盧文娟

（中國電信股份有限公司河南分公司，鄭州 450016）

1 引言

中國電信河南公司省公司網(wǎng)絡(luò)安全中心（以下簡稱省SOC）人員要把所有IP地址查出歸屬地市，由分地市查找對應(yīng)用戶信息并通知用戶處理。由于數(shù)據(jù)量比較大，對IP地址分歸屬地市的工作就變得比較繁重。本文研究了如何快速IP地址查找歸屬地市的辦法。省公司劃分IP地址時最小的IP地址段為一個C，即同一個C段內(nèi)的IP必為同一地市。因此，從D路由器上查找到全省的IP路由分布，最全最準(zhǔn)確，再把大段IP細(xì)劃分為C段，利用Excel的分列、查找、組合等功能做到快速查到IP歸屬，大大節(jié)約了人力資源。本文將詳述此方法。

2 背景

當(dāng)今，互聯(lián)網(wǎng)的發(fā)展已經(jīng)出乎人們的想象，新技術(shù)、新概念層出不窮，互聯(lián)網(wǎng)實現(xiàn)了人們在信息時代的夢想，同時，網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的網(wǎng)絡(luò)入侵和攻擊越來越頻繁，網(wǎng)絡(luò)應(yīng)用越來越深地滲透到金融、商務(wù)、國防等關(guān)鍵領(lǐng)域。

近年來，網(wǎng)絡(luò)攻擊的記錄正在逐年的成倍增長。同時，攻擊所造成的危害性也逐漸增大。而且隨著各種各樣攻擊工具的出現(xiàn)，攻擊者不需要具備很多的入侵知識就可以實施破壞性的攻擊。

河南電信網(wǎng)絡(luò)安全系統(tǒng)是一個要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會嚴(yán)重地影響工作。所以河南電信公司網(wǎng)絡(luò)安全系統(tǒng)事關(guān)重大，要提到國家戰(zhàn)略的高度來衡量，否則一旦被黑客或者敵國攻入，其代價將是不能想象的。

3 工作內(nèi)容

省SOC每月會收到大量由通信管理局派發(fā)過來的僵木蠕及垃圾郵件處理數(shù)據(jù)，數(shù)據(jù)主要內(nèi)容有事件類型、發(fā)生時間、源IP、目前IP等信息。2013年中國電信河南公司省SOC處理省通信管理局派發(fā)各種數(shù)據(jù)53873例；2014年處理23576例；2015年處理25046例。省SOC主要關(guān)注本省需處理IP，然后派發(fā)地市進(jìn)行處理。省通信管理局初始下發(fā)地址不帶歸屬地市，若整體派發(fā)地市處理，則每個地市都要把所有IP查到一遍，這樣每個IP就會被查找18遍，平均每個IP有17次被查找是做得重復(fù)工作。為了節(jié)約人力成本，查找IP歸屬工作由省SOC來做，這樣雖然總體節(jié)約了大量時間，但是由于數(shù)據(jù)量很大，仍是一項煩瑣的工作。

4 Excel查找IP地址歸屬地

4.1 IP地址的結(jié)構(gòu)及省公司劃分IP地址的方法

IP地址（英語：Internet Protocol Address）是一種在Internet上的給主機編址的方式，也稱為網(wǎng)際協(xié)議地址。常見的IP地址分為IPv4與IPv6兩大類，本文討論的是IPv4。

IPv4地址的結(jié)構(gòu)：網(wǎng)絡(luò)使用32位長度的地址以標(biāo)識一臺計算機和與其相連的網(wǎng)絡(luò)，其格式為：IP地址=網(wǎng)絡(luò)地址+主機地址。當(dāng)子網(wǎng)掩碼為255.255.255.0，即點分式IP地址前三段為網(wǎng)絡(luò)地址時，此網(wǎng)段內(nèi)有一個C的地址，這也是省公司擴容IP地址的最小單位。

4.2 D路由器上查找全省路由

全省163網(wǎng)共部署4臺D路由器，鄭州、洛陽各2臺，所有IP地址分配使用前必須在D路由器發(fā)布BGP路由，這樣流量流向才可以指向正常的下一跳。

全省有約35個B的地址，共有16個大段，利用命令（如：show bgp 1.192.0.0/13）在D路由器上查找全省路由。圖1為查找過程，第一列為小段IP，最后一列對應(yīng)城域網(wǎng)的AS號。

圖1 D路由器查找路由信息

4.3 利用Excel建立模板

將查到的所有大段的路由信息粘貼至Excel表格，以C為單位分成單條數(shù)據(jù)，并以“.”為分列符進(jìn)行分列，并把前三段加點進(jìn)行組合，組成IP地址的前三個段，最后利用Excel的VLOOUP函數(shù)對AS號查找所對應(yīng)的地市城域網(wǎng)。

4.4 制作查找單IP地址歸屬模板

重新找到一個工作表格，在“C段”列對前三列加點進(jìn)行組合，在“歸屬”列對“C段”列進(jìn)行VLOOKUP函數(shù)（=VLOOKUP(G2,完成!F:I,4,0)），從而查到對應(yīng)的歸屬地市。

由圖2可以看出用法，在B列粘貼所有被查找IP，按圖3的方式進(jìn)行分列，分列后自動出現(xiàn)此IP對應(yīng)的城域網(wǎng)地市。

圖2 IP查找歸屬

圖3 IP分列

5 結(jié)語

通信管理局處給中國電信河南公司派發(fā)數(shù)萬僵尸網(wǎng)絡(luò)及蠕蟲病毒數(shù)據(jù)，這些原始數(shù)據(jù)沒有對應(yīng)的歸屬地市。省SOC人員為了快速查找通管局派發(fā)IP的對應(yīng)地市，節(jié)約人力資源，從D路由器上查找到全省的IP路由分布，劃分為C段，利用Excel的分列、查找、組合等功能做到快速查到IP歸屬，并定制成了模板。此模板一次最多可查找65536條數(shù)據(jù)，足夠日常工作使用，大大節(jié)約了人力資源。