批量IP地址查找歸屬地的優化

盧文娟

【摘 要】隨著互聯網業務的發展，黑色產業也越發的壯大，網絡攻擊次數成倍增長，通信管理局每月給中國電信河南公司派發大量僵尸網絡及蠕蟲病毒數據，這些原始數據沒有對應的歸屬地市，逐個查詢將耗費大量時間和精力。論文介紹了如何從路由設備上取得準確IP信息，并利用Excel軟件制作簡單有效且容易編輯的快速查詢IP地址歸屬的工具。

【Abstract】With the development of internet business， the black industry also grows stronger and the number of network attacks increases exponentially. Ofcom distributes a large amount of botnet and worm virus data to China Telecom Henan Company every month. These original data have no corresponding home city， and it will take a lot of time and energy to search them one by one. This paper introduces how to obtain accurate IP information from routing equipment， and use Excel software to make a query tool which is simple， effective and easy to edit the IP address attribution rapidly.

【關鍵詞】IP地址；歸屬地；蠕蟲病毒

【Keywords】IP address； home location； worm virus

【中圖分類號】TN914.41 【文獻標志碼】A 【文章編號】1673-1069（2019）03-0178-02

1 引言

中國電信河南公司省公司網絡安全中心（以下簡稱省SOC）人員要把所有IP地址查出歸屬地市，由分地市查找對應用戶信息并通知用戶處理。由于數據量比較大，對IP地址分歸屬地市的工作就變得比較繁重。本文研究了如何快速IP地址查找歸屬地市的辦法。省公司劃分IP地址時最小的IP地址段為一個C，即同一個C段內的IP必為同一地市。因此，從D路由器上查找到全省的IP路由分布，最全最準確，再把大段IP細劃分為C段，利用Excel的分列、查找、組合等功能做到快速查到IP歸屬，大大節約了人力資源。本文將詳述此方法。

2 背景

當今，互聯網的發展已經出乎人們的想象，新技術、新概念層出不窮，互聯網實現了人們在信息時代的夢想，同時，網絡用戶成分越來越多樣化，出于各種目的網絡入侵和攻擊越來越頻繁，網絡應用越來越深地滲透到金融、商務、國防等關鍵領域。

近年來，網絡攻擊的記錄正在逐年的成倍增長。同時，攻擊所造成的危害性也逐漸增大。而且隨著各種各樣攻擊工具的出現，攻擊者不需要具備很多的入侵知識就可以實施破壞性的攻擊。

河南電信網絡安全系統是一個要求高可靠性和安全性的網絡系統，若干重要的信息在網絡傳輸過程中不可泄露，如果數據被黑客修改或者刪除，那么就會嚴重地影響工作。所以河南電信公司網絡安全系統事關重大，要提到國家戰略的高度來衡量，否則一旦被黑客或者敵國攻入，其代價將是不能想象的。

3 工作內容

省SOC每月會收到大量由通信管理局派發過來的僵木蠕及垃圾郵件處理數據，數據主要內容有事件類型、發生時間、源IP、目前IP等信息。2013年中國電信河南公司省SOC處理省通信管理局派發各種數據53873例；2014年處理23576例；2015年處理25046例。省SOC主要關注本省需處理IP，然后派發地市進行處理。省通信管理局初始下發地址不帶歸屬地市，若整體派發地市處理，則每個地市都要把所有IP查到一遍，這樣每個IP就會被查找18遍，平均每個IP有17次被查找是做得重復工作。為了節約人力成本，查找IP歸屬工作由省SOC來做，這樣雖然總體節約了大量時間，但是由于數據量很大，仍是一項煩瑣的工作。

4 Excel查找IP地址歸屬地

4.1 IP地址的結構及省公司劃分IP地址的方法

IP地址（英語：Internet Protocol Address）是一種在Internet上的給主機編址的方式，也稱為網際協議地址。常見的IP地址分為IPv4與IPv6兩大類，本文討論的是IPv4。

IPv4地址的結構：網絡使用32位長度的地址以標識一臺計算機和與其相連的網絡，其格式為：IP地址=網絡地址+主機地址。當子網掩碼為255.255.255.0，即點分式IP地址前三段為網絡地址時，此網段內有一個C的地址，這也是省公司擴容IP地址的最小單位。

4.2 D路由器上查找全省路由

全省163網共部署4臺D路由器，鄭州、洛陽各2臺，所有IP地址分配使用前必須在D路由器發布BGP路由，這樣流量流向才可以指向正常的下一跳。

全省有約35個B的地址，共有16個大段，利用命令（如：show bgp 1.192.0.0/13）在D路由器上查找全省路由。圖1為查找過程，第一列為小段IP，最后一列對應城域網的AS號。

4.3 利用Excel建立模板

將查到的所有大段的路由信息粘貼至Excel表格，以C為單位分成單條數據，并以“.”為分列符進行分列，并把前三段加點進行組合，組成IP地址的前三個段，最后利用Excel的VLOOUP函數對AS號查找所對應的地市城域網。

4.4 制作查找單IP地址歸屬模板

重新找到一個工作表格，在“C段”列對前三列加點進行組合，在“歸屬”列對“C段”列進行VLOOKUP函數（=VLOOKUP（G2，完成！F：I，4，0）），從而查到對應的歸屬地市。

由圖2可以看出用法，在B列粘貼所有被查找IP，按圖3的方式進行分列，分列后自動出現此IP對應的城域網地市。

5 結語

通信管理局處給中國電信河南公司派發數萬僵尸網絡及蠕蟲病毒數據，這些原始數據沒有對應的歸屬地市。省SOC人員為了快速查找通管局派發IP的對應地市，節約人力資源，從D路由器上查找到全省的IP路由分布，劃分為C段，利用Excel的分列、查找、組合等功能做到快速查到IP歸屬，并定制成了模板。此模板一次最多可查找65536條數據，足夠日常工作使用，大大節約了人力資源。