卢文娟

（中国电信股份有限公司河南分公司，郑州 450016）

1 引言

中国电信河南公司省公司网络安全中心（以下简称省SOC）人员要把所有IP地址查出归属地市，由分地市查找对应用户信息并通知用户处理。由于数据量比较大，对IP地址分归属地市的工作就变得比较繁重。本文研究了如何快速IP地址查找归属地市的办法。省公司划分IP地址时最小的IP地址段为一个C，即同一个C段内的IP必为同一地市。因此，从D路由器上查找到全省的IP路由分布，最全最准确，再把大段IP细划分为C段，利用Excel的分列、查找、组合等功能做到快速查到IP归属，大大节约了人力资源。本文将详述此方法。

2 背景

当今，互联网的发展已经出乎人们的想象，新技术、新概念层出不穷，互联网实现了人们在信息时代的梦想，同时，网络用户成分越来越多样化，出于各种目的网络入侵和攻击越来越频繁，网络应用越来越深地渗透到金融、商务、国防等关键领域。

近年来，网络攻击的记录正在逐年的成倍增长。同时，攻击所造成的危害性也逐渐增大。而且随着各种各样攻击工具的出现，攻击者不需要具备很多的入侵知识就可以实施破坏性的攻击。

河南电信网络安全系统是一个要求高可靠性和安全性的网络系统，若干重要的信息在网络传输过程中不可泄露，如果数据被黑客修改或者删除，那么就会严重地影响工作。所以河南电信公司网络安全系统事关重大，要提到国家战略的高度来衡量，否则一旦被黑客或者敌国攻入，其代价将是不能想象的。

3 工作内容

省SOC每月会收到大量由通信管理局派发过来的僵木蠕及垃圾邮件处理数据，数据主要内容有事件类型、发生时间、源IP、目前IP等信息。2013年中国电信河南公司省SOC处理省通信管理局派发各种数据53873例；2014年处理23576例；2015年处理25046例。省SOC主要关注本省需处理IP，然后派发地市进行处理。省通信管理局初始下发地址不带归属地市，若整体派发地市处理，则每个地市都要把所有IP查到一遍，这样每个IP就会被查找18遍，平均每个IP有17次被查找是做得重复工作。为了节约人力成本，查找IP归属工作由省SOC来做，这样虽然总体节约了大量时间，但是由于数据量很大，仍是一项烦琐的工作。

4 Excel查找IP地址归属地

4.1 IP地址的结构及省公司划分IP地址的方法

IP地址（英语：Internet Protocol Address）是一种在Internet上的给主机编址的方式，也称为网际协议地址。常见的IP地址分为IPv4与IPv6两大类，本文讨论的是IPv4。

IPv4地址的结构：网络使用32位长度的地址以标识一台计算机和与其相连的网络，其格式为：IP地址=网络地址+主机地址。当子网掩码为255.255.255.0，即点分式IP地址前三段为网络地址时，此网段内有一个C的地址，这也是省公司扩容IP地址的最小单位。

4.2 D路由器上查找全省路由

全省163网共部署4台D路由器，郑州、洛阳各2台，所有IP地址分配使用前必须在D路由器发布BGP路由，这样流量流向才可以指向正常的下一跳。

全省有约35个B的地址，共有16个大段，利用命令（如：show bgp 1.192.0.0/13）在D路由器上查找全省路由。图1为查找过程，第一列为小段IP，最后一列对应城域网的AS号。

图1 D路由器查找路由信息

4.3 利用Excel建立模板

将查到的所有大段的路由信息粘贴至Excel表格，以C为单位分成单条数据，并以“.”为分列符进行分列，并把前三段加点进行组合，组成IP地址的前三个段，最后利用Excel的VLOOUP函数对AS号查找所对应的地市城域网。

4.4 制作查找单IP地址归属模板

重新找到一个工作表格，在“C段”列对前三列加点进行组合，在“归属”列对“C段”列进行VLOOKUP函数（=VLOOKUP(G2,完成!F:I,4,0)），从而查到对应的归属地市。

由图2可以看出用法，在B列粘贴所有被查找IP，按图3的方式进行分列，分列后自动出现此IP对应的城域网地市。

图2 IP查找归属

图3 IP分列

5 结语

通信管理局处给中国电信河南公司派发数万僵尸网络及蠕虫病毒数据，这些原始数据没有对应的归属地市。省SOC人员为了快速查找通管局派发IP的对应地市，节约人力资源，从D路由器上查找到全省的IP路由分布，划分为C段，利用Excel的分列、查找、组合等功能做到快速查到IP归属，并定制成了模板。此模板一次最多可查找65536条数据，足够日常工作使用，大大节约了人力资源。