[发明专利]IPv6网络中识别虚拟主机的方法和DPI设备

说明书

技术领域

本公开涉及IPv6网络，特别地，涉及一种IPv6网络中识别虚拟主机的方法和DPI（Deep Packet Inspection，深度包检测）设备。

背景技术

虚拟机技术是目前比较流行的主机虚拟化技术，通过该技术可以在一台实体物理主机上模拟出一个虚拟的主机环境，从而实现一台主机上运行多个操作系统的目的。目前常用的虚拟机软件有Vmware、VirtualBox等。

通过虚拟机技术，用户可以在当前使用的主机上模拟一个物理主机环境，并使用这一虚拟主机进行上网。目前在网络中存在各种报文分析的需求，需要网络侧能够识别出终端侧的虚拟机，例如，1拖N的检测。

传统检测虚拟机的方法大致都是通过运行一个检测程序来检测操作系统的CPUID（CPU ID，计算机标识）、IDT（Interrupt Descriptor Table，中断描述符表）表首地址、GDT（Global Descriptor Table，全局描述符表）表首地址是否与物理主机的相关信息一致，如果不一致，则说明检测程序是运行在虚拟主机中。

上述传统的虚拟机检测方法由于需要在终端上运行软件，导致检测有一定的局限性，例如，在一些不能在PC机上安装软件的场景下无法实现检测，而且也比较容易被反检测软件屏蔽。

发明内容

本公开鉴于以上问题中的至少一个提出了新的技术方案。

本公开在其一个方面提供了一种IPv6网络中识别虚拟主机的方法，其在不安装虚拟机检测程序的情况下可以识别出发送报文的主机类型。

本公开在其另一方面提供了一种DPI设备，其在不安装虚拟机检测程序的情况下可以识别出发送报文的主机类型。

根据本公开，提供一种IPv6网络中识别虚拟主机的方法，包括：

接收、复制并转发IPv6报文；

提取所复制的IPv6报文中的报文头；

自报文头中提取发送IPv6报文的源IPv6地址的接口地址；

将接口地址中厂商代码部分与虚拟机虚拟网卡接口地址特征库中的特征值进行匹配；

如果接口地址中厂商代码部分与接口地址特征库中的任一个特征值相同，则确定IPv6报文由虚拟主机发出，否则，确定IPv6报文由物理主机发出。

在本公开的一些实施例中，源IPv6地址的接口地址与相应主机的网卡的MAC地址相关。

在本公开的一些实施例中，相应主机为虚拟主机或物理主机。

在本公开的一些实施例中，虚拟主机和物理主机的MAC地址中均带有厂商代码。

在本公开的一些实施例中，虚拟机虚拟网卡接口地址特征库中的特征值为各类虚拟机的厂商代码。

根据本公开，还提供了一种DPI设备，包括：

报文处理单元，用于接收、复制并转发IPv6报文；

报文头提取单元，用于提取所复制的IPv6报文中的报文头；

接口地址提取单元，用于自报文头中提取发送IPv6报文的源IPv6地址的接口地址；

接口地址匹配单元，用于将接口地址中厂商代码部分与虚拟机虚拟网卡接口地址特征库中的特征值进行匹配；

主机类型确定单元，用于如果接口地址中厂商代码部分与接口地址特征库中的任一个特征值相同，则确定IPv6报文由虚拟主机发出，否则，确定IPv6报文由物理主机发出。

在本公开的一些实施例中，源IPv6地址的接口地址与相应主机的网卡的MAC地址相关。

在本公开的一些实施例中，相应主机为虚拟主机或物理主机。

在本公开的一些实施例中，虚拟主机和物理主机的MAC地址中均带有厂商代码。

在本公开的一些实施例中，虚拟机虚拟网卡接口地址特征库中的特征值为各类虚拟机的厂商代码。

在本公开的技术方案中，DPI设备对主机发出的IPv6报文进行了复制，进而可以对该报文做进一步的分析，在分析时可以根据报文头中的源IPv6地址的接口地址来判断该报文是由虚拟主机发出的还是由物理主机发出的。由于虚拟主机的接口地址是通过EUI-64算法生成的，而该算法又依赖于虚拟主机网卡的MAC地址，MAC地址中又包含有虚拟网卡的厂商代码，因此，可以通过逐级分析得到厂商代码信息，从而可以判断出报文是来自虚拟主机还是来自物理主机。

附图说明

此处所说明的附图用来提供对本公开的进一步理解，构成本申请的一部分。在附图中：

图1是本公开通过IPv6网络侧部署的DPI设备检测虚拟机的原理示意图。