[发明专利]云网络逃逸事件扫描方法、装置及计算机可读存储介质

权利要求书

1.一种云网络逃逸事件扫描方法，其特征在于，包括：

响应于所述云网络逃逸事件的扫描发起方的扫描请求，对提供云计算网络服务的待检测云平台进行网络虚拟化协议遍历处理，以确定所述云平台所使用的云计算网络虚拟化协议的类型；

获取所述云平台在所述云计算网络虚拟化协议运行下的租户标识字段，并根据所述租户标识字段确定所述云平台的租户标识对应的遍历取值范围，其中，不同类型的云计算网络虚拟化协议对应不同的租户标识字段；

根据所述租户标识对应的遍历取值范围对所述租户标识进行遍历处理，针对遍历过程中访问的每一租户标识的值，利用所述租户标识的值进行云平台底层网络数据包封装及覆盖网络数据包封装处理，得到并发送封装处理后的扫描数据包；

监测所述扫描发起方的响应报文接收情况或所述云平台中各扫描数据包接收方的扫描数据包接收情况，以判断所述云平台的云计算网络是否存在网络逃逸事件，并输出所述云平台的云计算网络是否存在网络逃逸事件的扫描结果。

2.根据权利要求1所述的方法，其特征在于，所述利用所述租户标识的值进行云平台底层网络数据包封装及覆盖网络数据包封装处理，得到并发送封装处理后的扫描数据包，包括：

根据云平台底层网络的私有网际互联协议IP地址范围对底层网络的源IP地址和目的IP地址进行遍历处理，针对遍历过程中访问的每一组源IP地址值和目的IP地址值，利用所述源IP地址值、所述目的IP地址值和所述租户标识的值，进行云平台底层网络数据包封装及覆盖网络数据包封装处理，得到并发送封装处理后的扫描数据包。

3.根据权利要求2所述的方法，其特征在于，所述利用所述源IP地址值、所述目的IP地址值和所述租户标识的值，进行云平台底层网络数据包封装及覆盖网络数据包封装处理，得到并发送封装处理后的扫描数据包，包括：

利用所述源IP地址值和目的IP地址值进行底层网络数据包封装，得到底层网络数据包；

确定所述扫描发起方的虚拟机的IP地址值和所述租户标识的值对应的扫描数据包接收方的虚拟机的IP地址值；

利用所述租户标识的值、所述扫描发起方的虚拟机的IP地址值和所述扫描数据包接收方的虚拟机的IP地址值，为所述底层网络数据包封装覆盖网络层的报文头，得到封装处理后的扫描数据包；

发送所述扫描数据包。

4.根据权利要求2所述的方法，其特征在于，所述根据云平台底层网络的私有网际互联协议IP地址范围对底层网络的源IP地址和目的IP地址进行遍历处理，包括：

从云平台底层网络的私有IP地址范围中，确定待扫描网段；

依次遍历所述待扫描网段中任意两个不同IP地址值，得到底层网络的源IP地址值和目的IP地址值。

5.根据权利要求1至4任一所述的方法，其特征在于，所述获取所述云平台在所述云计算网络虚拟化协议运行下的租户标识字段，包括：

在所述云计算网络虚拟化协议为虚拟扩展局域网VXLAN协议的情况下，获取VXLAN协议的报文格式中的VXLAN网络标识符VNI字段，作为所述云平台在所述VXLAN协议运行下的租户标识字段；

或者，在所述云计算网络虚拟化协议为通用路由封装NVGRE协议的情况下，获取NVGRE协议的报文格式中表征虚拟网络标识的Key字段，作为所述云平台在所述NVGRE协议运行下的租户标识字段。

6.根据权利要求1至4任一所述的方法，其特征在于，所述监测所述扫描发起方的响应报文接收情况或所述云平台中各扫描数据包接收方的扫描数据包接收情况，以判断所述云平台的云计算网络是否存在网络逃逸事件，并输出所述云平台的云计算网络是否存在网络逃逸事件的扫描结果，包括：

在监测到所述扫描发起方接收到针对任一所述扫描数据包的响应报文或所述云平台中任一扫描数据包接收方接收到扫描数据包的情况下，确定所述云平台的云计算网络存在网络逃逸事件；

输出表征所述云平台的云计算网络存在网络逃逸事件的扫描结果。