[发明专利]云网络逃逸事件扫描方法、装置及计算机可读存储介质

说明书

本申请提供了一种云网络逃逸事件方法、装置、设备及存储介质；该方法包括：响应于云网络逃逸事件的扫描发起方的扫描请求，对待检测云平台进行网络虚拟化协议遍历处理，以确定云平台使用的云计算网络虚拟化协议的类型；获取云平台在云计算网络虚拟化协议运行下的租户标识字段以及租户标识对应的遍历取值范围；在该遍历取值范围内对租户标识进行遍历处理，利用租户标识的值进行云平台底层网络数据包封装及覆盖网络数据包封装处理，得到并发送封装处理后的扫描数据包；监测扫描发起方的响应报文接收情况或各扫描数据包接收方的扫描报文接收情况，以判断云平台的云网络是否存在网络逃逸。该方法能发现云平台底层潜在的网络逃逸问题，提高网络安全性。

技术领域

本申请涉及计算机网络领域，尤其涉及一种云网络逃逸事件扫描方法、装置、设备及计算机可读存储介质。

背景技术

租户网络逃逸问题涉及租户平面和云平台底层，如若存在此类漏洞和问题，恶意或者非法的租户可以利用该漏洞突破云计算租户网络本身的限制，非授权地访问其他租户的网络乃至是云平台底层网络，并进一步实施攻击，为其他租户和云平台的网络安全带来严重影响。因此，及时地发现云平台中的租户网络逃逸问题是保证租户网络安全的重要前提。相关技术中，可以通过网络扫描来发现网络中存在的网络逃逸事件，从而发现网络中的漏洞和问题。

上述相关技术中采用的网络扫描方案仅针对传统网络，可以发现传统网络中的网络逃逸问题。但是，由于传统网络与云平台网络在架构上的区别，若仍采用相关技术中的网络扫描方案，对云平台中的租户网络逃逸问题进行扫描，会导致云平台底层可能存在的网络逃逸问题无法被发现，从而影响云平台租户的网络安全性。

发明内容

本申请实施例提供一种云网络逃逸事件扫描方法、装置、设备及计算机可读存储介质，能够在进行云网络逃逸事件扫描时，触发云平台底层网络层的报文处理流程和处理规则，并能够通过监测每一扫描数据包的响应报文或扫描报文接收情况，自动发现云平台底层可能存在的网络逃逸问题，进而可以有效提升云平台网络逃逸问题的发现率，提高网络安全性。

本申请实施例的技术方案是这样实现的：

本申请实施例提供一种云网络逃逸事件扫描方法，包括：

响应于所述云网络逃逸事件的扫描发起方的扫描请求，对提供云计算网络服务的待检测云平台进行网络虚拟化协议遍历处理，以确定所述云平台所使用的云计算网络虚拟化协议的类型；

获取所述云平台在所述云计算网络虚拟化协议运行下的租户标识字段，并根据所述租户标识字段确定所述云平台的租户标识对应的遍历取值范围，其中，不同类型的云计算网络虚拟化协议对应不同的租户标识字段；

根据所述租户标识对应的遍历取值范围对所述租户标识进行遍历处理，针对遍历过程中访问的每一租户标识的值，利用所述租户标识的值进行云平台底层网络数据包封装及覆盖网络数据包封装处理，得到并发送封装处理后的扫描数据包；

监测所述扫描发起方的响应报文接收情况或所述云平台中各扫描数据包接收方的扫描报文接收情况，以判断并输出所述云平台的云计算网络是否存在网络逃逸事件的扫描结果。

在一些实施例中，所述利用所述租户标识的值进行云平台底层网络数据包封装及覆盖网络数据包封装处理，得到并发送封装处理后的扫描数据包，包括：根据云平台底层网络的私有网际互联协议IP地址范围对底层网络的源IP地址和目的IP地址进行遍历处理，针对遍历过程中访问的每一组源IP地址值和目的IP地址值，利用所述源IP地址值、所述目的IP地址值和所述租户标识的值，进行云平台底层网络数据包封装及覆盖网络数据包封装处理，得到并发送封装处理后的扫描数据包。