CN101188613A - 一种结合路由和隧道重定向网络攻击的方法 - Google Patents
一种结合路由和隧道重定向网络攻击的方法 Download PDFInfo
- Publication number
- CN101188613A CN101188613A CNA2007101792031A CN200710179203A CN101188613A CN 101188613 A CN101188613 A CN 101188613A CN A2007101792031 A CNA2007101792031 A CN A2007101792031A CN 200710179203 A CN200710179203 A CN 200710179203A CN 101188613 A CN101188613 A CN 101188613A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- gateway
- internal network
- network
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种结合路由和隧道重定向网络攻击的方法,其通过在网关N1与连接蜜罐主机的网关N2之间设置隧道、配置第二张路由表,并标记网络攻击IP包,从而将网络攻击重定向到远端相同子网地址的蜜罐主机上,实现重定向网络攻击。本发明的方法简便易行,快速高效,特别适合在重要网关上临时重定向网络攻击的情况;同时本发明的方法具有风险低,无需担心网络的最小MTU或者IP包分片问题。
Description
技术领域
本发明涉及一种重定向网络攻击的方法,特别是一种通过路由和隧道的配置来改变IP包的流向,将网络攻击重定向到安全蜜罐主机的方法,属于计算机网络安全技术领域。
背景技术
一个内部网络通过一个网关和外部网络(比如internet)相连,一种常有的情形是,一台外部网络主机向一台内部网络的主机发起危险的网络攻击。如果要对该网络攻击进行跟踪和研究,则可以在安全的地方构建另外一个内部网络,并安放一台蜜罐主机于其中,然后设法将危险的网络攻击重定向到蜜罐主机。
假定一个网络拓扑图如图1所示,其中被攻击的主机H1在内部网络中,并通过网关N1连向internet,蜜罐主机H2在另外一个的内部网络中,并通过网关N2连向internet。其中被攻击的内部网络主机H1和蜜罐主机H2有相同的内部网络地址。
当internet上的攻击者A企图攻击内部网络主机H1时,最常见的将网络攻击重定向到蜜罐主机的方法如下:
1、网关N1检测流过的数据流,如果发现从攻击者A到主机H1的IP包,则截住该IP包,并将其打包进一个新IP包,新IP包的源地址是网关N1,目的地址是网关N2,然后将其发送到internet上。
2、网关N2将收到这个来自网关N1的新IP包,然后将其解开,从而得到里面的原始IP包,再发送到内部网络。由于蜜罐主机H2和被攻击主机H1有相同的内部网络地址,故蜜罐主机H2会收到这个原始IP包。
3、蜜罐主机的反馈IP包到达网关N2时,网关N2截住这个IP包,并将其打包入一个新IP包,该新IP包的源地址是网关N2,目的地址是网关N1,然后将其发送到internet上。
4、网关N1将收到这个来自网关N2的新IP包,然后将其解开,从而得到里面的原始IP包,再送入internet,由于该包的目的地址指向攻击者A,故攻击者A会收到这个来自蜜罐主机的反馈IP包。至此,原本攻击者A对内部网络主机H1的网络攻击就被完整地重定向到蜜罐主机H2了,且攻击者A无法感知被重定向。
但是这样的实现也有其不足:
1、两个网关对IP包进行打包和解包以及转发等都需要运行特别设计的第三方软件,这对于重要的网关是个很大的风险;
2、网关流量很大的话,打包和解包会严重降低网关的转发速度;
3、如果原始IP包很大,则打包之后的体积可能大于网络的最小MTU,这涉及到将一个IP包分割为多个IP,操作起来相当麻烦。
总的来说,现有通行的重定向方法需要安装软件,其软件实现并不轻松,且会降低网关的转发速度。
发明内容
本发明的目的是提供一种简便的、随时可以实现的重定向方法,也即充分利用网关操作系统本身的功能模块,而不运行第三方软件的方法。本发明的另一目的是避开大IP包需分片以及打包解包影响转发速度的情况。
本发明要求网关使用普通的linux发行版本,且配置为路由器模式而不是桥模式。本发明所述的重定向方法将组合利用linux操作系统的iptables模块、iproute模块以及隧道模块,进行如下配置:
1、首先配置从内部网络网关(网关N1)到蜜罐系统网关(网关N2)的隧道,这可以使用linux操作系统的任何隧道模块来实现。
2、网关N1本身有根据自身环境配置好的路由表R1,里面有关于网络主机H1的正确路由。我们利用1inux的iproute模块给网关N1再配置一张路由表R2,在该路由表里面我们将通往内部网络主机H1的下一跳设置为前面配置的隧道的入口,而不是R1中正确的路由。
3、在网关N1上利用iptables模块配置IP包过滤和转发规则,使得从internet流向内部网络主机H1的IP包都标记为M,同时配置路由策略规则,要求所有标记为M的IP包都查询前面配置的路由表R2来寻找路由。
4、在网关N2设置路由,使得所有蜜罐主机H2向internet发出的IP包都流向前面配置好的隧道。
5、配置蜜罐主机H2的IP地址,使其和内部网络主机H1一致。
在上述配置下的网络攻击的重定向过程如下:
1、攻击者A向内部网络主机H1发出的IP包首先将到达网关N1,网关N1根据配置的规则检测到该IP包,然后打上标记M。
2、根据配置的路由策略,这个IP包将要查询路由表R2,在R2中所有路由的下一跳都是通往网关N2的隧道入口点,于是这个IP包进入隧道后将到达网关N2.
3、网关N2收到IP包后,由于网关N2后面的蜜罐主机H2的地址和IP包的目的地址一致,故网关N2将此包发送给蜜罐主机H2.以上就完成了攻击者A发出的IP包重定向到蜜罐主机H2的过程。
4、蜜罐主机对攻击做出反应,发送一个IP包给攻击者,这个IP包首先到达网关N2,由于网关N2设置任何路由的下一跳都是通往网关N1的隧道入口,故这个IP包将进入隧道并到达网关N1.
5、IP包到达网关N1之后会查询路由表R1而不是R2,故这个IP包将会被网关N1送入internet并最后到达攻击者A。至此就完成了蜜罐主机H2反馈IP包到达攻击者A的过程。
综合上述分析,本发明采取的技术方案为:
一种结合路由和隧道重定向网络攻击的方法,其步骤为:
1)配置内部网络网关与蜜罐系统网关之间的隧道;
2)在内部网络网关上配置过滤规则,标记所有流向受攻击主机的IP包;
3)在内部网络网关上配置转发规则,使所有被标记的IP包经上述隧道发送到蜜罐系统;
4)设置蜜罐系统网关的路由,将蜜罐系统返回的IP包经上述隧道发送到内部网络网关。
所述隧道为ipip隧道。
所述隧道为gre隧道。
所述隧道为VPN隧道。
所述步骤3)中转发规则的实现方法为:
1)在所述内部网络网关中添加一路由表R2,在其中将下一跳设置为所述隧道的隧道入口:
2)通过配置路由策略,使所述所有被标记的IP包都查询所述路由表R2。
所述内部网络与所述蜜罐系统为物理上和逻辑上分开的网络。
所述蜜罐系统与所述内部网络具有同样的IP地址。
所述攻击方来自外部网络,所述受攻击主机位于所述内部网络。
本发明的技术效果在于:
1、在整个重定向实现过程中,两个网关上只使用了操作系统自带的模块,无需运行任何之外的软件,避开了运行第三方软件的风险;
2、没有打包和解包的过程,对速度无任何影响;
3、没有增大IP包体积,故无需担心网络的最小MTU或者IP包分片问题。
附图说明
图1为重定向网络攻击的外部关系图;
图2为重定向网络攻击的具体实施图。
具体实施方式
下面参照图2,结合实例详细描述本发明。其中图2中网关N1和网关N2都运行常见版本的linux操作系统,且配置为路由器模式而不是桥模式。使用局域网192.168.152.*和192.168.153.*来模拟internet,这不会影响实验的普适性。使用局域网192.168.154.*连接内部网络主机H1,但这个局域网和连接蜜罐主机H2的局域网192.168.154.*是物理上和逻辑上都分开的网络,而且蜜罐系统的IP地址与内部网络的IP地址相同。
具体实施如下:
1、在网关N1上运行如下命令进行设置:
ip tunnel add rd_rt mode ipip remote 192.168.153.4 local 192.168.153.2 ttl 255
ip link set rd_rt up
ip addr add 10.0.2.1 dev rd_rt
ip route add 10.0.4.0/24 dev rd_rt
第一条命令是添加ipip隧道命令,第二条命令使能隧道,第三条命令给隧道在本机的端点一个ip地址,第四条命令添加一个子网的路由,这样就可以找得到10.0.4.1了。
2、在网关N2设置:
ip tunnel add honey_rt mode ipip remote 192.168.153.2 local 192.168.153.4 ttl255
ip link set honey_rt up
ip addr add 10.0.4.1 dev honey_rt
ip route add 10.0.2.0/24 dev honey_rt
各条命令的含义同前面配置网关N1。
3、在网关N1上设置过滤和转发规则:
(1)首先设置iptables规则,将到192.168.154.103的icmp和tcp流标记为100:
iptables-t mangle-A PREROUTING-p icmp-d 192.168.154.103-j MARK--set-mark100
iptables-t mangle-A PREROUTING-p tcp-d 192.168.154.103-j MARK--set-mark100
(2)添加策略规则,即让标记为100的IP包走新路由表100:
ip rule add fwmark 100 table 100
(3)添加新路由表100:
ip route add 0/0via 10.0.4.1 table 100
也就是说所有IP包的下一跳都是隧道的对端。
4、设置网关N2的路由:
ip route add 0/0 via 10.0.2.1
这样从蜜罐主机H2返回的IP包的下一跳将是隧道在网关N1的端点。
此后我们可以从攻击者A的位置向内部网络主机H1发起攻击,然后可以观察到此网络攻击通过网关N1和网关N2之后被传递到了蜜罐主机H2,同时蜜罐主机H2的反馈IP包也通过网关N2和网关N1返回给了攻击者A。
如上所述,本发明通过标记网络攻击IP包、设置隧道、第二张路由表,从而将网络攻击重定向到远端相同子网地址的蜜罐主机上,这使得本重定向简便易行,快速高效,特别适合在重要网关上临时重定向网络攻击的情况。
所述的实施例可以应用在千兆级网关上,试验证明本发明不仅实现了对网络攻击的重定向,而且转发效率基本没有任何损失,圆满地实现了本发明的目的。本发明具有很好的实用性和推广应用前景。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。例如,网关N1除了是三块网卡分别构成三个通道连向internet、内部网络和网关N2外,还可以只有两块网卡,除一块网卡连接内部网络外,另外一块构成一个通道连向internet,通往网关N2的隧道也同时建立于该通道中,而不需第三块网卡。又如,网关N1和网关N2的隧道可以是ipip隧道,也可以是gre隧道,也可以是其他VPN隧道,只要是逻辑上的隧道且可以在路由表上指明为下一跳即可。因此,本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (8)
1.一种结合路由和隧道重定向网络攻击的方法,其步骤为:
1)配置内部网络网关与蜜罐系统网关之间的隧道;
2)在内部网络网关上配置过滤规则,标记所有流向受攻击主机的IP包;
3)在内部网络网关上配置转发规则,使所有被标记的IP包经上述隧道发送到蜜罐系统;
4)设置蜜罐系统网关的路由,将蜜罐系统返回的IP包经上述隧道发送到内部网络网关。
2.如权利要求1所述的方法,其特征在于所述隧道为ipip隧道。
3.如权利要去1所述的方法,其特征在于所述隧道为gre隧道。
4.如权利要求1所述的方法,其特征在于所述隧道为VPN隧道。
5.如权利要求1所述的方法,其特征在于所述步骤3)中转发规则的实现方法为:
1)在所述内部网络网关中添加一路由表R2,在其中将下一跳设置为所述隧道的隧道入口;
2)通过配置路由策略,使所述所有被标记的IP包都查询所述路由表R2。
6.如权利要求1或2或3或4或5所述的方法,其特征在于所述内部网络与所述蜜罐系统为物理上和逻辑上分开的网络。
7.如权利要求6所述的方法,其特征在于所述蜜罐系统与所述内部网络具有同样的IP地址。
8.如权利要求7所述的方法,其特征在于所述攻击方来自外部网络,所述受攻击主机位于所述内部网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101792031A CN101188613A (zh) | 2007-12-11 | 2007-12-11 | 一种结合路由和隧道重定向网络攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101792031A CN101188613A (zh) | 2007-12-11 | 2007-12-11 | 一种结合路由和隧道重定向网络攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101188613A true CN101188613A (zh) | 2008-05-28 |
Family
ID=39480802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101792031A Pending CN101188613A (zh) | 2007-12-11 | 2007-12-11 | 一种结合路由和隧道重定向网络攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101188613A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控系统的自身防护通用单元 |
| CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控系统中的蜜罐装置及工控系统 |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN107306264A (zh) * | 2016-04-25 | 2017-10-31 | 腾讯科技(深圳)有限公司 | 网络安全监控方法和装置 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110995763A (zh) * | 2019-12-26 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
| CN114866513A (zh) * | 2022-04-18 | 2022-08-05 | 北京从云科技有限公司 | 基于隧道技术的域名解析重定向方法和系统 |
| CN117176389A (zh) * | 2023-07-27 | 2023-12-05 | 中电云计算技术有限公司 | 一种安全防御方法、装置、设备及存储介质 |
-
2007
- 2007-12-11 CN CNA2007101792031A patent/CN101188613A/zh active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控系统的自身防护通用单元 |
| CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| CN103051605B (zh) * | 2012-11-21 | 2016-06-29 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控系统中的蜜罐装置及工控系统 |
| CN107306264B (zh) * | 2016-04-25 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 网络安全监控方法和装置 |
| CN107306264A (zh) * | 2016-04-25 | 2017-10-31 | 腾讯科技(深圳)有限公司 | 网络安全监控方法和装置 |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN106302525B (zh) * | 2016-09-27 | 2021-02-02 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110401638B (zh) * | 2019-06-28 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110995763A (zh) * | 2019-12-26 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
| CN110995763B (zh) * | 2019-12-26 | 2022-08-05 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
| CN114866513A (zh) * | 2022-04-18 | 2022-08-05 | 北京从云科技有限公司 | 基于隧道技术的域名解析重定向方法和系统 |
| CN117176389A (zh) * | 2023-07-27 | 2023-12-05 | 中电云计算技术有限公司 | 一种安全防御方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101188613A (zh) | 一种结合路由和隧道重定向网络攻击的方法 | |
| US11374848B2 (en) | Explicit routing with network function encoding | |
| US10701034B2 (en) | Intelligent sorting for N-way secure split tunnel | |
| CN102932377B (zh) | 一种ip报文过滤方法及装置 | |
| US7738457B2 (en) | Method and system for virtual routing using containers | |
| CN106789542B (zh) | 一种云数据中心安全服务链的实现方法 | |
| EP3228054B1 (en) | Inter-domain service function chaining | |
| CN106341404A (zh) | 基于众核处理器的IPSec VPN系统及加解密处理方法 | |
| CN102148727B (zh) | 网络设备性能测试方法及系统 | |
| EP2011316B1 (en) | Virtual inline configuration for a network device | |
| CN107995324A (zh) | 一种基于隧道模式的云防护方法及装置 | |
| CN104521195A (zh) | 在通信网络中创建软件定义有序业务模式的方法和系统 | |
| CN105591768B (zh) | 故障检测方法及装置 | |
| CN108092934A (zh) | 安全服务系统及方法 | |
| CN102739816B (zh) | 在mpls网络内的未编址设备通信 | |
| CN107078957A (zh) | 通信网络中的网络服务功能的链接 | |
| CN106233673A (zh) | 网络服务插入 | |
| WO2005029215A3 (en) | Method of controlling communication between devices in a network and apparatus for the same | |
| CN110430130A (zh) | 确定策略路径的方法及装置 | |
| CN101640645A (zh) | 报文传输方法和系统 | |
| Davoli et al. | Implementation of service function chaining control plane through OpenFlow | |
| CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
| CN106888144B (zh) | 一种报文转发方法及装置 | |
| CN102413124A (zh) | 一种实现网络增强隔离区的方法 | |
| CN101753438B (zh) | 实现通道分离的路由器及其通道分离的传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080528 |