CN104219241A - 一种适用于虚拟机的arp攻击双向防护方法 - Google Patents
一种适用于虚拟机的arp攻击双向防护方法 Download PDFInfo
- Publication number
- CN104219241A CN104219241A CN201410448529.XA CN201410448529A CN104219241A CN 104219241 A CN104219241 A CN 104219241A CN 201410448529 A CN201410448529 A CN 201410448529A CN 104219241 A CN104219241 A CN 104219241A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- arp
- mapping relations
- attack
- outside
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及云计算领域,特别是指一种适用于虚拟机的ARP攻击双向防护方法。本发明首先在宿主物理机上安装网络数据包过滤工具,然后在网络数据包过滤工具上建立虚拟网络所有网关的IP地址到MAC地址之间的映射关系;接着虚拟机创建时,在网络数据包过滤工具上建立NAT链表;虚拟机创建后,在网络数据包过滤工具上建立虚拟机的MAC地址与IP地址之间的映射关系;最后在虚拟机的NAT链表中加入子链表,并在子链表上加入虚拟机MAC地址与IP地址之间的映射关系。本发明实现了ARP攻击双向防护只需要在宿主机上执行,虚拟机内部无需再安装ARP防火墙软件;提供一个节省资源、灵活方便的虚拟机ARP攻击双向防护的方法。
Description
技术领域
本发明涉及云计算领域,特别是指一种适用于虚拟机的ARP攻击双向防护方法。
背景技术
在云计算环境下,由于虚拟机被广泛使用,普遍具有网络连接的虚拟机又使得网络中主机的数量急剧增长,同时,虚拟机采用的虚拟网卡在物理地址设置方面不可控的特性又使得网络冲突比以往变得更加频繁,因此,ARP(AddressResolution Protocol,地址解析协议)攻击将会是云计算环境下虚拟机安全面临的重要威胁之一,目前在虚拟机上采取的ARP攻击防护手段都是基于物理机ARP防护的,一般有如下:
一是在虚拟机中安装ARP防火墙软件之类的网络数据包过滤工具,如Windows系统下的360ARP防火墙;
二是在云计算系统的外部部署硬件防火墙,对外来的ARP攻击进行防护。
上述方法存在以下弊端:
1、防护手段不全面,没有充分考虑云计算环境下的特殊性,对处于同一台物理机下的虚拟机之间的相互攻击不能进行检测和防护;
2、不能减缓攻击对内网网络环境的影响,若攻击源在内网,上述方法只能对攻击数据包进行检测和隔绝,而不能彻底丢弃攻击数据包,攻击源还是会占用内网的带宽,在攻击频繁的时候还会造成内网拥堵,进而影响到整个云平台的业务正常运行。
发明内容
本发明解决的技术问题在于提供一种适用虚拟机ARP攻击的双向防护方法,解决传统方法存在的浪费资源等不足,提供一个节省物理资源、灵活方便虚拟机ARP防火墙的解决方案。
本发明解决上述技术问题的技术方案是:
包括如下步骤:
步骤1:在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包;
步骤2:在网络数据包过滤工具上建立虚拟网络所有网关的IP地址到MAC地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的网关;
步骤3:虚拟机创建时,在网络数据包过滤工具上建立NAT链表;
步骤4:虚拟机创建后,在网络数据包过滤工具上建立虚拟机的MAC地址与IP地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的MAC地址,影响虚拟机与外部的通信;
步骤5:在虚拟机的NAT链表中加入子链表,并在子链表上加入虚拟机MAC地址与IP地址之间的映射关系,只允许具有正确映射关系的数据包发送到宿主机外部。
所述的网络数据包过滤工具可以是Linux下的ebtables。
所述的修改虚拟机IP时,相应的更新虚拟机子链表的规则;
所述的子链表规则,在删除虚拟机时,同时删除规则,避免出现冗余。
本发明的方法不需要在虚拟机上安装任何的附加软件,对原有系统无任何的侵入性,免去了原有系统内部安装ARP防火墙的工作,节省了系统内部资源消耗,大大节省了用户的便利性。本发明的方法是一种双向防护的方法,对虚拟机内外的ARP工具都能进行防护,能全面应对ARP攻击的威胁,对于云平台管理员来说,大大节省了平台管理员的网络维护成本,为ARP攻击防护,提供了有效的防御措施。本发明的方法从源头过滤ARP攻击数据包,避免攻击对网络带宽的占用,改善内网的网络环境,尤其是对安全意识薄弱的用户,避免了云平台中个别虚拟机用户由于使用不当导致虚拟机向外部发送攻击,而导致云平台网络瘫痪问题。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图;
图2为本发明的模型架构图。
具体实施方式
本发明的实施方式有多种,这里以Linux下的ebtables为例说明其中一种实现方法,流程图如图1所示,具体实施过程如下:
1、在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包。
#yum install ebtables.x86_64 -y
2、在网络数据包过滤工具上建立虚拟网络所有网关的IP地址到MAC地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的网关,执行命令如下:
假如节点1的虚拟机的网关为FE:54:00:66:77:77,ip为10.10.10.1,那么在节点1输入以下命令
参数解释
--arp-ip-src 10.10.10.1#网关ip地址
--arp-mac-src!FE:54:00:66:77:77#网关mac地址
--log-arp--log-prefix ARP-Attack#这个攻击时触发日志打印,用于提示攻击
3、虚拟机创建时,在网络数据包过滤工具上建立NAT(Network AddressTranslation,网络地址转换)链表,虚拟机创建后,在网络数据包过滤工具上建立虚拟机的MAC地址与IP地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的MAC地址,影响虚拟机与外部的通信,执行命令如下:
#ebtables-A FORWARD-p ARP--arp-ip-src自定义ip
--arp-mac-src!自定义mac地址--log-arp--log-prefix
ARP-Attack-j DROP
4、在虚拟机的NAT链表中加入子链表,并在子链表上加入虚拟机MAC地址与IP地址之间的映射关系,只允许具有正确映射关系的数据包发送到宿主机外部。执行如下命令:
创建子链表
#ebtables-t nat-N I-vnet0-arp-mac
#ebtables-t nat-N I-vnet0-arp-ip
相应添加规则,假如虚拟机分配的ip为10.10.10.4,mac地址为FE:54:00:66:66:66
关闭虚拟机时删除规则
Claims (3)
1.一种适用于虚拟机的ARP攻击双向防护方法,其特征在于:
包括如下步骤:
步骤1:在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包;
步骤2:在网络数据包过滤工具上建立虚拟网络所有网关的IP地址到MAC地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的网关;
步骤3:虚拟机创建时,在网络数据包过滤工具上建立NAT链表;
步骤4:虚拟机创建后,在网络数据包过滤工具上建立虚拟机的MAC地址与IP地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的MAC地址,影响虚拟机与外部的通信;
步骤5:在虚拟机的NAT链表中加入子链表,并在子链表上加入虚拟机MAC地址与IP地址之间的映射关系,只允许具有正确映射关系的数据包发送到宿主机外部。
2.根据权利要求1所述的适用于虚拟机的ARP攻击双向防护方法,其特征在于:所述的网络数据包过滤工具可以是Linux下的ebtables。
3.根据权利要求1或2所述的适用于虚拟机的ARP攻击双向防护方法,其特征在于:所述的修改虚拟机IP时,相应的更新虚拟机子链表的规则;
所述的子链表规则,在删除虚拟机时,同时删除规则,避免出现冗余。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410448529.XA CN104219241A (zh) | 2014-09-04 | 2014-09-04 | 一种适用于虚拟机的arp攻击双向防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410448529.XA CN104219241A (zh) | 2014-09-04 | 2014-09-04 | 一种适用于虚拟机的arp攻击双向防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104219241A true CN104219241A (zh) | 2014-12-17 |
Family
ID=52100375
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410448529.XA Pending CN104219241A (zh) | 2014-09-04 | 2014-09-04 | 一种适用于虚拟机的arp攻击双向防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104219241A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105281952A (zh) * | 2015-10-14 | 2016-01-27 | 浪潮电子信息产业股份有限公司 | 一种Linux系统下防止误删管理节点系统的方法 |
CN105488086A (zh) * | 2014-12-31 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 虚拟化环境下的日志记录方法与系统 |
CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
CN107484037A (zh) * | 2017-09-22 | 2017-12-15 | 上海斐讯数据通信技术有限公司 | 一种实现无线接入设备控制视频流的方法及系统 |
CN107959613A (zh) * | 2016-10-18 | 2018-04-24 | 华为技术有限公司 | 报文转发方法及装置 |
CN109413001A (zh) * | 2017-08-15 | 2019-03-01 | 东软集团股份有限公司 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
CN110912928A (zh) * | 2019-12-11 | 2020-03-24 | 百度在线网络技术(北京)有限公司 | 一种防火墙实现方法、装置以及电子设备 |
CN112769829A (zh) * | 2021-01-11 | 2021-05-07 | 科大讯飞股份有限公司 | 云物理机的部署方法、相关设备及可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030043853A1 (en) * | 2001-08-15 | 2003-03-06 | Ronald P. Doyle | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
CN101378385A (zh) * | 2007-08-27 | 2009-03-04 | 上海市闵行中学 | 局域网避免受到地址解析协议欺骗攻击的办法 |
CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
CN103595826A (zh) * | 2013-11-01 | 2014-02-19 | 国云科技股份有限公司 | 一种防止虚拟机ip和mac伪造的方法 |
-
2014
- 2014-09-04 CN CN201410448529.XA patent/CN104219241A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030043853A1 (en) * | 2001-08-15 | 2003-03-06 | Ronald P. Doyle | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
CN101378385A (zh) * | 2007-08-27 | 2009-03-04 | 上海市闵行中学 | 局域网避免受到地址解析协议欺骗攻击的办法 |
CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
CN103595826A (zh) * | 2013-11-01 | 2014-02-19 | 国云科技股份有限公司 | 一种防止虚拟机ip和mac伪造的方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105488086A (zh) * | 2014-12-31 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 虚拟化环境下的日志记录方法与系统 |
CN105281952A (zh) * | 2015-10-14 | 2016-01-27 | 浪潮电子信息产业股份有限公司 | 一种Linux系统下防止误删管理节点系统的方法 |
CN107959613A (zh) * | 2016-10-18 | 2018-04-24 | 华为技术有限公司 | 报文转发方法及装置 |
CN107959613B (zh) * | 2016-10-18 | 2020-06-02 | 华为技术有限公司 | 报文转发方法及装置 |
CN109413001A (zh) * | 2017-08-15 | 2019-03-01 | 东软集团股份有限公司 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
CN109413001B (zh) * | 2017-08-15 | 2021-06-22 | 东软集团股份有限公司 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
CN107484037A (zh) * | 2017-09-22 | 2017-12-15 | 上海斐讯数据通信技术有限公司 | 一种实现无线接入设备控制视频流的方法及系统 |
CN110912928A (zh) * | 2019-12-11 | 2020-03-24 | 百度在线网络技术(北京)有限公司 | 一种防火墙实现方法、装置以及电子设备 |
CN110912928B (zh) * | 2019-12-11 | 2022-01-28 | 百度在线网络技术(北京)有限公司 | 一种防火墙实现方法、装置以及电子设备 |
CN112769829A (zh) * | 2021-01-11 | 2021-05-07 | 科大讯飞股份有限公司 | 云物理机的部署方法、相关设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104219241A (zh) | 一种适用于虚拟机的arp攻击双向防护方法 | |
EP3465517B1 (en) | Hardware-based virtualized security isolation | |
US9705930B2 (en) | Method and system for using virtual tunnel end-point registration and virtual network identifiers to manage virtual extensible local area network access | |
US7885257B2 (en) | Multiple virtual network stack instances using virtual network interface cards | |
JP6306779B2 (ja) | プロセス制御システム用のファイアウォールを提供するための方法、機器、および記憶媒体 | |
US9148402B2 (en) | Systems, methods, and apparatus for full-cone and address restricted cone network address translation using hardware acceleration | |
CN107995324A (zh) | 一种基于隧道模式的云防护方法及装置 | |
CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
JP2013532438A5 (zh) | ||
CN103812704A (zh) | 一种面向虚拟机的公网ip动态管理方法 | |
CN104468775A (zh) | 一种适用于云计算的分布式路由器实现方法 | |
US20120011263A1 (en) | Using A Virtual Network Interface To Obtain Access To Resources | |
US20120311185A1 (en) | Data transmission based on address translation | |
WO2015074182A1 (zh) | 一种基于流表的表项寻址方法、交换机及控制器 | |
CN105490931A (zh) | 基于fpga的多功能物联网网关设备 | |
CN104023011B (zh) | 一种适用于虚拟机的网络防火墙的实现方法 | |
CN104270464A (zh) | 一种云计算虚拟化网络架构及优化方法 | |
CN104407913A (zh) | 一种单网卡虚拟机实现双线接入的方法 | |
CN104468568A (zh) | 一种虚拟机安全隔离方法 | |
WO2007138068A1 (en) | A type of management method and device for network equipment | |
CN104702591A (zh) | 一种基于端口转发复用技术穿透防火墙的方法和系统 | |
EP3011708B1 (en) | System for the routing of data to computer networks | |
US10728171B2 (en) | Governing bare metal guests | |
CN104580545B (zh) | 一种基于地址监听的虚拟机ip管理方法 | |
CN103118115B (zh) | 面向云计算用户的虚拟机管理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141217 |