CN111698221B - 消息处理方法、词条、装置、存储介质及处理器 - Google Patents

消息处理方法、词条、装置、存储介质及处理器 Download PDF

Info

Publication number
CN111698221B
CN111698221B CN202010432823.7A CN202010432823A CN111698221B CN 111698221 B CN111698221 B CN 111698221B CN 202010432823 A CN202010432823 A CN 202010432823A CN 111698221 B CN111698221 B CN 111698221B
Authority
CN
China
Prior art keywords
target
address
host
switch
virtual host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010432823.7A
Other languages
English (en)
Other versions
CN111698221A (zh
Inventor
贺雪峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Ji'an Jinxin Information Technology Co ltd
Original Assignee
Beijing Ji'an Jinxin Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Ji'an Jinxin Information Technology Co ltd filed Critical Beijing Ji'an Jinxin Information Technology Co ltd
Priority to CN202010432823.7A priority Critical patent/CN111698221B/zh
Publication of CN111698221A publication Critical patent/CN111698221A/zh
Application granted granted Critical
Publication of CN111698221B publication Critical patent/CN111698221B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种消息处理方法、词条、装置、存储介质及处理器。该方法包括:通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址;判断目的地址是否为目标虚拟主机的地址;在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为。通过本申请,解决了相关技术中采用网络设备防御入侵者的攻击行为的难度大、成本高的问题。

Description

消息处理方法、词条、装置、存储介质及处理器
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种消息处理方法、词条、装置、存储介质及处理器。
背景技术
在网络活动中,存在大量网络攻击者的破坏行为,极大地影响了网络安全,因而,需要部署防御策略以保证网络安全。
为了提高防御效果,相关技术中出现了采用网络欺骗技术进行主动防御的方法。例如,采用传统蜜罐技术实现网络伪装,但其部署需要耗费用户大量主机资源和网络资源、容易被入侵者识别,且应用高交互仿真开发工作的工作量巨大。再例如,采用网络诱捕专用设备进行防御,但该方法部署成本高、管理成本高、很难形成大范围复杂伪装环境,存在一些局限性。再例如,通过交互机的功能实现主动防御,但是,由于当前接入交换机只有802.1x接入认证功能、VLAN隔离功能、少量高配交换机具备端口镜像功能、和少量访问控制列表功能,这些基本网络接入交换机功能都无法用于构建网络伪装环境,也即,当前主流网络接入交换机所具备的基本网络功能和安全功能,无法满足主动防御的需求。
针对相关技术中采用网络设备防御入侵者的攻击行为的难度大、成本高的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种消息处理方法、词条、装置、存储介质及处理器,以解决相关技术中采用网络设备防御入侵者的攻击行为的难度大、成本高的问题。
根据本申请的一个方面,提供了一种消息处理方法。该方法包括:通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址;判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系;在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为。
可选地,在判断目的地址是否为目标虚拟主机的地址之前,该方法还包括:在目标交换机的MAC地址表中配置目标表项,其中,目标表项中包含目标虚拟主机的MAC地址和目标虚拟主机的端口号,目标虚拟主机的端口设置在目标交换机上,目标表项由交换机系统的CPU进行配置与删除。
可选地,目的地址中包括目的MAC地址,判断目的地址是否为目标虚拟主机的地址包括:判断目的MAC地址是否存在于目标表项中;在目的MAC地址存在于目标表项中的情况下,确定目的MAC地址是目标虚拟主机的MAC地址。
可选地,该方法还包括:目标交换机按照预设时间间隔向所在网络中发送目标报文,以使接收设备缓存目标虚拟主机的地址,其中,目标报文的源地址为目标虚拟主机的地址。
可选地,目标交换机按照预设时间间隔向所在网络中发送目标报文包括:目标交换机向所在网络中发送ARP广播包,其中,ARP广播包中包含目标虚拟主机的MAC地址;或,目标交换机向所在网络中发送虚拟流量包,其中,虚拟流量包的源MAC地址为目标虚拟主机的MAC地址,虚拟流量包的目的MAC地址为所在网络不存在的MAC地址。
可选地,在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:建立目标主机的地址、目标虚拟主机的地址以及回应主机的地址三者之间的对应关系,得到目标会话表,并将目标会话表存储在目标交换机中。
可选地,在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:通过目标交换机接收回应主机发送的回应报文,其中,回应主机基于访问请求的内容生成回应报文的内容,并基于第一对应关系设置回应报文的源地址信息以及目的地址消息,其中,第一对应关系为目标会话表中,目标虚拟主机的地址和回应主机的地址之间的关系;基于第二对应关系修改回应报文的源地址信息以及回应报文的目的地址消息,并将修改后的回应报文发送至目标主机,其中,第二对应关系为目标会话表中,目标主机的地址和目标虚拟主机之间的关系。
可选地,在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:在目的地址是目标虚拟主机的地址的情况下,触发告警信息。
根据本申请的另一方面,提供了一种消息处理系统。该系统包括:第一交换机,用于接收目标主机发送的访问请求,并判断访问请求中携带的目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机的为第一交换机对应的虚拟主机,第一交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系;回应主机,和第一交换机连接,用于在目的地址是目标虚拟主机的地址的情况下,响应访问请求,以干扰目标主机的访问行为。
可选地,该系统还包括:第二交换机,设置在第一交换机和目标主机之间,或设置在第一交换机和回应主机之间;路由器,设置在第一交换机和目标主机之间,或设置在第一交换机和回应主机之间。
根据本申请的另一方面,提供了一种消息处理装置。该装置包括:第一接收单元,用于通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址;判断单元,用于判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系;确定单元,用于在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为。
为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述任意一种消息处理方法。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一种消息处理方法。
通过本申请,采用以下步骤:通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址;判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系;在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为,解决了相关技术中采用网络设备防御入侵者的攻击行为的难度大、成本高的问题。通过构建目标交换机对应的虚拟主机,进而达到了低成本、高效率地防御入侵者的攻击行为的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的消息处理方法的流程图;
图2是根据本申请实施例提供的消息处理方法中包含一个交换机、两个主角的网络拓扑示意图;
图3是根据本申请实施例提供的消息处理方法中包含两个交换机、三个主机的网络拓扑示意图;
图4是根据本申请实施例提供的消息处理方法中包含一个交换机、两个主机以及两个虚拟主机的网络拓扑示意图;
图5是根据本申请实施例提供的消息处理方法中的一种网络拓扑及其主机缓存表的关系示意图;
图6是根据本申请实施例提供的消息处理方法中目标会话表的示意图;
图7是根据本申请实施例提供的消息处理方法中跨网段的网络拓扑示意图;
图8是根据本申请实施例提供的消息处理系统的示意图;
图9是根据本申请实施例提供的一种消息处理系统的示意图;
图10是根据本申请实施例提供的一种消息处理系统中在本网段访问虚拟主机的示意图;
图11是根据本申请实施例提供的一种消息处理系统中跨网段访问虚拟主机的示意图;以及
图12是根据本申请实施例提供的消息处理装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请的实施例,提供了一种消息处理方法。
图1是根据本申请实施例的消息处理方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址。
需要说明的是,目标交换机为目标主机接入网络的安全接入交换机,接收到目标主机发送的访问请求数据包,目标交换机将分析访问请求数据包,得到待访问的目的地址,并将访问请求数据包发送至待访问的目的地址。
步骤S102,判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,其中,地址转换关系表中包含虚拟主机的地址与回应主机的地址之间的转换关系。
需要说明的是,虚拟主机是是利用接入交换机在网络中主动构造的一定数量的虚假的伪装网络终端目标。
具体地,通过以下方式配置虚拟主机,在目标交换机中存储目标虚拟主机的地址,利用目标虚拟主机的地址可以判断访问请求的访问对象是否为目标虚拟主机。在目标交换机中存储地址转换关系表,如下表所示,地址转换关系表中包含虚拟主机的地址与回应主机的地址之间的转换关系,地址转换关系表用于在访问对象是为目标虚拟主机的情况下,确定用哪个回应主机代替目标虚拟主机回应访问对象。需要说明的是,地址转换表由嵌入式CPU根据伪装策略配置和维护。
表1
Figure BDA0002501181670000051
步骤S103,在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为。
具体地,在目的地址是目标虚拟主机的地址的情况下,说明访问请求的访问对象为目标虚拟主机,在目标交换机上采用透明地址转换技术,将访问请求重定向到目标虚拟主机对应的远端回应主机。
本申请实施例提供的消息处理方法,通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址;判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系;在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为,解决了相关技术中采用网络设备防御入侵者的攻击行为的难度大、成本高的问题。通过构建目标交换机对应的虚拟主机,进而达到了低成本、高效率地防御入侵者的攻击行为的效果。
目标虚拟主机的MAC地址存储在目标交换机的MAC地址表中,可选地,在本申请实施例提供的消息处理方法中,在判断目的地址是否为目标虚拟主机的地址之前,该方法还包括:在目标交换机的MAC地址表中配置目标表项,其中,目标表项中包含目标虚拟主机的MAC地址和目标虚拟主机的端口号,目标虚拟主机的端口设置在目标交换机上,目标表项由交换机系统的CPU进行配置与删除。
可选地,在本申请实施例提供的消息处理方法中,目的地址中包括目的MAC地址,判断目的地址是否为目标虚拟主机的地址包括:判断目的MAC地址是否存在于目标表项中;在目的MAC地址存在于目标表项中的情况下,确定目的MAC地址是目标虚拟主机的MAC地址。
需要说明的是,目标表项是在目标交换机内的MAC地址表中新增的一段范围的特殊表项,目标表项与目标交换机的MAC地址表的其他表项的查询方式相同,但查询结果和报文处理方式不同,MAC地址表的维护方式不同。
一、在交换机的MAC地址表的查询方式方面,以及查询结果和报文处理方式方面:
当局域网中存在一个交换的情况下,如图2所示,查询交换机的MAC地址表的过程如下:
主机A将源MAC地址为自身的MAC地址、目标MAC地址为主机B的数据包发送给交换机。交换机收到该数据包后,首先将数据包中的源MAC地址和对应的接口(接口为fe0/1)记录到MAC地址表中,然后检查自身的MAC地址表中是否存在数据包的目标MAC地址,如果存在,则从MAC地址表中记录的接口发送出去,如果不存在,则将该数据包从非接收接口的所有接口发送出去,也即,从除了fe0/1以外的接口发送出去。
此时,局域网内的所有主机均收到该数据包,但只有主机B收到该数据包时响应广播,并回应一个数据包,回应的数据包中包括主机B的MAC地址。当交换机收到主机B回应的数据包后,记录数据包中的源MAC地址,也即主机B的MAC地址。这样,再当主机A和主机B通信时,交换机根据MAC地址表中的记录,即可实现主机A和主机B之间的单播。
进一步地,当局域网中存在多个交换的情况下,如图3所示,查询交换机的MAC地址表的过程如下:
主机A将源MAC地址为自身的MAC地址、目标MAC地址主机C的数据包发送给交换机1,交换机1收到该数据包后,学习源MAC地址,并检查MAC地址表,在MAC地址表中没有目标MAC地址的记录的情况下,则将数据包广播出去。
主机B和交换机2都收到该数据包,交换机2收到该数据包后,将数据包中的源MAC地址和对应的接口记录到MAC地址表中,并检查自身的MAC地址表,在没有目标MAC地址的记录的情况下,则广播该数据包。主机C收到数据包后,响应这个数据包,并回复源MAC地址为自身的数据包,此时交换机1和交换机2均将主机C的MAC地址记录到自身的MAC地址表中,并可以以单播的形式将该数据包发送给主机A,这样,主机A和主机C可以以单播的形式传输数据包。此外,主机B与主机C之间的通信过程和主机A与主机C之间的通信过程同理。
需要说明的是,在网内主机与虚拟主机之间通信时,查询目标交换机目标表项的方式与查询MAC地址表的其他表项的方式相同,但查询到虚拟主机的MAC地址,并建立自身和虚拟主机之间的单播通信方式之后,是虚拟主机对应的回应主机进行回应的。
二、在MAC地址表的维护方面
需要说明的是,交换机的一个接口可以对应多个MAC地址,但是一个MAC地址只能对应一个接口,且交换机具有动态学习源MAC地址的功能,也即,交换机动态学习的MAC地址存储在MAC地址表中的时间具有时效性,例如,默认300秒的有效期,如果300秒内记录的MAC地址没有通信,MAC地址表会自动老化该MAC地址的记录。而目标表项是通过软件配置的方式维护的,并不是交换机自动学习和维护的,具体地,目标表项的配置和删除也是由CPU的软件完成的。
具体地,如图4所示,虚拟主机-X1和虚拟主机-X2的主机地址和对应端口被交换机的CPU写入MAC地址表中目标表项中,目标表项不跟随其他表项进行自动老化,当需要修改或删除网络伪装策略的时候,才由交换机的嵌入式CPU完成对目标表项的修改和删除。这两台虚拟主机实际在网络中并不存在,只是逻辑上存在于交换机的MAC地址表中,在交换机收到目的MAC地址为这两台虚拟主机的MAC地址的数据包时,则根据查找MAC地址表的结果转发到fe 0/x端口。
为了使得网络中的设备持续保存目标虚拟主机的地址,可选地,在本申请实施例提供的消息处理方法中,该方法还包括:目标交换机按照预设时间间隔向所在网络中发送目标报文,以使接收设备缓存目标虚拟主机的地址,其中,目标报文的源地址为目标虚拟主机的地址。
需要说明的是,在每台主机中都存在一张ARP表,它记录着主机的IP地址和MAC地址的对应关系。
具体地,如图5所示,通过ARP表实现主机之间的通信的过程如下:
首先,如果主机A需要发送数据给主机B,主机A首先检查自身的ARP缓存表,查看是否存在主机B的IP地址和MAC地址的对应关系,如果存在,则会将主机B的MAC地址作为目的MAC地址封装到数据包中。如果不存在,主机A则发送一个ARP请求信息,请求的目标IP地址是主机B的IP地址,目标MAC地址是广播地址(即FF-FF-FF-FF-FF-FF),源IP地址和MAC地址是主机A的IP地址和MAC地址。
进一步地,当交换机接收到此目的MAC为广播地址数据包之后,会将该数据包从非接收的所有接口发送出去。当主机B接受到该数据包后,校对IP地址是否是自身的,并将主机A的IP地址和MAC地址的对应关系记录到自身的ARP缓存表中,同时发送一个ARP应答,其中包括自身的MAC地址,此应答包的目的MAC地址为主机A的MAC地址。
最后,主机A在收到这个主机B的应答数据包之后,在自身的ARP缓存表中记录主机B的IP地址和MAC地址的对应关系,此时交换机已经学习到了主机A和主机B的MAC地址,主机A和主机B可以进行通信。
此外,需要说明的是,本实施例通过目标交换机持续向所在网络中发送包含目标虚拟主机的地址信息的报文,以维护维护目标虚拟主机的活动假象,让网内其他网络设备和主机终端感受到目标虚拟主机的存在,并将目标虚拟主机的地址信息缓存在ARP表,实现二者之间的通信。具体地,接入交换机收到来主机设备发来的ARP解析请求包后,与自身维护的虚拟主机的信息做比对,若确定是对虚拟主机的ARP请求,则按虚拟主机的配置回应ARP解析请求包,以确保网内主机能够正确的访问到虚拟主机。
可选地,在本申请实施例提供的消息处理方法中,目标交换机按照预设时间间隔向所在网络中发送目标报文包括:目标交换机向所在网络中发送ARP广播包,其中,ARP广播包中包含目标虚拟主机的MAC地址;或,目标交换机向所在网络中发送虚拟流量包,其中,虚拟流量包的源MAC地址为目标虚拟主机的MAC地址,虚拟流量包的目的MAC地址为所在网络不存在的MAC地址。
具体地,接入交换机可以根据嵌入式CPU主动定时和不定时地向自身的虚拟端口发送免费的ARP广播包,从而让网内的其他交换机设备维持记录虚拟主机的地址。
同时,接入交换机还可以定时发送少量管理软件构造的伪装流量(可以是广播包、单播包或组播包),网内其他交换机收到伪装流量后,在本机的MAC地址表内查询不到目的MAC地址,则向所有端口广播报文,同时把报文的源地址信息记录在本机的MAC地址表内,使得网内所有交换机的MAC地址表均能够维持记录的虚拟主机信息。
需要说明的是,接入交换机主动向网络中发送虚拟主机的免费ARP广播包,不仅可以将虚拟主机的地址信息推送至网内所有在线主机,使得主机的ARP缓存表中自动学习到虚拟主机的IP和MAC的对应关系。而且,在发送ARP的主机正好改变了物理地址的情况下,例如更换物理网卡,可以通过该方法通知网络中其他主机及时更新ARP缓存。此外,在网内有IP冲突或MAC地址冲突的情况,交换机能够收到冲突回应包,从而确定网内是否有主机设置了同样的IP地址,具体地,发送主机若收到此请求的回答,表示网络中存在与自身IP同样的主机,若没有收到应答,则表示本机所使用的IP与网络中其他主机并不冲突。
此外,还需要说明的是,虚拟主机的地址还可以被网内所有交换机收到,并被自动学习到交换机的MAC地址表中。这样,网内的主机如果要访问这些虚拟地址,将数据包的目的地址按本机ARP缓存的信息封装后发送至交换机,交换机则根据MAC地址表的信息将数据包转发到交换机1的fe 0/x口。
为了便于回应主机和目标主机的通信,可选地,在本申请实施例提供的消息处理方法中,在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:建立目标主机的地址、目标虚拟主机的地址以及回应主机的地址三者之间的对应关系,得到目标会话表,并将目标会话表存储在目标交换机中。
需要说明的是,在接入交换机芯片内部需要建立一个虚拟主机会话表,也即目标会话表,该表由芯片根据访问伪装地址的源地址信息和端口信息,以及访问的目标虚拟主机的信息自动建立、维护和拆除,表的深度将决定接入交换机能够维护的针对虚拟主机的并发访问量。
如图6所示,每条访问虚拟主机的会话都被自动学入目标会话表,该表确保网内每一条访问虚拟主机的会话都能够完成虚拟主机地址到回应主机的地址转换,并完成从回应主机返回的报文的地址转换。
可选地,在本申请实施例提供的消息处理方法中,在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:通过目标交换机接收回应主机发送的回应报文,其中,回应主机基于访问请求的内容生成回应报文的内容,并基于第一对应关系设置回应报文的源地址信息以及目的地址消息,其中,第一对应关系为目标会话表中,目标虚拟主机的地址和回应主机的地址之间的关系;基于第二对应关系修改回应报文的源地址信息以及回应报文的目的地址消息,并将修改后的回应报文发送至目标主机,其中,第二对应关系为目标会话表中,目标主机的地址和目标虚拟主机之间的关系。
具体地,在交换机内建立会话表之后,就可以完成回应主机对目标主机的回应。例如,如图7所示,在192.168.1.x网段访问伪装地址192.168.1.11和192.168.1.12的报文,实际在安全交换机1上被透明重定向到在192.168.100.x网段部署的网络伪装回应服务器192.168.100.5,由192.168.100.5来真实回应对虚拟主机的访问。
需要说明的是,网络伪装回应服务器部署方式灵活,既可跨交换机,又可以跨路由器。在网络伪装回应服务器跨路由部署的时候,访问虚拟主机的返回包在经过伪装设置交换机的时候,标识TTL要加N,N为虚拟主机所在网段到达网络伪装回应服务器经过的路由器的个数,如图7中,192.168.100.5回应的报文,在经过交换机1的时候,TTL+1。
可选地,在本申请实施例提供的消息处理方法中,在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:在目的地址是目标虚拟主机的地址的情况下,触发告警信息。
需要说明的是,目标虚拟主机即为伪装目标,这些伪装目标可以被入侵者扫描到,并且能够正常的回应入侵者的访问,让入侵者无法判别哪些是陷阱,哪些是正常主机,一旦入侵者触碰这些伪装目标,接入交换机立即产生报警信息,从而提醒防御方防御入侵者的攻击行为。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种消息处理系统,需要说明的是,本申请实施例的消息处理系统可以用于执行本申请实施例所提供的用于消息处理方法。以下对本申请实施例提供的消息处理系统进行介绍。
图8是根据本申请实施例的消息处理系统的示意图。如图8所示,该系统包括:
第一交换机,用于接收目标主机发送的访问请求,并判断访问请求中携带的目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机的为第一交换机对应的虚拟主机,第一交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系。
需要说明的是,第一交换机为目标主机接入网络的安全接入交换机,接收到目标主机发送的访问请求数据包,第一交换机将分析访问请求数据包,得到待访问的目的地址,并将访问请求数据包发送至待访问的目的地址。
此外,还需要说明的是,虚拟主机是是利用接入交换机在网络中主动构造的一定数量的虚假的伪装网络终端目标。具体地,通过以下方式配置虚拟主机,在目标交换机中存储目标虚拟主机的地址,利用目标虚拟主机的地址可以判断访问请求的访问对象是否为目标虚拟主机。在目标交换机中存储地址转换关系表,地址转换关系表中包含虚拟主机的地址与回应主机的地址之间的转换关系,地址转换关系表用于在访问对象是为目标虚拟主机的情况下,确定用哪个回应主机代替目标虚拟主机回应访问对象。需要说明的是,地址转换表由嵌入式CPU根据伪装策略配置和维护。
回应主机,和第一交换机连接,用于在目的地址是目标虚拟主机的地址的情况下,响应访问请求,以干扰目标主机的访问行为。
具体地,在目的地址是目标虚拟主机的地址的情况下,说明访问请求的访问对象为目标虚拟主机,在第一交换机上采用透明地址转换技术,将访问请求重定向到目标虚拟主机对应的远端回应主机,通过回应主机响应访问请求。
可选地,在本申请实施例提供的消息处理系统中,该系统还包括:第二交换机,设置在第一交换机和目标主机之间,或设置在第一交换机和回应主机之间;路由器,设置在第一交换机和目标主机之间,或设置在第一交换机和回应主机之间。
需要说明的是,本申请实施例的系统的部署灵活,可重定向跨交换机、跨路由方式部署网络回应服务器以回应对虚拟主机的访问请求,具体地,可以在第一交换机和目标主机之间部署交换机以及路由器,还可以在第一交换机和目标主机之间部署交换机以及路由器,也即,本申请实施例对系统的部署方式不做限定。
如图9所示,是根据本申请实施例的一种消息处理系统的拓扑图,根据该系统实现上述实施例的消息处理方法。
首先,对消息处理系统进行部署:
具体地,在192.168.1.x网段构造两个虚拟主机X1和X2,地址分别为192.168.1.11和192.168.1.12,伪装的端口号为TCP 80和22,这两个虚拟主机可被本网段的主机访问到,也可以被192.168.8.x网段的主机访问到。
在192.168.8.x网段构造两个虚拟主机Y1和Y2,地址分别为192.168.8.11和192.168.8.12,伪装的端口号为TCP 80和22,这两个虚拟主机可被本网段的主机访问到,也可被192.168.1.x网段的主机访问到。
对部署的4台虚拟主机的回应为一台IP地址为192.168.100.5的服务器,可回应TCP 80端口和TCP 22端口的访问。
进一步地,对接入交换机进行配置:
具体地,接入交换机1和接入交换机2上配置MAC地址表的目标表项及地址转换表。
如表2所示,为在接入交换机1上配置的目标表项:
表2
目标表项 fe 0/x 00:00:00:55:55:55
目标表项 fe 0/x 00:00:00:66:66:66
如表3所示,为在接入交换机1上配置的地址转换表。
表3
Figure BDA0002501181670000121
如表4所示,为在接入交换机2上配置的目标表项。
表4
目标表项 fe 0/y 00:00:00:82:82:82
目标表项 fe 0/y 00:00:00:81:81:81
如表5所示,为在接入交换机2上配置的地址转换表:
表5
Figure BDA0002501181670000131
在部署和配置完成后,维持虚拟主机在网内的活跃状态:
具体地,接入交换机1在192.168.1.x网段释放虚拟主机X1和X2的信息,接入交换机2在192.168.8.x网段释放虚拟主机Y1和Y2的信息。在接入交换机1上向所有端口发送免费的ARP广播包,封装X1和X2的主机的IP和MAC地址。在接入交换机2上向所有端口发送免费的ARP广播包,封装Y1和Y2的主机的IP和MAC地址。
进一步地,主机可以通过接入交换机对虚拟主机进行访问:
如图10所示,为主机A访问本网段虚拟主机X1的过程:
①主机A发出访问虚拟主机X1的TCP-80的syn包,源MAC=00:00:00:11:11:11,源IP=192.168.1.1,源端口=1000,目的MAC=00:00:00:55:55:55,目的IP=192.168.1.11,目的端口=80,协议为TCP,标识为syn----PKT-1。
②PKT-1报文在交换机1中查询MAC地址表,确认是访问虚拟主机,查询MAC地址表,输出端口为fe 0/x口,需要做地址转换,查询虚拟主机地址转换表,对报文修改,目的MAC地址=00:00:00:aa:aa:aa,目的IP地址=192.168.100.5,源MAC=00:00:00:11:11:11,源IP=192.168.1.1,并将该会话自动学入会话表中。
③PKT-1经过路由器,查到路由信息,对报文做修改:目的MAC地址=00:00:00:15:15:15,源MAC=00:00:00:bb:bb:bb,TTL-1,其余不变。
④PKT-1被网络伪装回应服务器接收,并返回PKT-2包,该包封装:目的MAC=00:00:00:bb:bb:bb,目的IP=192.168.1.11,目的端口=1000,源MAC=00:00:00:15:15:15,源IP=192.168.100.5,源端口=80,|TCP标识=syn-ack。
⑤经过路由器后,对PKT-2报文进行修改,目的MAC=00:00:00:55:55:55,源MAC=00:00:00:aa:aa:aa,TTL-1。
⑥经过交换机1,对PKT-2报文进行修改,目的MAC=00:00:00:11:11:11,源MAC=00:00:00:55:55:55,目的IP=192.168.1.1,源IP=192.168.1.11,TTL+1,其余不变。
经过上述步骤,最终完成主机A访问本网段虚拟主机X1、网络伪装回应服务器回应访问行为的过程。
如图11所示,为主机A跨网段访问虚拟主机Y1的TCP22端口过程:
①主机A发送PKT-3跨网段访问虚拟主机Y1,PKT-3的封装为:目的MAC=00:00:00:aa:aa:aa,目的IP=192.168.8.11,目的端口=22,源MAC=00:00:00:11:11:11,源IP=192.168.1.1,源端口=2000。
②交换机1查询MAC地址表,确认00:00:00:aa:aa:aa不是本机的虚拟主机地址,PKT-3不做修改,从fe 0/x口转发至路由器端口。
③路由器收到PKT-3,查询路由表,对该报文做修改,源MAC=00:00:00:cc:cc:cc,目的MAC=00:00:00:81:81:81,TTL-1。
④交换机2收到PKT-3报文,查询MAC地址表,确认00:00:00:81:81:81为虚拟主机,需要做地址转换,对PKT-3做修改,目的MAC=00:00:00:cc:cc:cc,目的IP=192.168.100.5,源MAC=00:00:00:81:81:81,源IP=192.168.8.11。
⑤路由器收到PKT-3后,对报文做修改,源MAC=00:00:00:bb:bb:bb,目的MAC=00:00:00:15:15:15,TTL-1,从FE1口发出。
⑥PKT-3被网络伪装回应服务器接收,并返回PKT-4包,该包封装:目的MAC=00:00:00:bb:bb:bb,目的IP=192.168.8.11,目的端口=2000,源MAC=00:00:00:15:15:15,源IP=192.168.100.5,源端口=22。
⑦路由器收到PKT-4后,对报文做修改:源MAC=00:00:00:cc:cc:cc,目的MAC=00:00:00:81:81:81,TTL-1,从FE3口发出。
⑧交换机2收到PKT-4后,在会话表中查到该会话的信息,并对该包做修改:源MAC=00:00:00:81:81:81,源IP=192.168.8.11,目的MAC=00:00:00:cc:cc:cc,目的IP=192.168.1.1,TTL+1。
⑨路由器收到PKT-4后,对报文做修改,源MAC=00:00:00:aa:aa:aa,目的MAC=00:00:00:11:11:11,TTL-1,从FE0口发出。
⑩交换机1收到PKT-4后,确认00:00:00:11:11:11不是虚拟主机的地址,不做任何修改,正常转发至fe0/1口。主机A收到正确的返回包,封装为:目的MAC=00:00:00:11:11:11,源MAC=00:00:00:aa:aa:aa,目的IP=192.168.1.1,源IP=192.168.8.11,目的端口=2000,源端口=22。
经过上述步骤,最终完成主机A访问本跨网段访问虚拟主机Y1、网络伪装回应服务器回应访问行为的过程。
本申请实施例还提供了一种消息处理装置,需要说明的是,本申请实施例的消息处理装置可以用于执行本申请实施例所提供的用于消息处理方法。以下对本申请实施例提供的消息处理装置进行介绍。
图12是根据本申请实施例的消息处理装置的示意图。如图12所示,该装置包括:第一接收单元10、判断单元20和确定单元30。
具体地,第一接收单元10,用于通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址。
判断单元20,用于判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系。
确定单元30,用于在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为。
本申请实施例提供的消息处理装置,通过第一接收单元10通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址;判断单元20,用于判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系;确定单元30在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为,解决了相关技术中采用网络设备防御入侵者的攻击行为的难度大、成本高的问题,通过构建目标交换机对应的虚拟主机,进而达到了低成本、高效率地防御入侵者的攻击行为的效果。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:配置单元,用于在判断目的地址是否为目标虚拟主机的地址之前,在目标交换机的MAC地址表中配置目标表项,其中,目标表项中包含目标虚拟主机的MAC地址和目标虚拟主机的端口号,目标虚拟主机的端口设置在目标交换机上,目标表项由交换机系统的CPU进行配置与删除。
可选地,在本申请实施例提供的消息处理装置中,判断单元20包括:判断模块,用于判断目的MAC地址是否存在于目标表项中;确定模块,用于在目的MAC地址存在于目标表项中的情况下,确定目的MAC地址是目标虚拟主机的MAC地址。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:发送单元,用于通过目标交换机按照预设时间间隔向所在网络中发送目标报文,以使接收设备缓存目标虚拟主机的地址,其中,目标报文的源地址为目标虚拟主机的地址。
可选地,在本申请实施例提供的消息处理装置中,发送单元包括:第一发送模块,用于通过目标交换机向所在网络中发送ARP广播包,其中,ARP广播包中包含目标虚拟主机的MAC地址;或,第二发送模块,用于通过目标交换机向所在网络中发送虚拟流量包,其中,虚拟流量包的源MAC地址为目标虚拟主机的MAC地址,虚拟流量包的目的MAC地址为所在网络不存在的MAC地址。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:构建单元,用于在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,建立目标主机的地址、目标虚拟主机的地址以及回应主机的地址三者之间的对应关系,得到目标会话表,并将目标会话表存储在目标交换机中。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:第二接收单元,用于在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,通过目标交换机接收回应主机发送的回应报文,其中,回应主机基于访问请求的内容生成回应报文的内容,并基于第一对应关系设置回应报文的源地址信息以及目的地址消息,其中,第一对应关系为目标会话表中,目标虚拟主机的地址和回应主机的地址之间的关系;修改单元,用于基于第二对应关系修改回应报文的源地址信息以及回应报文的目的地址消息,并将修改后的回应报文发送至目标主机,其中,第二对应关系为目标会话表中,目标主机的地址和目标虚拟主机之间的关系。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:报警单元,用于在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,在目的地址是目标虚拟主机的地址的情况下,触发告警信息。
所述消息处理装置包括处理器和存储器,上述第一接收单元10、判断单元20和确定单元30等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中采用网络设备防御入侵者的攻击行为的难度大、成本高的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述消息处理方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述消息处理方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址;判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系;在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为。
在判断目的地址是否为目标虚拟主机的地址之前,该方法还包括:在目标交换机的MAC地址表中配置目标表项,其中,目标表项中包含目标虚拟主机的MAC地址和目标虚拟主机的端口号,目标虚拟主机的端口设置在目标交换机上,目标表项由交换机系统的CPU进行配置与删除。
目的地址中包括目的MAC地址,判断目的地址是否为目标虚拟主机的地址包括:判断目的MAC地址是否存在于目标表项中;在目的MAC地址存在于目标表项中的情况下,确定目的MAC地址是目标虚拟主机的MAC地址。
该方法还包括:目标交换机按照预设时间间隔向所在网络中发送目标报文,以使接收设备缓存目标虚拟主机的地址,其中,目标报文的源地址为目标虚拟主机的地址。
目标交换机按照预设时间间隔向所在网络中发送目标报文包括:目标交换机向所在网络中发送ARP广播包,其中,ARP广播包中包含目标虚拟主机的MAC地址;或,目标交换机向所在网络中发送虚拟流量包,其中,虚拟流量包的源MAC地址为目标虚拟主机的MAC地址,虚拟流量包的目的MAC地址为所在网络不存在的MAC地址。
在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:建立目标主机的地址、目标虚拟主机的地址以及回应主机的地址三者之间的对应关系,得到目标会话表,并将目标会话表存储在目标交换机中。
在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:通过目标交换机接收回应主机发送的回应报文,其中,回应主机基于访问请求的内容生成回应报文的内容,并基于第一对应关系设置回应报文的源地址信息以及目的地址消息,其中,第一对应关系为目标会话表中,目标虚拟主机的地址和回应主机的地址之间的关系;基于第二对应关系修改回应报文的源地址信息以及回应报文的目的地址消息,并将修改后的回应报文发送至目标主机,其中,第二对应关系为目标会话表中,目标主机的地址和目标虚拟主机之间的关系。
在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:在目的地址是目标虚拟主机的地址的情况下,触发告警信息。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:通过目标交换机接收目标主机发送的访问请求,其中,访问请求中携带有待访问的目的地址;判断目的地址是否为目标虚拟主机的地址,其中,目标虚拟主机为目标交换机对应的虚拟主机,目标交换机中存储有目标虚拟主机的地址以及地址转换关系表,地址转换关系表中包含目标虚拟主机的地址与回应主机的地址之间的转换关系;在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机,其中,回应主机用于响应访问请求,以干扰目标主机的访问行为。
在判断目的地址是否为目标虚拟主机的地址之前,该方法还包括:在目标交换机的MAC地址表中配置目标表项,其中,目标表项中包含目标虚拟主机的MAC地址和目标虚拟主机的端口号,目标虚拟主机的端口设置在目标交换机上,目标表项由交换机系统的CPU进行配置与删除。
目的地址中包括目的MAC地址,判断目的地址是否为目标虚拟主机的地址包括:判断目的MAC地址是否存在于目标表项中;在目的MAC地址存在于目标表项中的情况下,确定目的MAC地址是目标虚拟主机的MAC地址。
该方法还包括:目标交换机按照预设时间间隔向所在网络中发送目标报文,以使接收设备缓存目标虚拟主机的地址,其中,目标报文的源地址为目标虚拟主机的地址。
目标交换机按照预设时间间隔向所在网络中发送目标报文包括:目标交换机向所在网络中发送ARP广播包,其中,ARP广播包中包含目标虚拟主机的MAC地址;或,目标交换机向所在网络中发送虚拟流量包,其中,虚拟流量包的源MAC地址为目标虚拟主机的MAC地址,虚拟流量包的目的MAC地址为所在网络不存在的MAC地址。
在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:建立目标主机的地址、目标虚拟主机的地址以及回应主机的地址三者之间的对应关系,得到目标会话表,并将目标会话表存储在目标交换机中。
在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:通过目标交换机接收回应主机发送的回应报文,其中,回应主机基于访问请求的内容生成回应报文的内容,并基于第一对应关系设置回应报文的源地址信息以及目的地址消息,其中,第一对应关系为目标会话表中,目标虚拟主机的地址和回应主机的地址之间的关系;基于第二对应关系修改回应报文的源地址信息以及回应报文的目的地址消息,并将修改后的回应报文发送至目标主机,其中,第二对应关系为目标会话表中,目标主机的地址和目标虚拟主机之间的关系。
在目的地址是目标虚拟主机的地址的情况下,根据地址转换关系表确定目标虚拟主机对应的回应主机之后,该方法还包括:在目的地址是目标虚拟主机的地址的情况下,触发告警信息。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (13)

1.一种消息处理方法,其特征在于,包括:
通过目标交换机接收目标主机发送的访问请求,其中,所述访问请求中携带有待访问的目的地址;
判断所述目的地址是否为目标虚拟主机的地址,其中,所述目标虚拟主机为所述目标交换机对应的虚拟主机,所述虚拟主机是利用接入交换机在网络中构造的伪装网络终端目标,所述目标交换机中存储有所述目标虚拟主机的地址以及地址转换关系表,所述地址转换关系表中包含所述目标虚拟主机的地址与回应主机的地址之间的转换关系;
在所述目的地址是所述目标虚拟主机的地址的情况下,根据所述地址转换关系表确定所述目标虚拟主机对应的所述回应主机,其中,所述回应主机用于响应所述访问请求,以干扰所述目标主机的访问行为。
2.根据权利要求1所述的方法,其特征在于,在判断所述目的地址是否为目标虚拟主机的地址之前,所述方法还包括:
在所述目标交换机的MAC地址表中配置目标表项,其中,所述目标表项中包含所述目标虚拟主机的MAC地址和所述目标虚拟主机的端口号,所述目标虚拟主机的端口设置在所述目标交换机上,所述目标表项由交换机系统的CPU进行配置与删除。
3.根据权利要求2所述的方法,其特征在于,所述目的地址中包括目的MAC地址,判断所述目的地址是否为目标虚拟主机的地址包括:
判断所述目的MAC地址是否存在于所述目标表项中;
在所述目的MAC地址存在于所述目标表项中的情况下,确定所述目的MAC地址是所述目标虚拟主机的MAC地址。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述目标交换机按照预设时间间隔向所在网络中发送目标报文,以使接收设备缓存所述目标虚拟主机的地址,其中,所述目标报文的源地址为所述目标虚拟主机的地址。
5.根据权利要求4所述的方法,其特征在于,所述目标交换机按照预设时间间隔向所在网络中发送目标报文包括:
所述目标交换机向所在网络中发送ARP广播包,其中,所述ARP广播包中包含所述目标虚拟主机的MAC地址;
或,所述目标交换机向所在网络中发送虚拟流量包,其中,所述虚拟流量包的源MAC地址为所述目标虚拟主机的MAC地址,所述虚拟流量包的目的MAC地址为所在网络不存在的MAC地址。
6.根据权利要求1所述的方法,其特征在于,在所述目的地址是所述目标虚拟主机的地址的情况下,根据所述地址转换关系表确定所述目标虚拟主机对应的所述回应主机之后,所述方法还包括:
建立所述目标主机的地址、所述目标虚拟主机的地址以及所述回应主机的地址三者之间的对应关系,得到目标会话表,并将所述目标会话表存储在所述目标交换机中。
7.根据权利要求6所述的方法,其特征在于,在所述目的地址是所述目标虚拟主机的地址的情况下,根据所述地址转换关系表确定所述目标虚拟主机对应的所述回应主机之后,所述方法还包括:
通过所述目标交换机接收所述回应主机发送的回应报文,其中,所述回应主机基于所述访问请求的内容生成回应报文的内容,并基于第一对应关系设置所述回应报文的源地址信息以及目的地址消息,其中,所述第一对应关系为所述目标会话表中,所述目标虚拟主机的地址和所述回应主机的地址之间的关系;
基于第二对应关系修改所述回应报文的源地址信息以及所述回应报文的目的地址消息,并将修改后的所述回应报文发送至所述目标主机,其中,所述第二对应关系为所述目标会话表中,所述目标主机的地址和所述目标虚拟主机之间的关系。
8.根据权利要求1所述的方法,其特征在于,在所述目的地址是所述目标虚拟主机的地址的情况下,根据所述地址转换关系表确定所述目标虚拟主机对应的所述回应主机之后,所述方法还包括:
在所述目的地址是所述目标虚拟主机的地址的情况下,触发告警信息。
9.一种消息处理系统,其特征在于,包括:
第一交换机,用于接收目标主机发送的访问请求,并判断所述访问请求中携带的目的地址是否为目标虚拟主机的地址,其中,所述目标虚拟主机的为所述第一交换机对应的虚拟主机,所述虚拟主机是利用接入交换机在网络中构造的伪装网络终端目标,所述第一交换机中存储有所述目标虚拟主机的地址以及地址转换关系表,所述地址转换关系表中包含所述目标虚拟主机的地址与回应主机的地址之间的转换关系;
所述回应主机,和所述第一交换机连接,用于在所述目的地址是所述目标虚拟主机的地址的情况下,响应所述访问请求,以干扰所述目标主机的访问行为。
10.根据权利要求9所述的系统,其特征在于,所述系统还包括:
第二交换机,设置在所述第一交换机和所述目标主机之间,或设置在所述第一交换机和所述回应主机之间;
路由器,设置在所述第一交换机和所述目标主机之间,或设置在所述第一交换机和所述回应主机之间。
11.一种消息处理装置,其特征在于,包括:
第一接收单元,用于通过目标交换机接收目标主机发送的访问请求,其中,所述访问请求中携带有待访问的目的地址;
判断单元,用于判断所述目的地址是否为目标虚拟主机的地址,其中,所述目标虚拟主机为所述目标交换机对应的虚拟主机,所述虚拟主机是利用接入交换机在网络中构造的伪装网络终端目标,所述目标交换机中存储有所述目标虚拟主机的地址以及地址转换关系表,所述地址转换关系表中包含所述目标虚拟主机的地址与回应主机的地址之间的转换关系;
确定单元,用于在所述目的地址是所述目标虚拟主机的地址的情况下,根据所述地址转换关系表确定所述目标虚拟主机对应的所述回应主机,其中,所述回应主机用于响应所述访问请求,以干扰所述目标主机的访问行为。
12.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至8中任意一项所述的消息处理方法。
13.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至8中任意一项所述的消息处理方法。
CN202010432823.7A 2020-05-20 2020-05-20 消息处理方法、词条、装置、存储介质及处理器 Active CN111698221B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010432823.7A CN111698221B (zh) 2020-05-20 2020-05-20 消息处理方法、词条、装置、存储介质及处理器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010432823.7A CN111698221B (zh) 2020-05-20 2020-05-20 消息处理方法、词条、装置、存储介质及处理器

Publications (2)

Publication Number Publication Date
CN111698221A CN111698221A (zh) 2020-09-22
CN111698221B true CN111698221B (zh) 2022-09-13

Family

ID=72477110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010432823.7A Active CN111698221B (zh) 2020-05-20 2020-05-20 消息处理方法、词条、装置、存储介质及处理器

Country Status (1)

Country Link
CN (1) CN111698221B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112235304A (zh) * 2020-10-15 2021-01-15 唐琪林 一种工业互联网的动态安全防护方法和系统
CN114124883B (zh) * 2021-10-12 2023-09-12 鸬鹚科技(深圳)有限公司 基于云存储地址的数据访问方法、装置、计算机设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506540A (zh) * 2014-12-29 2015-04-08 成都致云科技有限公司 虚拟主机的读写请求处理方法及系统、宿主机
CN106302525A (zh) * 2016-09-27 2017-01-04 黄小勇 一种基于伪装的网络空间安全防御方法及系统
CN107770072A (zh) * 2016-08-18 2018-03-06 阿里巴巴集团控股有限公司 一种发送和接收报文的方法和设备
CN109347881A (zh) * 2018-11-30 2019-02-15 东软集团股份有限公司 基于网络欺骗的网络防护方法、装置、设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9621461B2 (en) * 2015-01-27 2017-04-11 Vmware, Inc. Media access control (MAC) address table protection in a virtualized computing environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506540A (zh) * 2014-12-29 2015-04-08 成都致云科技有限公司 虚拟主机的读写请求处理方法及系统、宿主机
CN107770072A (zh) * 2016-08-18 2018-03-06 阿里巴巴集团控股有限公司 一种发送和接收报文的方法和设备
CN106302525A (zh) * 2016-09-27 2017-01-04 黄小勇 一种基于伪装的网络空间安全防御方法及系统
CN109347881A (zh) * 2018-11-30 2019-02-15 东软集团股份有限公司 基于网络欺骗的网络防护方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN111698221A (zh) 2020-09-22

Similar Documents

Publication Publication Date Title
US20210344714A1 (en) Cyber threat deception method and system, and forwarding device
US10375110B2 (en) Luring attackers towards deception servers
CN107332812B (zh) 网络访问控制的实现方法及装置
CN112468383B (zh) 混合云环境中的通信方法及网关、管理方法及装置
CN112134891B (zh) 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法
US10440054B2 (en) Customized information networks for deception and attack mitigation
CN106411910A (zh) 一种分布式拒绝服务攻击的防御方法与系统
CN111698221B (zh) 消息处理方法、词条、装置、存储介质及处理器
US20120144483A1 (en) Method and apparatus for preventing network attack
WO2013049989A1 (en) Layer two interconnection between data centers
CN107241313B (zh) 一种防mac泛洪攻击的方法及装置
CN106302525B (zh) 一种基于伪装的网络空间安全防御方法及系统
CN112688900B (zh) 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法
CN104883410A (zh) 一种网络传输方法和网络传输装置
US11757935B2 (en) Endpoint security mechanism to detect IP theft on a virtual machine mobility in switch fabric
Robertson et al. CINDAM: Customized information networks for deception and attack mitigation
CN115333804A (zh) 一种蜜罐导流方法、装置、电子设备及可读存储介质
CN114172853A (zh) 流量转发及裸机服务器的配置方法、装置
CN116094923B (zh) 云实例迁移后的网关更新方法及装置和电子设备
CN103095858A (zh) 地址解析协议arp报文处理的方法、网络设备及系统
Song et al. A novel frame switching model based on virtual MAC in SDN
CN112968913B (zh) 一种基于可编程交换机的ddos防御方法、装置、设备及介质
Kishimoto et al. An adaptive honeypot system to capture ipv6 address scans
WO2021121027A1 (zh) 实现网络动态性的方法、系统、终端设备及存储介质
CN111683063B (zh) 消息处理方法、系统、装置、存储介质及处理器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant