CN111756712A - 一种基于虚拟网络设备伪造ip地址防攻击的方法 - Google Patents
一种基于虚拟网络设备伪造ip地址防攻击的方法 Download PDFInfo
- Publication number
- CN111756712A CN111756712A CN202010536860.2A CN202010536860A CN111756712A CN 111756712 A CN111756712 A CN 111756712A CN 202010536860 A CN202010536860 A CN 202010536860A CN 111756712 A CN111756712 A CN 111756712A
- Authority
- CN
- China
- Prior art keywords
- address
- data
- virtual
- forged
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于虚拟网络设备伪造IP地址防攻击的方法,涉及网络安全领域。本发明先创建网桥和TAP虚拟网络设备,并配置需要伪造的IP地址,并在TAP虚拟网络设备中对所有访问伪造IP地址的ARP请求数据进行捕获,捕获到,则回复伪造的ARP回复消息给攻击者,ARP数据包交互完成后通过创建TUN虚拟网络设备,将所有的IP数据包捕获,捕获后的攻击流量导向至蜜网系统,达到伪造IP地址后能正常产生数据交互且分析攻击行为与数据的目的。本发明通过使用TUN/TAP虚拟网络设备伪造主机IP,对实际主机进行保护,向攻击者发伪造的ARP回复消息,用于网络攻击分析,可扩展性高。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于虚拟网络设备伪造IP地址防攻击的方法。
背景技术
随着互联网的飞速发展,网络安全已成为人们非常关注的问题。提升网络安全性,防止网络攻击,是网络安全人员一直关注的问题。
常见的网络攻击手段包括:TCP SYN拒绝服务攻击、ICMP洪水、UDP洪水、端口扫描、分片IP报文攻击、SYN比特和FIN比特同时设置、没有设置任何标志的TCP报文攻击、设置了FIN标志却没有设置ACK标志的TCP报文攻击、超长PING报文、地址猜测攻击、泪滴攻击、带源路由选项的IP报文、带记录路由选项的IP报文、未知协议字段的IP报文、IP地址欺骗、WinNuke攻击、Land攻击、Script/ActiveX攻击、Smurf攻击、虚拟终端(VTY)耗尽攻击、路由协议攻击以及针对设备转发表的攻击等等。手段众多,增大了网络攻击防范的难度。
在众多的网络攻击手段中,IP地址欺骗是网络安全人员比较熟悉的方式。IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,用来隐藏自己的真实身份,而冒充其他系统或发件人的身份。黑客可以用IP地址欺骗来对网络进行攻击,如果网络安全人员将伪装IP地址用于网络攻击的防范也可以达到意想不到的效果。
伪装IP地址是指与实际的物理网络接口不对应的一种IP地址,即正常情况下,IP地址需要实际配置在系统的物理网络接口上,而实现IP地址的伪装后,就不存在这种实际的配置对应关系。所有发往这个伪装IP地址的数据包最后都会经过真实的网卡到达目的主机的目的进程。通过伪装IP地址,可以实现主机防攻击的目的,即攻击者以为攻击的目的IP地址是真实存在于主机中,但其攻击的实际是伪装的IP地址,实际被攻击的主机可对攻击流量进行分析及防护,不对真实主机产生影响,达到防攻击的目的。
现有的主机伪装IP地址进行防网络攻击的方法,多是通过配置第三方服务,方案一是基于VRRP(虚拟路由冗余协议)的Keepalived,经过复杂设置后实现;方案二是通过传统的网络地址转换设置实现;方案三是通过设置代理服务器,由代理服务器转发攻击流量实现。通过以上这些方式实现伪装IP地址,增加了手工维护网络的复杂度和整体系统的不稳定性,且特定第三方软件或系统只能将虚拟的IP地址用作单一用途,可扩展性不强,如只能实现服务器的高可用。
如中国专利申请文献CN103312689B中,公开了一种计算机的网络隐身方法,网络隐身方法采取被动处理策略和主动处理策略,主动处理策略包括三种方式:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变元,动态随机跳变达到真实主机的隐身。真实主机隐于由伪造虚假数据流量伪造的一群计算机中,减小被探测的概率,虚假数据流量是指模拟服务器行为,在真实主机所在的网段内充分利用该网段下未使用的IP地址构造数据流量,模仿真实计算机的网络行为,为探测锁定目标增加难度。其中计算机物理地址的动态变化包括:首先利用ARP请求探测出活动的IP地址,筛选出未被使用的IP地址添加到地址池;然后创建一个线程,负责监听ARP并接受所有的请求;通过IP地址管理平台检查该ARP请求的IP地址是不是伪装主机的IP地址,如果是就发送一个ARP应答,否则不回复ARP;最后还需要维护IP地址的状态,即创建一个线程监听回复ARP的IP地址,若目的IP地址不是本机地址并且源IP地址不是我们虚假的IP地址,那么可以判断出该IP地址已被占用;另外定时更新IP状态,即一段时间没有收到该IP地址的ARP回复则把该IP地址的状态置为“空闲”。伪造通信地址包括虚假IP地址、MAC地址和端口号,虚假的IP地址均为本网段无人使用的IP地址。
现有技术通过真实主机的IP地址进行跳变,使得攻击者无法确定真实的主机IP地址,但是并没有给出如何实现IP地址跳变,同时,要实时检测IP地址的使用状态,添加空闲到列表,增加了手工维护网络的复杂度和整体系统的不稳定性。
现有技术至少存在以下不足:
1.现有技术通过实时检测IP地址的使用状态,添加空闲IP地址到列表,属于主动检测,但是对于突发的攻击,现有技术没有应对策略,即对突发攻击缺乏被动响应措施。
2.现有技术仅进行主机IP地址隐藏,而在判断出攻击时,不能利用该攻击以获取相关信息,进而进行后续的分析。
发明内容
为解决现有技术中存在的技术问题,本发明提供了一种基于虚拟网络设备伪造IP地址防攻击的方法。该方法使用TUN/TAP虚拟网络设备实现伪造主机IP地址,该IP地址可直接通过配置文件进行添加或删除,不需要额外再进行其他网络配置,且通过该TUN/TAP设备伪造出可用的IP地址后可针对其进行功能扩展。
TUN/TAP虚拟网络设备指操作系统内核中的虚拟网络设备,不同于物理上依赖硬件实现的设备,这些虚拟设备全部用软件实现,并向运行于操作系统上的软件提供与硬件网络设备完全相同的功能。TAP等同于一个以太网设备,它操作第二层(网络层)数据包如以太网数据帧;TUN是虚拟网络层设备,操作第三层数据包,比如IP(网际互连协议)数据封包。
本发明首先通过创建一个TAP虚拟网络设备,该设备用于处理网络中数据链路层的数据包,主要是在局域网内对发往伪造IP地址的ARP(地址解析协议)请求数据包做回应,伪造该IP地址数据包的数据链路层通讯,在完成了数据链路层数据交互后,由TUN网络设备对后续交互的网络数据做转发及其他二次处理,对攻击流量进行记录和分析,感知威胁,不是简单的避免攻击。在正常情况下,只有当IP地址实际配置在硬件网卡上才能对相应的ARP请求做回复,本发明通过TAP虚拟网络设备捕捉到所有访问伪造IP地址的数据链路层数据包,对需要伪造IP地址回复ARP回复数据包,ARP数据包交互完成后通过创建TUN虚拟网络设备,将所有的IP数据包捕获并回复,达到伪造IP地址后能正常产生数据交互的目的。
本发明还会在数据转发末端(如蜜网系统)捕获及分析用户攻击行为。如将本发明中的设备部署到蜜网系统数据入口端,并采用本发明的方法,捕获到所有访问伪造IP地址的ARP请求数据后,先进行ARP数据包的伪造,ARP通讯正常后,IP数据就能够正常交互,再由TUN虚拟网络设备对该IP地址的所有IP层数据进行捕获,将该IP地址的网络流量引进蜜网系统,相当于诱捕攻击者进行攻击,蜜网系统可以进而分析攻击者的攻击行为。
本发明提供了一种基于虚拟网络设备伪造IP地址防攻击的方法,包括如下步骤:
S1:创建一个网桥设备;
如果已经存在网桥设备,则无需再创建,可以直接使用;
S2:创建一个配置文件,配置需要伪造的虚拟IP地址;
S3:创建一个TAP虚拟网络设备;
如果已经存在TAP虚拟网络设备,则无需再创建,可以直接使用;
S4:从步骤S2中的配置文件获取需要伪造的虚拟IP地址;
S5:在步骤S3中创建的TAP虚拟网络设备中捕获所有对步骤S4中获取的需要伪造的虚拟IP地址的访问ARP请求数据,若捕获到,则伪造ARP回复数据发送给请求者;否则,不对ARP请求数据做响应;
S6:捕获步骤S5中伪造的虚拟IP地址的网络层数据包,利用捕获到的伪造虚拟IP地址的网络层数据进行网络攻击防护。
优选地,在步骤S3之后,将系统物理网卡和步骤S3中创建的TAP虚拟网络设备接入到步骤S1中创建的网桥设备内。
优选地,其特征在于,步骤S6包括如下步骤:
S61:设置系统防火墙ebtables规则;
S62:创建TUN虚拟网络设备;
如果已经存在TUN虚拟网络设备,则无需再创建,可以直接使用;
S63:在步骤S62中创建的所述TUN虚拟网络设备中配置系统策略路由;
S64:TUN虚拟网络设备根据步骤S2中的配置文件所配置的虚拟IP地址,对接收到的网络层流量进行ICMP数据处理和TCP数据转发的操作,实现网络攻击防护。
优选地,设置的所述系统防火墙ebtables规则使所有网络层数据包能够通过网络层路由。
优选地,步骤S63中所述策略路由为:将物理网卡的网络流量重定向至TUN虚拟网络设备。
优选地,ICMP数据处理包括:根据ICMP请求信息,封装ICMP数据包并回复给攻击者。
优选地,步骤S63和S64之间,根据转发的数据实现对攻击者发起的各种请求进行响应,并记录和分析攻击行为。
优选地,所述数据转发通过设置系统iptables及策略路由实现。
优选地,步骤S5中伪造ARP回复的所述数据包括:本机物理网卡的MAC地址。
与现有技术相对比,本发明的有益效果如下:
(1)本发明通过使用TUN/TAP虚拟网络设备实现伪造主机IP地址,防止网络攻击对实际主机产生影响,实现了网络攻击的被动响应。
(2)本发明通过TUN虚拟网络设备接收到捕获伪造IP地址的IP数据包并转发,实现了对攻击数据再利用的效果,将转发的数据用来后续分析攻击流量和记录攻击行为等。
(3)本发明通过采用配置文件手动配置需要伪造的IP地址,同时采用TAP虚拟网络设备捕获所有访问伪装IP地址的ARP请求数据,并回复伪造的ARP数据包,解决了伪造IP地址配置繁琐化的问题,实现了伪造IP地址简单易行。
附图说明
图1是本发明应用于蜜网系统的基于网络设备伪造IP地址防攻击方法实施流程示意图;
图2是本发明伪造IP网络数据包的基本处理过程示意图;
具体实施方式
在IPv4地址的通讯中,通讯双方需要先通过ARP协议获取到对方网络的物理地址(MAC地址),在完成了数据链路层通讯后才可进行后续的IP数据交互。
本发明通过使用TUN/TAP(虚拟网络设备)创建一个TAP虚拟网络设备,该设备用于处理网络中数据链路层的数据包,主要是在局域网内对发往伪造IP地址的ARP(地址解析协议)请求数据包做回应,伪造IP数据包的数据链路层通讯,在完成了数据链路层数据交互后,对后续交互的网络数据做转发及其他二次处理,对攻击流量进行记录和分析,感知威胁,不是简单的避免攻击。在正常情况下,只有当IP地址实际配置在硬件网卡上才能对相关ARP请求做回复,本发明通过该TAP虚拟网络设备捕捉到所有的数据链路层数据包,对需要伪造IP地址回复ARP回复数据包,ARP数据包交互完成后通过创建TUN虚拟网络设备,将所有的IP数据包捕获并回复,达到伪造IP地址后能正常产生数据交互的目的。
本发明还会在数据转发末端(如蜜网系统)捕获及分析用户攻击行为。如将本发明中的设备部署到蜜网系统数据入口端,并采用本发明的方法,先进行ARP数据包的伪造,ARP通讯正常后,IP数据就能够正常交互,将该IP地址的网络流量引进蜜网系统,相当于诱捕攻击者进行攻击,蜜网系统可以进而分析攻击者的攻击行为。配置文件中可以配置很多(如200个)需要伪造的虚拟IP地址,而这些需要伪造的虚拟IP地址并未实际配置在局域网内的主机上,从而实现批量伪造IP地址对攻击进行诱捕,而不影响内网实际运作的主机。
下面结合附图1-2,对本发明的具体实施方式作详细的说明。
本发明提供了一种基于虚拟网络设备伪造IP地址防攻击的方法,包括如下步骤:
S1:创建一个网桥设备;
如果已经存在网桥设备,则无需再创建,可以直接使用;
S2:创建一个配置文件,配置需要伪造的虚拟IP地址;
S3:创建一个TAP虚拟网络设备;
如果已经存在TAP虚拟网络设备,则无需再创建,可以直接使用;
S4:从步骤S2中的配置文件获取需要伪造的虚拟IP地址;
S5:在步骤S3中创建的TAP虚拟网络设备中捕获所有对步骤S4中获取的需要伪造的虚拟IP地址的访问ARP请求数据,若捕获到,则伪造ARP回复数据发送给请求者;否则,不对ARP请求数据做响应;
S6:捕获步骤S5中伪造的虚拟IP地址的网络层数据包,利用捕获到的伪造虚拟IP地址的网络层数据进行网络攻击防护。
作为优选实施方式,在步骤S3之后,将系统物理网卡和步骤S3中创建的TAP虚拟网络设备接入到步骤S1中创建的网桥设备内。
作为优选实施方式,其特征在于,步骤S6包括如下步骤:
S61:设置系统防火墙ebtables规则;
S62:创建TUN虚拟网络设备;
如果已经存在TUN虚拟网络设备,则无需再创建,可以直接使用;
S63:在步骤S62中创建的所述TUN虚拟网络设备中配置系统策略路由;
S64:TUN虚拟网络设备根据步骤S2中的配置文件所配置的虚拟IP地址,对接收到的网络层流量进行ICMP数据处理和TCP数据转发,实现网络攻击防护。
作为优选实施方式,设置的所述系统防火墙ebtables规则使所有网络层数据包能够通过网络层路由。
作为优选实施方式,步骤S63中所述策略路由为:将物理网卡的网络流量重定向至TUN虚拟网络设备。
作为优选实施方式,ICMP数据处理包括:根据ICMP请求信息,封装ICMP数据包并回复给攻击者。
作为优选实施方式,步骤S63和步骤S64之间,根据转发的数据实现对攻击者发起的各种请求进行响应,并记录和分析攻击行为。
作为优选实施方式,所述数据转发通过设置系统iptables及策略路由实现。
作为优选实施方式,步骤S5中伪造ARP回复的所述数据包括:本机物理网卡的MAC地址。
本发明由TUN网络设备捕获伪造的IP地址的IP层数据后,根据获取到的ICMP请求数据信息封装ICMP回复包并发送给攻击者,还可以将捕获的伪造的IP地址的IP层TCP数据转发给蜜网系统,蜜网中的蜜罐对攻击者发起的各种请求进行响应,并记录和分析攻击行为,实现对攻击行为数据的充分利用。
实施例1
在IPv4地址的通讯中,通讯双方需要先通过ARP协议获取到对方网络的物理地址(MAC地址),在完成了数据链路层通讯后才可进行后续的IP数据交互。
本发明通过使用TUN/TAP(虚拟网络设备)创建一个TAP虚拟网络设备,该设备用于处理网络中数据链路层的数据包,主要是在局域网内对发往伪造IP地址的ARP(地址解析协议)请求数据包做回应,伪造IP数据包的数据链路层通讯,在完成了数据链路层数据交互后,对后续交互的网络数据做转发及其他二次处理,对攻击流量进行记录和分析,感知威胁,不是简单的避免攻击。在正常情况下,只有当IP地址实际配置在硬件网卡上才能对相关ARP请求做回复,本发明通过该TAP虚拟网络设备捕捉到所有的数据链路层数据包,对需要伪造IP地址回复ARP回复数据包,ARP数据包交互完成后通过创建TUN虚拟网络设备,将所有的IP数据包捕获并回复,达到伪造IP地址后能正常产生数据交互的目的。
本发明还会在数据转发末端(如蜜网系统)捕获及分析用户攻击行为。如将本发明中的设备部署到蜜网系统数据入口端,并采用本发明的方法,先进行ARP数据包的伪造,ARP通讯正常后,IP数据就能够正常交互,将该IP地址的网络流量引进蜜网系统,相当于诱捕攻击者进行攻击,蜜网系统可以进而分析攻击者的攻击行为。配置文件中可以配置很多(如200个)需要伪造的虚拟IP地址,而这些需要伪造的虚拟IP地址并未实际配置在局域网内的主机上,从而实现批量伪造IP地址对攻击进行诱捕,而不影响内网实际运作的主机。
附图1是将本发明应用于蜜网系统实现基于虚拟网络设备伪造IP地址防攻击的具体实施流程图,先由系统部署主机,作为数据入口端,这些主机与局域网内部的真实主机间可以进行通信。此时,攻击者与被伪造IP地址未进行ARP数据交互。然后将采用本发明提供的方法防攻击,并利用获取的攻击信息进行分析。
本发明提供了一种基于虚拟网络设备伪造IP地址防攻击的方法,以对IP地址192.168.103.2的攻击为例,包括如下步骤:
S1:创建一个网桥设备;
如果已经存在网桥设备,则无需再创建,可以直接使用;
S2:创建一个配置文件,配置需要伪造的虚拟IP地址(如配置IPv4地址192.168.103.2,也可以配置多个IPv4地址);
伪造的虚拟IP地址是用户自己设置的,如用户需要伪造单个虚拟IP地址192.168.103.2,则把该IP地址编辑进该配置文件即可,如需要伪造多个虚拟IP地址,则把每个需要需要伪造的虚拟IP地址都编辑进该配置文件。
S3:创建一个TAP虚拟网络设备;
如果已经存在TAP虚拟网络设备,则无需再创建,可以直接使用;
步骤S3之后,将系统物理网卡和步骤S3中创建的TAP虚拟网络设备接入到步骤S1中创建的网桥设备内所有访问被伪造IP的ARP请求数据(ARP REQUEST)将能够从TAP虚拟网络设备捕捉到。
S4:从步骤S2中的配置文件获取需要伪造的虚拟IP地址;
S5:在步骤S3中创建的TAP虚拟网络设备中捕获所有对步骤S4中获取的需要伪造的虚拟IP地址的访问ARP请求数据,若捕获到,则伪造ARP回复数据发送给请求者;否则,不对ARP请求数据做响应。
如攻击者对192.168.103.2发起攻击,需要先向局域网内发送ARP广播,用来获取192.168.103.2的MAC地址;
当攻击者通过网络访问(如TCP协议或ICMP协议)上述配置文件中的虚拟IP地址192.168.103.2时,步骤S5将以配置文件中配置的需要伪造的虚拟IP地址192.168.103.2直接作用到系统的网络数据交互中,类似将该IP地址192.168.103.2配置在主机的网卡上,但实际上并没有。如果攻击者访问用户预先在配置文件中配置的需要伪造的虚拟IP地址192.168.103.2,则在捕获到访问该IP地址192.168.103.2的网络流量后将会直接对该访问数据进行响应。
因为配置文件中配置的需要伪造的虚拟IP地址为192.168.103.2,通过TAP虚拟网络设备捕获到局域网内所有ARP广播数据包,但是只对IP地址192.168.103.2的请求进行应答,生成虚假MAC地址信息,封装成ARP回复数据包发往攻击者。如果配置文件中还有其他配置的需要伪造的虚拟IP地址,则针对配置文件中的其他伪造IP地址的访问进行响应。
如果配置文件中配置了200个IPv4地址,外部攻击者对这200个IP地址的任意一个发起攻击,本发明都能对其做出响应,返回ARP回复数据包,实现发送伪造APR回复数据包给攻击者。伪造的ARP回复数据包括:本机物理网卡的MAC地址。
S6:捕获步骤S5中伪造的虚拟IP地址的网络层数据包,利用捕获到的伪造虚拟IP地址的网络层数据进行网络攻击防护;
步骤S6包括以下步骤:
S61:设置系统防火墙ebtables规则;
设置系统防火墙ebtables规则,使所有网络层(IP层)数据包能够通过网络层路由。至此所有与被伪造的IP地址产生交互的IP数据包都能在TUN设备捕捉到。
S62:创建TUN虚拟网络设备;
如果已经存在TUN虚拟网络设备,则无需再创建,可以直接使用;
S63:在步骤S62中创建的所述TUN虚拟网络设备中配置系统策略路由;
将所有访问IP地址192.168.103.2的网络数据通过配置的Linux平台下的策略路由重定向至TUN虚拟网络设备。
S64:TUN虚拟网络设备根据步骤S2中的配置文件所配置的虚拟IP地址,对接收到的网络层流量进行ICMP数据处理和TCP数据转发,实现网络攻击防护。
当TUN虚拟网络设备捕获到ICMP数据时,如攻击者ping 192.168.103.2,将根据获取到的ICMP请求数据信息直接封装ICMP回复数据包给攻击者。
TUN虚拟网络设备接收到攻击者对伪造IP地址192.168.103.2的网络流量,将攻击者的TCP数据转发到蜜网系统内的主机,数据转发通过设置系统iptables及策略路由实现。蜜网内的蜜罐对攻击者发起的各种请求进行响应,并采集和记录攻击数据,分析攻击行为,实现对攻击行为数据的充分利用。
实施例2
如附图2所示,TAP网络设备接入网桥后,首先从配置有需要伪造的虚拟IP地址的配置文件中读取需要伪造的虚拟IP地址,当攻击者通过网络访问上述配置文件中的需要伪造的虚拟IP地址时,类似将该IP地址配置在主机的物理网卡上,然后TAP网络设备在数据链路层捕获所有对伪造IP地址进行的ARP请求数据,当捕获到对伪造IP地址的ARP请求数据时,TAP网络设备则伪造ARP回复数据发送给请求者;创建的TUN虚拟网络设备中配置系统策略路由,并在网络层捕获攻击者对上述需要伪造的IP地址的网络层数据,对于ICMP数据,直接封装ICMP回复数据包给攻击者,而对于TCP数据转发至蜜网,供蜜罐对攻击者的各种请求进行响应,实现对IP数据的扩展。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (9)
1.一种基于虚拟网络设备伪造IP地址防攻击的方法,其特征在于,包括如下步骤:
S1:创建一个网桥设备;
S2:创建一个配置文件,配置需要伪造的虚拟IP地址;
S3:创建一个TAP虚拟网络设备;
S4:从步骤S2中创建的配置文件获取需要伪造的虚拟IP地址;
S5:在步骤S3中创建的TAP虚拟网络设备中捕获所有对步骤S4中获取的需要伪造的虚拟IP地址的访问ARP请求数据,若捕获到,则伪造ARP回复数据发送给请求者;否则,不对ARP请求数据做响应;
S6:捕获步骤S5中伪造的虚拟IP地址的网络层数据包,利用捕获到的伪造虚拟IP地址的网络层数据进行网络攻击防护。
2.根据权利要求1所述的方法,其特征在于,在步骤S3与步骤S4之间,将系统物理网卡和步骤S3中创建的TAP虚拟网络设备接入到步骤S1中创建的网桥设备内。
3.根据权利要求1所述的方法,其特征在于,步骤S6包括如下步骤:
S61:设置系统防火墙ebtables规则;
S62:创建TUN虚拟网络设备;
S63:在步骤S62中创建的所述TUN虚拟网络设备中配置系统策略路由;
S64:TUN虚拟网络设备根据步骤S2中的配置文件所配置的虚拟IP地址,对接收到的网络层流量进行ICMP数据处理和TCP数据转发,实现网络攻击防护。
4.根据权利要求3所述的方法,其特征在于,设置的所述系统防火墙ebtables规则使所有网络层数据包能够通过网络层路由。
5.根据权利要求3所述的方法,其特征在于,步骤S63中所述策略路由为:将物理网卡的网络流量重定向至TUN虚拟网络设备。
6.根据权利要求3所述的方法,其特征在于,所述ICMP数据处理包括:根据ICMP请求信息,封装ICMP数据包并回复给攻击者。
7.根据权利要求3所述的方法,其特征在于,步骤S6还包括步骤S65,具体为:根据转发的TCP数据实现对攻击者发起的各种请求进行响应,并记录和分析攻击行为。
8.根据权利要求3所述的方法,其特征在于,所述数据转发通过设置系统iptables及策略路由实现。
9.根据权利要求1所述的方法,其特征在于,步骤S5中伪造ARP回复的所述数据包括:本机物理网卡的MAC地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010536860.2A CN111756712B (zh) | 2020-06-12 | 2020-06-12 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010536860.2A CN111756712B (zh) | 2020-06-12 | 2020-06-12 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111756712A true CN111756712A (zh) | 2020-10-09 |
| CN111756712B CN111756712B (zh) | 2021-03-19 |
Family
ID=72675993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010536860.2A Active CN111756712B (zh) | 2020-06-12 | 2020-06-12 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111756712B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112165537A (zh) * | 2020-09-17 | 2021-01-01 | 广州锦行网络科技有限公司 | 一种用于ping回复的虚拟IP的方法 |
| CN112398685A (zh) * | 2020-11-04 | 2021-02-23 | 腾讯科技(深圳)有限公司 | 基于移动终端的主机设备加速方法、装置、设备及介质 |
| CN112688932A (zh) * | 2020-12-21 | 2021-04-20 | 杭州迪普科技股份有限公司 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
| CN113098895A (zh) * | 2021-04-26 | 2021-07-09 | 成都中恒星电科技有限公司 | 一种基于dpdk的网络流量隔离系统 |
| CN113489731A (zh) * | 2021-07-12 | 2021-10-08 | 于洪 | 基于虚拟化网络的数据传输方法、系统和网络安全设备 |
| CN114244622A (zh) * | 2021-12-27 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种网络设备的伪装方法、装置、电子设备和存储介质 |
| CN114710307A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种基于虚拟网络的网络探测识别方法及系统 |
| CN114710309A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种流量混淆方法、装置及系统 |
| CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
| RU2814463C1 (ru) * | 2023-08-02 | 2024-02-28 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ защиты вычислительных сетей на основе легендирования |
-
2020
- 2020-06-12 CN CN202010536860.2A patent/CN111756712B/zh active Active
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112165537A (zh) * | 2020-09-17 | 2021-01-01 | 广州锦行网络科技有限公司 | 一种用于ping回复的虚拟IP的方法 |
| CN112398685A (zh) * | 2020-11-04 | 2021-02-23 | 腾讯科技(深圳)有限公司 | 基于移动终端的主机设备加速方法、装置、设备及介质 |
| CN112398685B (zh) * | 2020-11-04 | 2024-01-19 | 腾讯科技(深圳)有限公司 | 基于移动终端的主机设备加速方法、装置、设备及介质 |
| CN112688932A (zh) * | 2020-12-21 | 2021-04-20 | 杭州迪普科技股份有限公司 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
| CN113098895A (zh) * | 2021-04-26 | 2021-07-09 | 成都中恒星电科技有限公司 | 一种基于dpdk的网络流量隔离系统 |
| CN113489731A (zh) * | 2021-07-12 | 2021-10-08 | 于洪 | 基于虚拟化网络的数据传输方法、系统和网络安全设备 |
| CN114710307A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种基于虚拟网络的网络探测识别方法及系统 |
| CN114710309A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种流量混淆方法、装置及系统 |
| CN114244622A (zh) * | 2021-12-27 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种网络设备的伪装方法、装置、电子设备和存储介质 |
| CN114244622B (zh) * | 2021-12-27 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 一种网络设备的伪装方法、装置、电子设备和存储介质 |
| CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
| RU2814463C1 (ru) * | 2023-08-02 | 2024-02-28 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ защиты вычислительных сетей на основе легендирования |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111756712B (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| EP3923551A1 (en) | Method and system for entrapping network threat, and forwarding device | |
| Provos | A Virtual Honeypot Framework. | |
| KR101010465B1 (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
| US6775704B1 (en) | System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment | |
| US10375110B2 (en) | Luring attackers towards deception servers | |
| US7979903B2 (en) | System and method for source IP anti-spoofing security | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| Xia et al. | An active defense solution for ARP spoofing in OpenFlow network | |
| CN111556061B (zh) | 网络伪装方法、装置、设备及计算机可读存储介质 | |
| CN111683106B (zh) | 主动防护系统及方法 | |
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| RU2690749C1 (ru) | Способ защиты вычислительных сетей | |
| Data | The defense against arp spoofing attack using semi-static arp cache table | |
| Majumdar et al. | ARP poisoning detection and prevention using Scapy | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| Prabadevi et al. | A framework to mitigate ARP sniffing attacks by cache poisoning | |
| CN116760607A (zh) | 蜜罐诱捕节点的建立方法及装置、介质、设备 | |
| Fayyaz et al. | Using JPCAP to prevent man-in-the-middle attacks in a local area network environment | |
| US20220103582A1 (en) | System and method for cybersecurity | |
| Zhong et al. | Research on DDoS Attacks in IPv6 | |
| RU2680038C1 (ru) | Способ защиты вычислительных сетей | |
| RU2686023C1 (ru) | Способ защиты вычислительных сетей | |
| Trabelsi et al. | On investigating ARP spoofing security solutions | |
| Kavisankar et al. | CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |