CN111885046A - 一种基于Linux的透明内网访问方法及装置 - Google Patents

Abstract

本发明提供了一种基于Linux的透明内网访问方法及装置，属于网络安全技术领域，该方法包括如下步骤：S1：部署隧道装置；S2：创建网络隧道；S3：配置业务规则；S4：外部主机通过隧道访问内部主机；S5：内部主机通过隧道将回复数据由数据进入的网口传输至外部主机。该装置包括内部主机与外部主机，还包括：隧道客户端和隧道服务端。本发明外部主机只要能跟隧道客户端通信，无需额外设置，即可访问内部主机，而内部主机只要把网关设为隧道服务端，无需额外设置，即可回复外部主机数据，实现外部主机对内部主机的透明访问。本发明中内部主机能获取外部主机的真实IP地址，隐藏内部主机真实IP地址，有利于攻击防御和攻击溯源。

Description

一种基于Linux的透明内网访问方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于Linux的透明内网访问方法及装置。

背景技术

随着互联网的飞速发展，远程访问的需求越来越大，同时，网络安全问题也不容忽视。基于远程访问内网和网络安全隔离的需求，通常会用到虚拟专用隧道通信，但是传统的VPN隧道如PPTP、L2TP，客户端主机使用VPN的IP地址与内部主机通信，被访问的内部主机获取不到客户端主机的真实IP地址。

Linux系统拥有强大的网络功能，广泛用于各种网络设备。在一些想节省空间、降低成本，或充分利用硬件资源的场景下，会使用有多个网络接口的设备来部署业务，每个网口分配不同网段的IP地址，统一由系统管理。多网口的情况下，由于受Linux系统自身路由机制的影响，有时会存在通信异常的情况：网络数据从设备某个网口进来，转发出去之后，回来的数据没有从这个网口回去，导致通信异常。究其根本原因，是因为设备有多个网卡时，受系统路由的影响无法确定回复数据的网口。这一问题是目前亟待解决的问题，现有技术也进行了一些探索。

中国专利申请文献CN107026795A，公开了一种基于iptables和策略路由的回包至来源网口的方法，该方法主要包括以下步骤：Linux系统的网络设备接收到外部请求数据包；判断收到的外部请求数据包是否为所在链接上的首个数据包，如果是，则根据iptables规则，在该数据包上打上与接收该数据包的网口相关的标签，并保存到该数据包所在链接上，如果否，根据iptables规则，将标签保存到该数据包上；根据策略路由，将带有标签的所述外部请求数据包转发至Linux系统，Linux系统收到该数据包并作出应答，将应答消息转发至路由表中的网络设备，网络设备收到应答数据包，并根据iptables规则，将保存的标签打到该应答数据包上，并将该数据包通过对应的网口转发到请求方。对比文件1公开的方法，解决了多网口的情况下，Linux系统中可能会出现的因数据入网口与出网口不一致而导致的通信异常。该方法由被访问主机自身进行网口溯源，采用了打标记和策略路由，但是没有DNAT规则，而是通过被访问主机自身的路由转发功能把数据发送给内部主机，内部主机看不到访问者的真实IP；同时该方法没有使用隧道通信，访问者是直接访问内部主机的IP，不能隐藏和保护内部主机，不适用于对攻击的防御。

中国专利申请文献CN107483593B，公开了一种双向透明代理方法及系统。公开的系统包括：用户端、代理一端、代理二端和服务端。公开的方法为：代理一端根据请求端请求报文的协议类型是有链接还是无连接，配置对应的iptables规则，并接收根据该规则引导的请求端请求的报文，代理一端将请求端请求报文和报文的协议类型发送到代理二端；代理二端根据收到的请求端请求报文和报文的协议类型，以请求端请求报文中的请求端IP地址和请求端端口作为源IP地址和源端口，发送请求端请求报文到应答端；代理二端通过配置OSPF服务，引导并接收应答端的回应报文，并将该回应报文发送到代理一端；代理一端将接收到的应答端回应报文发送到请求端。对比文件2采用打标记和策略路由，引导请求报文进入代理端，以及记录连接关系，虽实现了透明访问，但是该方法不对网口等信息进行标记，不适用于多网口的情况，且该方法中通信是双向透明的，访问者和内部主机互相知道对方的真实IP地址。

现有技术至少存在以下不足：

1.在多网口的情况下，通过被访问主机自身的路由转发功能把数据发送给内部主机，内部主机看不到访问者的真实IP，不利于攻击防御和攻击溯源。

2.在多网口的情况下，没有使用隧道通信，访问者是直接访问内部主机的IP，不能隐藏和保护内部主机，不适用于对攻击的防御。

3.现有技术的透明访问方法，在用于部署诱捕节点和蜜罐时，只适用于一个主机部署一个或多个相同网段的诱捕节点的情况，部署成本高。

发明内容

为解决现有技术中存在的技术问题，本发明提供了一种基于Linux的透明内网访问装置及方法，该装置包括：外部主机和内部主机，还包括隧道客户端和隧道服务端。隧道客户端和隧道服务端使用C/S结构，外部主机和隧道客户端部署在外部网络，通过网络连接；内部主机和隧道服务端部署在内部网络，也通过网络连接；同时隧道客户端与隧道服务端通过网络连接，从而为实现充分利用设备资源、透明访问内网提供了一种隧道装置。在透明访问方法中，装置配置完成后，外部主机只要能跟隧道客户端通信，无需做额外设置，即可通过该装置访问内部主机，而内部主机只要把网关设为隧道服务端，无需额外设置，即可正常回复外部主机的访问，并且内部主机接收到的数据的源IP地址是访问者的真实主机IP地址，从而实现了对内网的透明访问，同时访问者的真实主机IP地址可以用于攻击溯源。该方法支持隧道客户端有多网口，可以充分利用设备资源。此外，本发明将隧道客户端布置为诱捕节点装置，诱捕节点装置有多个物理网卡，每个网卡配置多个同网段的IP地址，不同的网卡分别配置不同网段的IP地址，每个IP地址作为诱捕节点的IP地址，部署为诱捕节点，即一个IP地址对应一个诱捕节点，从而实现只使用一个网络主机即一个诱捕节点装置，达到部署运行多个诱捕节点的效果。

一种基于Linux的透明内网访问方法，其特征在于，包括如下步骤：

S1：部署隧道装置，所述隧道装置包括隧道客户端和隧道服务端；

S2：创建网络隧道：根据物理网口的数量，创建tun虚拟网卡和socket连接来创建网络隧道；

S3：配置业务规则：创建流量打标记规则、策略路由规则和DNAT规则，上述规则使从物理网口进入的数据可以通过网络隧道传输到与物理网口一一对应的内部主机；同时可以使内部主机回复外部主机的数据从进入数据的隧道和物理网口传输至外部主机；

S4：外部主机通过网络隧道访问内部主机：

外部主机访问数据根据步骤S3配置的规则，通过数据进入的物理网口对应的网络隧道，传输到隧道服务端，再由隧道服务端根据配置的规则将数据发给内部主机；

S5：内部主机返回的数据由外部主机访问时进入的物理网口传输给外部主机：

内部主机将回复数据传到隧道服务端，隧道服务端根据配置的规则，将回复数据通过访问数据进入时所用的网络隧道传输到隧道客户端，隧道客户端根据配置的规则将并回复数据由外部主机访问时进入的物理网口传输给外部主机。

优选地，部署多台所述隧道客户端，多台所述隧道客户端共用一个隧道服务端；所述隧道客户端含有多个物理网口，所述隧道服务端至少含有两个物理网口。

优选地，步骤S1中部署隧道装置还包括部署外部主机和内部主机，具体部署如下：

在外部网络部署隧道客户端和外部主机；

在内部网络部署隧道服务端和内部主机；

外部主机与隧道客户端通过网络连接；

隧道客户端与隧道服务端通过网络连接；

内部主机与隧道服务端通过网络连接。

优选地，所述外部网络部署为受保护的网络，所述内部网络部署为蜜网，所述外部主机部署为攻击者主机，所述隧道客户端部署为诱捕节点装置，每个诱捕节点装置部署多个诱捕节点，所述内部主机部署为蜜罐，每个所述诱捕节点绑定一个所述蜜罐。

优选地，所述诱捕节点装置有多个网卡，同一个网卡配置多个同网段的IP地址，不同的网卡分别配置不同网段的IP地址，所述IP地址作为诱捕节点的IP地址，部署诱捕节点。

这样，一个IP地址对应一个诱捕节点，从而实现只使用一个网络主机即一个诱捕节点装置，达到部署运行多个诱捕节点的效果。

优选地，步骤S3中配置业务规则包括以下步骤：

S301隧道服务端进行相关业务配置并创建规则：

隧道服务端配置如下绑定关系：

隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系；

隧道服务端的IP地址和端口与内部主机的IP地址和端口绑定关系；

隧道服务端根据隧道服务端的IP地址和端口与内部主机的IP地址和端口的绑定关系创建DNAT转发规则；

通过以上绑定关系及DNAT规则的配置，可以实现隐藏内部主机IP地址的目的。

隧道服务端使用iptables创建流量打标记规则；

隧道服务端创建策略路由规则，根据iptables打的标记，把内部主机回复数据发往对应的虚拟网卡及网络隧道；

S302隧道服务端将配置通知给隧道客户端：隧道服务端将隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系通知给隧道客户端；

S303隧道客户端创建规则：

隧道客户端使用iptables创建流量打标记规则，不同网口进来的数据被打上不同的标记，不同的标记对应不同的虚拟网卡；

隧道客户端创建策略路由规则，根据iptables打的标记把数据发往对应的虚拟网卡；

根据隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系，隧道客户端使用iptables创建DNAT转发规则。

优选地，步骤S4中外部主机通过网络隧道访问内部主机具体包括以下步骤：

S401：外部主机的访问数据从物理网口进来后，根据隧道客户端在iptables创建的打标记规则，iptables给所述访问数据打上对应于所述物理网口的标记；

S402：隧道客户端根据在iptables创建的DNAT规则，由iptables把访问数据的目标IP地址和目标端口由隧道客户端的IP地址和端口修改为隧道服务端的IP地址和端口；

S403：访问数据进入路由表，隧道客户端根据创建的策略路由规则，根据步骤S401中给访问数据打的标记把访问数据传输至该标记对应的虚拟网卡；

S404：隧道客户端从虚拟网卡读取到外部主机的访问数据，由虚拟网卡对应的隧道把访问数据传输到隧道服务端；

S405：隧道服务端接收到外部主机的数据后，记录外部主机的IP地址和源端口与本次通信所用隧道的对应关系；

S406：隧道服务端根据创建的DNAT转发规则把数据发送到外部主机请求访问的隧道客户端对应的内部主机。

内部主机接收的隧道服务端转发的流量中包括有外部主机的真实IP地址和端口，外部主机的真实IP地址对于网络安全是很重要的信息，本发明的方法内部主机可以获取外部主机的真实IP地址，可以用于攻击防御及攻击溯源。

优选地，步骤S5中内部主机返回数据给外部主机具体包括如下步骤：

S501：内部主机回复数据包到隧道服务端；

S502：隧道服务端根据创建的打标记规则，由iptables对回复数据包打标记；

S503：访问数据进入路由表，创建的策略路由规则根据iptables打的标记将回复数据包发送至隧道服务端的虚拟网卡；

S504：隧道服务端从虚拟网卡获取回复数据包，并根据之前记录的本次通信用的隧道把回复数据包发回给隧道客户端；

S505：隧道客户端把回复数据包发送至到该隧道对应的虚拟网卡，回复数据包进入路由表，根据创建的策略路由规则，回复数据包由访问数据进来时使用的物理网口传回至外部主机。

优选地，步骤S2中创建网络隧道包括以下步骤：

S201：隧道服务端创建一个tun虚拟网卡，创建一个socket并监听该socket端口；

S202：隧道客户端对应自身设备的每一个物理网口创建一个tun虚拟网卡；

S203：隧道客户端对应自身的每一个tun虚拟网卡创建一个与隧道服务端的socket连接，形成一条虚拟网络隧道。

本发明提供了一种用于上述透明内网访问方法的基于Linux的透明内网访问装置，包括外部主机和内部主机，其特征在于，还包括：隧道客户端和隧道服务端；

所述隧道客户端和所述外部主机位于外部网络；

所述隧道服务端和所述内部主机位于内部网络；

所述外部主机通过网络连接所述隧道客户端，所述隧道服务端通过网络连接所述内部主机；

所述外部网络为受保护的网络，所述内部网络为蜜网，所述外部主机为攻击者主机，所述隧道客户端为诱捕节点装置，每个诱捕节点装置部署多个诱捕节点，所述内部主机为蜜罐，每个所述诱捕节点绑定一个所述蜜罐。

与现有技术相对比，本发明的有益效果如下：

(1)本发明通过虚拟隧道进行数据传输，只用一根网线就能传输多个网口的数据，并且内部主机可以获取到外部主机的真实IP地址，而对外部主机隐藏内部主机的IP，有利于攻击的防御及攻击溯源。

(2)本发明通过使用iptables打标记规则和策略路由规则以及记录网口和连接信息，实现多网口情况下进出数据网口一致的效果。

(3)本发明的装置中，将外网部署为受保护网络，内网部署为蜜网，隧道客户端部署为诱捕节点装置，诱捕节点装置部署多个诱捕节点，内部主机部署为蜜罐，对诱捕节点与蜜罐进行绑定，实现了蜜网系统中仅使用一台配置有多个网口的网络主机，部署多个诱捕节点的效果，并且这些诱捕节点可以覆盖多个网段，充分利用了网络主机资源，极大节省了诱捕节点的部署空间和成本。

(4)本发明中隧道客户端含多个物理网口，覆盖多个不同的网段，通过为每个物理网口创建一个虚拟网卡，并为每个虚拟网卡创建一个与隧道服务端的虚拟隧道，达到了有效利用物理资源的效果，资源利用率高。

附图说明

图1是本发明装置的部署示例示意图；

图2是本发明方法示意图；

图3是本发明创建隧道的示意图；

图4是本发明配置规则示意图；

图5是本发明方法的示意图。

图6是本发明方法在蜜网中应用时初始化流程示意图。

图7是本发明方法在蜜网中应用时攻击者访问蜜罐的流程示意图。

具体实施方式

下面结合附图1-7，对本发明的具体实施方式作详细的说明。

一种基于Linux的透明内网访问方法，其特征在于，包括如下步骤：

S1：部署隧道装置，所述隧道装置包括隧道客户端和隧道服务端；

S2：创建网络隧道：根据物理网口的数量，创建tun虚拟网卡和socket连接来创建网络隧道；

S3：配置业务规则：创建流量打标记规则、策略路由规则和DNAT规则，上述规则使从物理网口进入的数据可以通过网络隧道传输到与物理网口一一对应的内部主机；同时可以使内部主机回复外部主机的数据从进入数据的隧道和物理网口传输至外部主机；

S4：外部主机通过网络隧道访问内部主机：

外部主机访问数据根据步骤S3配置的规则，通过数据进入的物理网口对应的网络隧道，传输到隧道服务端，再由隧道服务端根据配置的规则将数据发给内部主机；

S5：内部主机返回的数据由外部主机访问时进入的物理网口传输给外部主机：

内部主机将回复数据传到隧道服务端，隧道服务端根据配置的规则，将回复数据通过访问数据进入时所用的网络隧道传输到隧道客户端，隧道客户端根据配置的规则将并回复数据由外部主机访问时进入的物理网口传输给外部主机。

作为优选实施方式，部署多台所述隧道客户端，多台所述隧道客户端共用一个隧道服务端；所述隧道客户端含有多个物理网口，所述隧道服务端至少含有两个物理网口。

作为优选实施方式，步骤S1中部署隧道装置还包括部署外部主机和内部主机，具体部署如下：

在外部网络部署隧道客户端和外部主机；

在内部网络部署隧道服务端和内部主机；

外部主机与隧道客户端通过网络连接；

隧道客户端与隧道服务端通过网络连接；

内部主机与隧道服务端通过网络连接。

作为优选实施方式，所述外部网络部署为受保护的网络，所述内部网络部署为蜜网，所述外部主机部署为攻击者主机，所述隧道客户端部署为诱捕节点装置，每个诱捕节点装置部署多个诱捕节点，所述内部主机部署为蜜罐，每个所述诱捕节点绑定一个所述蜜罐。

作为优选实施方式，所述诱捕节点装置有多个网卡，同一个网卡配置多个同网段的IP地址，不同的网卡分别配置不同网段的IP地址，所述IP地址作为诱捕节点的IP地址，部署诱捕节点。

这样，一个IP地址对应一个诱捕节点，从而实现只使用一个网络主机即一个诱捕节点装置，达到部署运行多个诱捕节点的效果。

作为优选实施方式，步骤S3中配置业务规则包括以下步骤：

S301隧道服务端进行相关业务配置并创建规则：

隧道服务端配置如下绑定关系：

隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系；

隧道服务端的IP地址和端口与内部主机的IP地址和端口绑定关系；

隧道服务端根据隧道服务端的IP地址和端口与内部主机的IP地址和端口的绑定关系创建DNAT转发规则；

隧道服务端使用iptables创建打标记规则；

隧道服务端创建策略路由规则，根据iptables打的标记，把内部主机回复数据发往对应的虚拟网卡及网络隧道；

S302隧道服务端将配置通知给隧道客户端：隧道服务端将隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系通知给隧道客户端；

S303隧道客户端创建规则：

隧道客户端使用iptables创建流量打标记规则，不同网口进来的数据被打上不同的标记，不同的标记对应不同的虚拟网卡；

隧道客户端创建策略路由规则，根据iptables打的标记把数据发往对应的虚拟网卡；

根据隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系，隧道客户端使用iptables创建DNAT转发规则。

作为优选实施方式，步骤S4中外部主机通过网络隧道访问内部主机具体包括以下步骤：

S401：外部主机的访问数据从物理网口进来后，根据隧道客户端在iptables创建的打标记规则，iptables给所述访问数据打上对应于所述物理网口的标记；

S402：隧道客户端根据在iptables创建的DNAT规则，由iptables把访问数据的目标IP地址和目标端口由隧道客户端的IP地址和端口修改为隧道服务端的IP地址和端口；

S403：访问数据进入路由表，隧道客户端根据创建的策略路由规则，根据步骤S401中给访问数据打的标记把访问数据传输至该标记对应的虚拟网卡；

S404：隧道客户端从虚拟网卡读取到外部主机的访问数据，由虚拟网卡对应的隧道把访问数据传输到隧道服务端；

S405：隧道服务端接收到外部主机的数据后，记录外部主机的IP地址和源端口与本次通信所用隧道的对应关系；

S406：隧道服务端根据创建的DNAT转发规则把数据发送到外部主机请求访问的隧道客户端对应的内部主机。

内部主机接收的隧道服务端转发的流量中包括有外部主机的真实IP地址和端口，外部主机的真实IP地址对于网络安全是很重要的信息，本发明的方法内部主机可以获取外部主机的真实IP地址，可以用于攻击防御及攻击溯源。

作为优选实施方式，步骤S5中内部主机返回数据给外部主机具体包括如下步骤：

S501：内部主机回复数据包到隧道服务端；

S502：隧道服务端根据创建的打标记规则，由iptables对回复数据包打标记；

S503：访问数据进入路由表，创建的策略路由规则根据iptables打的标记将回复数据包发送至隧道服务端的虚拟网卡；

S504：隧道服务端从虚拟网卡获取回复数据包，并根据之前记录的本次通信用的隧道把回复数据包发回给隧道客户端；

S505：隧道客户端把回复数据包发送至到该隧道对应的虚拟网卡，回复数据包进入路由表，根据创建的策略路由规则，回复数据包由访问数据进来时使用的物理网口传回至外部主机。

作为优选实施方式，步骤S2中创建网络隧道包括以下步骤：

S201：隧道服务端创建一个tun虚拟网卡，创建一个socket并监听该socket端口；

S202：隧道客户端对应自身设备的每一个物理网口创建一个tun虚拟网卡；

S203：隧道客户端对应自身的每一个tun虚拟网卡创建一个与隧道服务端的socket连接，形成一条虚拟网络隧道。

本发明提供了一种用于上述透明内网访问方法的基于Linux的透明内网访问装置，包括外部主机和内部主机，其特征在于，还包括：隧道客户端和隧道服务端；

所述隧道客户端和所述外部主机位于外部网络；

所述隧道服务端和所述内部主机位于内部网络；

所述外部主机通过网络连接所述隧道客户端，所述隧道服务端通过网络连接所述内部主机；

所述外部网络为受保护的网络，所述内部网络为蜜网，所述外部主机为攻击者主机，所述隧道客户端为诱捕节点装置，每个诱捕节点装置部署多个诱捕节点，所述内部主机为蜜罐，每个所述诱捕节点绑定一个所述蜜罐。

实施例1

根据本发明的一个具体实施方案，以下参照附图1-5，以1个外部主机(IP地址：192.168.2.2，系统随机分配的端口：37123)访问内部主机(IP地址：192.168.10.10，端口：80)为例，对本发明提供的方法进行详细说明。

本发明提供了一种基于Linux的透明内网访问方法，包括如下步骤：

S1：部署隧道装置，所述隧道装置包括隧道客户端和隧道服务端；

参照附图1，所述隧道客户端部署多台，隧道客户端1和隧道客户端2，多台所述隧道客户端共用一个隧道服务端；所述隧道客户端含有多个网口，网口1、网口2、网口3和网口4，所述隧道服务端至少含有两个网口，网口1和网口2。

步骤S1中部署隧道装置具体包括：

在外部网络部署隧道客户端1和隧道客户端2、外部主机1、外部主机2、外部主机3和外部主机4；

在内部网络部署隧道服务端、内部主机1、内部主机2和内部主机3；

外部主机与隧道客户端通过网络连接，附图1中，隧道客户端1和隧道客户端2均与隧道服务通过网络连接；

内部主机与隧道服务端通过网络连接，隧道服务端与内部主机1、内部主机2和内部主机3均通过网络连接。

本发明应用于蜜网时，外部网络部署为受保护的网络，内部网络部署为蜜网，外部主机部署为攻击者主机，隧道客户端部署为诱捕节点装置，每个诱捕节点装置部署多个诱捕节点，每个内部主机部署为一个蜜罐，每个所述诱捕节点绑定一个所述蜜罐。

每个诱捕节点装置创建多个虚拟网卡，同一个网卡配置多个同网段的IP地址，不同的网卡分别配置不同网段的IP地址，每个IP地址作为一个诱捕节点的IP地址，部署诱捕节点。

这样，一个诱捕装置部署多个诱捕节点，一个IP地址对应一个诱捕节点，从而实现只使用一个网络主机即一个诱捕节点装置，达到部署运行多个诱捕节点的效果。

S2：创建网络隧道：根据物理网口的数量，创建tun虚拟网卡和socket连接来创建网络隧道；

为隧道客户端1的每个物理网口，即网口1、网口2、网口3和网口4分别配置不同网段的IP，即：192.168.2.3、192.168.3.3、192.168.168.4.3、192.168.5.3。

配置隧道服务端网口1和网口2的IP地址分别为：192.168.20.2和192.168.10.2。

参照附图3，创建网络隧道包括以下步骤：

S21：隧道服务端在网口2创建一个tun虚拟网卡，并创建一个socket，监听该socket端口；

S22：隧道客户端1对应每一个物理网口，即网口1、网口2、网口3和网口4分别创建一个tun虚拟网卡，即虚拟网卡1、虚拟网卡2、虚拟网卡3和虚拟网卡4；

S23：隧道客户端1对应自身的每一个tun虚拟网卡虚拟网卡1、虚拟网卡2、虚拟网卡3和虚拟网卡4创建一个与隧道服务端的socket连接，即一条虚拟隧道，创建的虚拟隧道分别是虚拟隧道1、虚拟隧道2、虚拟隧道3和虚拟隧道4。

S3：配置业务规则：创建数据打标记规则、策略路由规则和DNAT规则，上述规则使从物理网口进入的数据可以通过网络隧道传输到与物理网口一一对应的内部主机；同时可以使内部主机回复外部主机的数据从进入数据的隧道和物理网口传输至外部主机；

参照图4，步骤S3中配置业务规则包括以下步骤：

S301隧道服务端进行相关业务配置并创建规则：

隧道服务端配置如下绑定关系：

隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系；

隧道服务端的IP地址和端口与内部主机的IP地址和端口绑定关系；

隧道服务端根据隧道服务端的IP地址和端口与内部主机的IP地址和端口的绑定关系创建DNAT转发规则；

根据隧道服务端的IP地址和端口与内部主机的IP地址和端口绑定关系创建DNAT转发规则；

配置内部主机1的IP地址为：192.168.10.10，内网端口：80端口；

通过内部主机的IP地址和端口与隧道服务端的IP地址和端口的绑定关系以及隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系，将提供服务的内部主机1(IP地址为：192.168.10.10)的80端口绑定到隧道客户端1的网口1(IP地址为192.168.2.3)的80端口上；

隧道服务端使用iptables创建打标记规则；

隧道服务端创建策略路由规则，根据iptables打的标记，把内部主机回复数据发往对应的虚拟网卡及网络隧道；

S302隧道服务端将配置通知给隧道客户端：隧道服务端将隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系通知给隧道客户端；

将隧道服务端的IP地址192.168.10.2和80端口与隧道客户端1的网口1(IP地址为192.168.2.3)的80端口的绑定关系通知给隧道客户端；

S303隧道客户端创建规则：

隧道客户端使用iptables创建打标记规则，不同网口进来的数据被打上不同的标记，不同的标记对应不同的虚拟网卡；

隧道客户端创建策略路由规则，根据打的标记把数据发往对应的虚拟网卡；

根据隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系，隧道客户端使用iptables创建DNAT转发规则；

DNAT转发规则为：当外部主机1(IP地址为192.168.2.2)访问隧道客户端1的网口1(IP地址为192.168.2.3)的80端口时，隧道客户端1将数据的目标IP和目标端口改为隧道服务端的IP地址和端口；随后通过隧道发送给隧道服务端，隧道服务端再根据隧道服务端的IP地址和端口与内部主机1的IP地址192.168.10.10和80端口绑定关系，将数据转发到内部主机1(IP地址为192.168.10.10)的80端口。

S4：外部主机通过网络隧道访问内部主机：

外部主机访问数据根据步骤S3配置的规则，通过数据进入的物理网口对应的网络隧道，传输到隧道服务端，再由隧道服务端根据配置的规则将数据发给内部主机；

步骤S4中外部主机通过网络隧道访问内部主机具体包括以下步骤：

S401：外部主机的访问数据从物理网口进来后，根据隧道客户端在iptables创建的打标记规则，iptables给所述访问数据打上对应于所述物理网口的标记；

隧道客户端1用iptables给外部主机1进来的数据打上标记：0x1，表示数据是从网口1进来的；

S402：隧道客户端根据在iptables创建的DNAT规则，由iptables把访问数据的目标IP地址和目标端口由隧道客户端的IP地址和端口修改为隧道服务端的IP地址和端口；

S403：访问数据进入路由表，隧道客户端根据创建的策略路由规则，根据步骤S401中给访问数据打的标记把访问数据传输至该标记对应的虚拟网卡；

S404：隧道客户端从虚拟网卡读取到外部主机的访问数据，由虚拟网卡对应的隧道把访问数据传输到隧道服务端；

隧道客户端1根据步骤S401为数据打的标记，结合策略路由，引导数据进入虚拟隧道1；隧道客户端1根据步骤S303中配置的数据转发规则，将外部主机1的数据从虚拟隧道1发送到隧道服务端；

S405：隧道服务端接收到外部主机的数据后，记录外部主机的IP地址和源端口与本次通信所用隧道的对应关系；

隧道服务端接收到外部主机1的数据后，获取到该数据的源IP和源端口，也就是外部主机1的IP地址192.168.2.2和本次访问用到的随机端口37123，并记录该信息与本次连接用的虚拟隧道1的对应关系；

S406：隧道服务端根据创建的DNAT转发规则把数据发送到外部主机请求访问的内部主机。

隧道服务端根据DNAT转发规则，也就是隧道客户端IP地址和端口与内部主机IP地址和端口的绑定关系，将数据转发至内部主机(IP地址为：192.168.10.10)的80端口。

S5：内部主机返回的数据由外部主机访问时进入的物理网口传输给外部主机：

内部主机将回复数据传到隧道服务端，隧道服务端根据配置的规则，将回复数据通过访问数据进入时所用的网络隧道传输到隧道客户端，隧道客户端根据配置的规则将并回复数据由外部主机访问时进入的物理网口传输给外部主机。

步骤S5中内部主机返回数据给外部主机具体包括如下步骤：

S501：内部主机回复数据包到隧道服务端；

S502：隧道服务端根据创建的打标记规则，由iptables对回复数据包打标记；

S503：访问数据进入路由表，根据创建的策略路由规则根据iptables打的标记将回复数据包发送至隧道服务端的虚拟网卡；

S504：隧道服务端从虚拟网卡获取回复数据包，并根据之前记录的本次通信用的隧道把回复数据包发回给隧道客户端；

隧道服务端采用步骤S405记录的本次连接用的虚拟隧道1把数据发回给隧道客户端；

S505：隧道客户端把回复数据包发送至到该隧道对应的虚拟网卡，回复数据包进入路由表，根据创建的策略路由规则，回复数据包由访问数据进来时使用的物理网口传回至外部主机。

实施例2

本实施例结合附图6，对本发明提供的透明内网访问方法在蜜网中的应用时诱捕节点装置的初始化过程进行详细说明。

1.配置诱捕节点装置IP：本实施例的诱捕节点装置的运行环境是安装了Linux系统的x86架构的网络主机设备，此设备有4个物理网口。假设用户网络有192.168.10.0/24以及192.168.20.0/24两个网段需要部署诱捕节点，网口1的IP地址配置为192.168.10.10/24，网口名为eth1，网口2的IP配置为192.168.20.20/24，网口名为eth2，网口3和网口4暂不配置。将网口1和网口2的网线接入交换机，蜜网服务器的IP地址配置为192.168.50.50/24，在诱捕节点装置录入蜜网服务器的IP地址，确定网口1配置的IP地址能够跟蜜网服务器通信，启动诱捕节点装置程序。

2.创建网络隧道及相关规则和策略：

2.1.诱捕节点装置根据物理网口数量，创建4个tun虚拟网卡，分别是tun1、tun2、tun3、tun4。

然后诱捕节点装置创建4个跟蜜网服务器内部的隧道服务端通信的socket连接，分别是socket1、socket2、socket3和socket4，也就是创建了4条虚拟网络隧道。

2.2.诱捕节点装置使用iptables创建打标记规则，每个网口对应一条规则。

2.3.诱捕节点装置创建策略路由规则，策略路由规则分两部分：

第1部分：用于将物理网口进来的数据转发到对应的虚拟网卡。策略路由规则判断数据是否被打了标记，若被打了标记，则根据标记，把数据发到该标记对应的虚拟网卡。

第2部分：用于引导蜜罐回复给攻击者的数据，从当初攻击数据进来的物理网口传出去。

3.诱捕节点绑定蜜罐：登录蜜网服务器的蜜网管理中心的web页面，可看到这个诱捕节点装置的两个诱捕节点192.168.10.10和192.168.20.20都上线了。

给192.168.10.10节点绑定一个Linux主机蜜罐，这个蜜罐提供了SSH服务，端口为22，以及HTTP服务，端口为80，此蜜罐称为蜜罐1。

给192.168.20.20节点绑定一个windows主机蜜罐，这个蜜罐提供了RDP服务，端口为3389，此蜜罐称为蜜罐2。

4.随后诱捕节点装置自动获取到步骤3中诱捕节点与蜜罐的绑定关系，根据绑定关系，使用iptables创建DNAT转发规则，使用iptables命令可查看到自动创建好的规则：

Chain PREROUTING(policy ACCEPT)

target prot opt source destination

DNAT tcp--0.0.0.0/0 192.168.10.10 tcp dpt:22 to:192.168.50.50:12322

DNAT tcp--0.0.0.0/0 192.168.10.10 tcp dpt:80 to:192.168.50.50:12380

以第一条规则为例：当攻击者访问192.168.10.10的22服务端口时，这条DNAT规则把攻击数据的目标IP地址和目标端口，也就是192.168.10.10和22，修改为隧道服务器端的IP地址192.168.50.50和12322端口(这个端口是随机分配的)，隧道客户端结合策略路由，把攻击数据由隧道转发给隧道服务端，隧道服务端根据之前基于该绑定关系创建的转发规则，把攻击数据转发给该诱捕节点绑定的Linux主机蜜罐的22端口。攻击者访问IP地址为192.168.10.10诱捕节点的22端口，就相当于访问了绑定的Linux蜜罐的22端口，相似地，攻击者访问192.168.10.10诱捕节点的80端口，就相当于访问了绑定的Linux蜜罐的80端口；攻击者访问192.168.20.20诱捕节点的3389端口，就相当于访问了绑定的Windows蜜罐的3389端口。

结束所有规则创建之后，诱捕节点及蜜罐等待攻击者攻击。

实施例3

根据本发明的一个具体实施方案，结合附图2和附图7，基于实施例2的初始化配置，以下详细描述攻击者1(IP地址为192.168.10.11)访问诱捕节点装置的IP地址为192.168.10.10的诱捕节点的详细过程。

1.攻击者1(IP地址为192.168.10.11，本次攻击使用随机分配的端口37123端口)对诱捕节点装置1的网口1的IP地址为192.168.10.10诱捕节点发起攻击，攻击该诱捕节点的22服务端口。

2.诱捕节点装置根据创建的打标记规则对攻击数据打标记，并根据创建的DNAT规则修改目标IP地址和端口为隧道服务端的IP地址(192.168.50.50)和22端口，并结合策略路由，把数据引入虚拟网卡1。

3.诱捕节点装置使用虚拟网卡1对应的隧道1把数据发给隧道服务端。

4.隧道服务端收到攻击数据后，取得本次攻击源攻击者1的IP地址：192.168.10.11及源端口37123，记录该信息及本次连接所用隧道1的对应关系，再根据诱捕节点跟蜜罐的绑定关系，把数据转发给蜜罐1的22端口。

5.蜜罐回复数据给攻击者，该数据先传输到隧道服务端。

6.隧道服务端使用之前记录的本次连接所用的隧道1，把数据发给诱捕节点装置。

7.诱捕节点装置从隧道1接收到蜜罐回复的数据，把数据发到对应的虚拟网卡1，结合策略路由，数据从网口1发给攻击者1，实现回复数据与访问数据都使用网口1。

本发明的所有实施例中，外部主机只要能跟隧道客户端通信，无需做额外设置，即可通过该方法访问到内部主机，而内部主机只要把网关设为隧道服务端，无需额外设置，即可正常回复外部主机的访问，实现外部主机对内部主机的透明访问。本发明中内部主机能获取外部主机的真实IP地址，可以用于攻击防御及攻击溯源，同时对外部主机隐藏内部主机的IP地址，对内部主机进行攻击防御。同时，本发明中的隧道客户端支持多个网口，充分利用设备的资源，提供资源利用率，节省空间，节约成本。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均包含在本发明的保护范围之内。

Claims (10)

1.一种基于Linux的透明内网访问方法，其特征在于，包括如下步骤：

S1：部署隧道装置，所述隧道装置包括隧道客户端和隧道服务端；

S2：创建网络隧道：根据物理网口的数量，创建tun虚拟网卡和socket连接来创建网络隧道；

S3：配置业务规则：创建流量打标记规则、策略路由规则和DNAT规则，上述规则使从物理网口进入的数据可以通过网络隧道传输到与该物理网口的IP地址和端口一一对应的内部主机的IP地址和端口；同时可以使内部主机回复外部主机的数据从数据进入的隧道和物理网口传输至外部主机；

S4：外部主机通过网络隧道访问内部主机：

外部主机访问数据根据步骤S3配置的DNAT规则，通过数据进入的物理网口对应的网络隧道，传输到隧道服务端，再由隧道服务端根据配置的DNAT规则将数据发给内部主机；

S5：内部主机返回的数据由外部主机访问时进入的物理网口传输给外部主机：

内部主机将回复数据传到隧道服务端，隧道服务端根据配置的规则，将回复数据通过访问数据进入时所用的网络隧道传输到隧道客户端，隧道客户端根据配置的规则将回复数据由外部主机访问时进入的物理网口传输给外部主机。

2.根据权利要求1所述的基于Linux的透明内网访问方法，其特征在于，部署多台所述隧道客户端，多台所述隧道客户端共用一个隧道服务端；所述隧道客户端含有多个物理网口，所述隧道服务端至少含有两个物理网口。

3.根据权利要求2所述的基于Linux的透明内网访问方法，其特征在于，步骤S1中部署隧道装置还包括部署外部主机和内部主机，具体部署如下：

在外部网络部署隧道客户端和外部主机；

在内部网络部署隧道服务端和内部主机；

外部主机与隧道客户端通过网络连接；

隧道客户端与隧道服务端通过网络连接；

内部主机与隧道服务端通过网络连接。

4.根据权利要求3所述的基于Linux的透明内网访问方法，其特征在于，所述外部网络部署为受保护的网络，所述内部网络部署为蜜网，所述外部主机部署为攻击者主机，所述隧道客户端部署为诱捕节点装置，每个诱捕节点装置部署多个诱捕节点，所述内部主机部署为蜜罐，每个所述诱捕节点绑定一个所述蜜罐。

5.根据权利要求4所述的基于Linux的透明内网访问方法，其特征在于，所述诱捕节点装置有多个网卡，同一个网卡配置多个同网段的IP地址，不同的网卡分别配置不同网段的IP地址，每个所述IP地址作为诱捕节点的IP地址，部署诱捕节点。

6.根据权利要求1所述的基于Linux的透明内网访问方法，其特征在于，步骤S3中配置业务规则包括以下步骤：

S301隧道服务端进行相关业务配置并创建规则：

隧道服务端配置如下绑定关系：

隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系；

隧道服务端的IP地址和端口与内部主机的IP地址和端口绑定关系；

隧道服务端根据隧道服务端的IP地址和端口与内部主机的IP地址和端口的绑定关系创建DNAT转发规则；

隧道服务端使用iptables创建流量打标记规则；

隧道服务端创建策略路由规则，根据iptables打的标记，把内部主机回复数据发往对应的虚拟网卡及网络隧道；

S302隧道服务端将配置通知给隧道客户端：隧道服务端将隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系通知给隧道客户端；

S303隧道客户端创建规则：

隧道客户端使用iptables创建流量打标记规则，不同网口进来的数据被打上不同的标记，不同的标记对应不同的虚拟网卡；

隧道客户端创建策略路由规则，根据iptables打的标记把数据发往对应的虚拟网卡；

根据隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系，隧道客户端使用iptables创建DNAT转发规则。

7.根据权利要求1所述的基于Linux的透明内网访问方法，其特征在于，步骤S4中外部主机通过网络隧道访问内部主机具体包括以下步骤：

S401：外部主机的访问数据从物理网口进来后，根据隧道客户端在iptables创建的打标记规则，iptables给所述访问数据打上对应于所述物理网口的标记；

S402：隧道客户端根据在iptables创建的DNAT规则，由iptables把访问数据的目标IP地址和目标端口由隧道客户端的IP地址和端口修改为隧道服务端的IP地址和端口；

S403：访问数据进入路由表，隧道客户端根据创建的策略路由规则，根据步骤S401中给访问数据打的标记把访问数据传输至该标记对应的虚拟网卡；

S404：隧道客户端从虚拟网卡读取到外部主机的访问数据，由虚拟网卡对应的隧道把访问数据传输到隧道服务端；

S405：隧道服务端接收到外部主机的数据后，记录外部主机的IP地址和源端口与本次通信所用隧道的对应关系；

S406：隧道服务端根据创建的DNAT转发规则把数据发送到外部主机请求访问的隧道客户端对应的内部主机。

8.根据权利要求1所述的基于Linux的透明内网访问方法，其特征在于，步骤S5中内部主机返回数据给外部主机具体包括如下步骤：

S501：内部主机回复数据包到隧道服务端；

S502：隧道服务端根据创建的打标记规则，由iptables对回复数据包打标记；

S503：访问数据进入路由表，创建的策略路由规则根据iptables打的标记将回复数据包发送至隧道服务端的虚拟网卡；

S504：隧道服务端从虚拟网卡获取回复数据包，并根据之前记录的本次通信用的隧道把回复数据包发回给隧道客户端；

S505：隧道客户端把回复数据包发送至到该隧道对应的虚拟网卡，回复数据包进入路由表，根据创建的策略路由规则，回复数据包由访问数据进来时使用的物理网口传回至外部主机。

9.根据权利要求1所述的基于Linux的透明内网访问方法，其特征在于，步骤S2中创建网络隧道包括以下步骤：

S201：隧道服务端创建一个tun虚拟网卡，创建一个socket并监听该socket端口；

S202：隧道客户端对应自身设备的每一个物理网口创建一个tun虚拟网卡；

S203：隧道客户端对应自身的每一个tun虚拟网卡创建一个与隧道服务端的socket连接，形成一条虚拟网络隧道。

10.一种用于权利要求1-9中任一项所述的透明内网访问方法的基于Linux的透明内网访问装置，包括外部主机和内部主机，其特征在于，还包括：隧道客户端和隧道服务端；

所述隧道客户端和所述外部主机位于外部网络；

所述隧道服务端和所述内部主机位于内部网络；

所述外部主机通过网络连接所述隧道客户端，所述隧道服务端通过网络连接所述内部主机；

所述外部网络为受保护的网络，所述内部网络为蜜网，所述外部主机为攻击者主机，所述隧道客户端为诱捕节点装置，每个诱捕节点装置部署多个诱捕节点，所述内部主机为蜜罐，每个所述诱捕节点绑定一个所述蜜罐。

Images