CN112714137A - 一种基于虚拟交换跨vlan大规模部署蜜网的方法 - Google Patents
一种基于虚拟交换跨vlan大规模部署蜜网的方法 Download PDFInfo
- Publication number
- CN112714137A CN112714137A CN202110316491.0A CN202110316491A CN112714137A CN 112714137 A CN112714137 A CN 112714137A CN 202110316491 A CN202110316491 A CN 202110316491A CN 112714137 A CN112714137 A CN 112714137A
- Authority
- CN
- China
- Prior art keywords
- vlan
- virtual
- host machine
- address pool
- machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于虚拟交换跨vlan大规模部署蜜网的方法,步骤一:在宿主机上创建虚拟交换机;步骤二:宿主机通过虚拟交换机创建不同的vlan逻辑接口;步骤三:将宿主机vlan逻辑接口对应物理交换机vlan接口,创建关联标签;步骤四:宿主机对应配置每个vlan逻辑接口可用的ip地址池;步骤五:宿主机创建虚拟机、网桥,选择虚拟机将加入的ip地址池;步骤六:宿主机创建虚拟机完毕,在宿主机上产生一个新的网卡;步骤七:在宿主机上为新加入的网卡加上标签;步骤八:为虚拟机添加默认路由。本发明通过一个宿主机,创建出多个虚拟机,分属交换机所划分的不同网段,极大程度上为网络安全、蜜网建设提供帮助。
Description
技术领域
本发明涉及网络威胁检测技术领域,具体涉及一种基于虚拟交换跨vlan大规模部署蜜网的方法。
背景技术
常见的网络威胁检测包括防火墙、ids方式和传统的蜜网威胁检测等。防火墙技术主要的威胁检测方式主要是通过防火墙策略控制访客,从而达到保护用户资料与信息的目的。ids技术主要是通过对网络传输进行及时监视,在发现可疑传输时发出警报或采取主动反应。传统蜜网威胁检测主要是通过部署作为沙箱的主机、网络服务或信息,诱使攻击方对其实施攻击,从而捕获攻击行为并对其加以分析。传统网络威胁检测的局限性如下:
(1)防火墙和ids的局限性:
利用策略或规则,难以发现新兴的威胁,并且有可能会产生误报。普通用户使用时,也可能会有授权用户的正常行为被报告为警报,因此可能会有极少数的真正的威胁被淹没在巨量的误报信息中,让管理员无法及时、精准地针对威胁进行防护。
(2)传统蜜网威胁检测的局限性
虽然误报率较低,但部署沙箱的成本过高。误报率低是因为蜜网沙箱并非真实的业务资产,因此,一旦与外界存在交互,或者外界访问此沙箱上的服务,就确定是入侵。
传统蜜网的沙箱的部署需要仿真度较高,才能骗过攻击者,仿真度较高需要与真实的业务资产服务器相差不大的硬件配置。每个linux沙箱的最低配置都需要1核1G处理器,同时需要至少16G存储空间,如果是windows沙箱甚至需要更多硬件资源。如果部署100个沙箱甚至更多,所需要的就是巨量的硬件资源,会极大程度影响真实业务资产。为了保障真实业务的正常运行,只能缩减沙箱数量。因此导致无法全方位覆盖需要保护的主机、网络服务或信息,攻击者仍然有非常大的概率不经过蜜罐,而直接攻击到真实的主机。同时,客户资产很有可能在一个复杂的网络环境中,处于多个网段中,这些网段也不一定能通,这些都靠一个物理交换机控制。而如果要配置一个全面覆盖的蜜网,需要的成本非常大,而且几乎不可能做到同时兼顾一个虚拟机上所有的网络环境。因此,现有的虚拟机技术中,无法实现一个宿主机创建多个网段下的虚拟机,宿主机创建的虚拟机使用的网络很少,理论上,计算机资源足够多的情况下,可以创建某个网段中可用地址最多254个。这样少的数量与虚拟检测需要的海量蜜罐不符。而且同一个网段,攻击者发现了一个蜜罐之后,就容易避开该蜜罐所在网段,让威胁检测变更困难。
发明内容
本发明的目的在于:提供一种基于虚拟交换跨vlan大规模部署蜜网的方法,用于解决现有技术难以使用一个宿主机创建多个可以连通不同网段的虚拟机。
本发明公开的一种基于虚拟交换跨vlan大规模部署蜜网的方法,包括:
步骤一:在宿主机上创建虚拟交换机;
步骤二:宿主机通过虚拟交换机创建不同的vlan逻辑接口;
步骤三:将宿主机vlan逻辑接口对应物理交换机vlan接口,创建关联标签;
步骤四:宿主机对应配置每个vlan逻辑接口可用的ip地址池;
步骤五:宿主机创建虚拟机、网桥,选择虚拟机将加入的ip地址池;
步骤六:宿主机创建虚拟机完毕,在宿主机上产生一个新的网卡;
步骤七:在宿主机上为新加入的网卡加上标签,使其数据包中带有vlan逻辑接口标签,虚拟机可以与对应vlan逻辑接口进行通信;
步骤八:为虚拟机添加默认路由,用于连接网络。
本发明公开的一种基于虚拟交换跨vlan大规模部署蜜网的方法,所述步骤二中,创建的vlan逻辑接口指定接口类型。
所述步骤四中,ip地址池为物理交换机vlan接口中没有被用过的地址集合。所述配置每个vlan逻辑接口可用的ip地址池的内容包括:命名ip地址池,指定vlan逻辑接口类型,配置该ip地址池的标签,配置该ip地址池的ip地址,配置该ip地址池路由,在该ip地址池上启动dhcp服务。
所述步骤五,当宿主机创建虚拟机时,先选定一个vlan标签,创建虚拟机时,自动使用dhcp功能,分配给虚拟机一个该vlan标签下的可用ip地址池内ip地址。所述的ip地址是可用的,所述ip地址池的网络环境完全与外部物理交换机中对应的真实vlan中的网络环境一致。
本发明的有益效果:
本发明通过在宿主机上部署一个虚拟交换机,替代了宿主机原本的网络,一个虚拟的交换机,可以集中管理网络。这个虚拟交换机可以与宿主机连接的物理交换机进行对应的vlan配置。这样让宿主机可以将创建的虚拟机分配一个在对应的vlan中规定的地址池中的ip,由于地址池所在的网段都是物理交换机上存在的,因此极大程度填补了用户真实网段的空白ip,能够让宿主机上的虚拟机跳出宿主机的网络框架,形成一个更大范围的蜜网。
本发明技术方案让使用者可以以较低的成本、只使用一个宿主机,就能创建出许多虚拟机,分属交换机所划分的不同网段,极大程度上为网络安全、蜜网建设提供帮助。
附图说明
图1是本发明的部署蜜网的示意图。
具体实施方式
下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
参见图1,本发明公开的一种基于虚拟交换跨vlan大规模部署蜜网的方法,包括:
步骤一:在宿主机上创建虚拟交换机。
在本实施例中,在宿主机配置虚拟交换技术,安装Open v Switch。宿主机通过eth0网卡与真实交换机相连接,真实交换机配置为trunk模式。宿主机内部通过虚拟交换技术模拟出来的虚拟交换机也配置为trunk模式(trunk模式:在路由/交换网络中,trunk通常被称为“中继”或“透传”,它为两端设备之间进行转接,作为信令和终端设备数据传输链路)。配置trunk模式,只需要将虚拟交换机的vlan id设置为4095即可。具体步骤如下:
步骤101,调用“ovs-vsctl”命令创建一个ovs网桥br1。
步骤102,给宿主机配置一个固定ip地址,例如172.16.60.199,主要配置参数如下:
DEVICE=br0
DEVICETYPE=ovs
TYPE=OVSBridge
BOOTPROTO=static
IPADDR=172.16.60.199
NETMASK=255.255.255.0
GATEWAY=172.16.60.254
DNS1=114.114.114.114
步骤103,配置kvm网络,需要设置一个xml文件,文件内容如下:
<network>
<name>ovs</name>
<forward mode="bridge"/>
<bridge name="br0"/>
<virtualport type="openvswitch"/>
</network>
步骤104,网络配置,使得openvswitch方便管理网络的配置如下:
#利用如上xml文件定义网络
virsh net-define ovs.xml
#查看kvm的网络
virsh net-list --all
#激活test网络
virsh net-start ovs
#配置vnet1自动开启
virsh net-autostart ovs
#取消defalut的自动启动
virsh net-autostart --disable default
步骤二:宿主机通过虚拟交换机创建不同的vlan逻辑接口。
这种逻辑接口可以有无数个,需要指定接口类型,在本实施例中,vlan逻辑接口类型为internal,可以创建一个或多个同样网段的地址池。
步骤三:将宿主机vlan逻辑接口对应物理交换机vlan接口,创建关联标签。
vlan逻辑接口可以让宿主机通过关联标签的方式,与宿主机所连接的物理交换机中的真实vlan接口对应。例如,物理交换机vlan10,则虚拟交换机vlan10标签为10,如物理交换机vlan22,则虚拟交换机vlan22标签为22。
步骤四:宿主机对应配置每个vlan逻辑接口可用的ip地址池。所述ip地址池为物理交换机vlan接口中没有被用过的地址集合。具体来说,通过配置ip地址池,每一个ip地址池都是一个dhcp服务器。每个vlan逻辑接口配置ip地址池包括:命名ip地址池,指定接口类型,配置该ip地址池的tag(标签),配置该ip地址池的ip地址,配置该ip地址池路由,在该ip地址池上启动dhcp服务。
例如,虚拟交换机vlan22,具体配置ip地址池的方式如下:
#配置地址池dhcp1
ovs-vsctl add-port br0 dhcp1 -- set interface dhcp1 type=internal
#设置dhcp1的tag,tag就相当于vlan,不同vlan之间哪怕是同网段也是不能互通的
ovs-vsctl set Port dhcp1 tag=22
#给dhcp1配置ip
ifconfig dhcp1 172.16.22.199 netmask 255.255.255.0
#给dhcp1配置路由
route add -net 172.16.22.0 netmask 255.255.255.0 gw 172.16.22.254dhcp1
#在dhcp1上启动dhcp服务
dnsmasq --bind-interfaces --except-interface=lo --interface dhcp1 --dhcp-range 172.16.22.10
步骤五:宿主机创建虚拟机,选择虚拟机将加入的ip地址池。
在完成了ip地址池分配之后,进行虚拟机创建。当宿主机创建虚拟机时,先选定一个vlan标签,创建虚拟机时,自动使用dhcp功能,分配给虚拟机一个该vlan标签下的可用ip地址池内ip地址。所述的ip地址是可用的,所述ip地址池的网络环境完全与外部物理交换机中对应的真实vlan中的网络环境一致。
步骤六:宿主机创建虚拟机完毕,在宿主机上产生一个新的网卡。
在本实施例中,在宿主机创建虚拟机的过程中,选择桥接open v switch网卡。创建完毕后,宿主机上出现一个vnet0网卡。
步骤七:在宿主机上为新加入的网卡加上标签,使其数据包中带有该vlan标签,相当于接入对应的物理交换机中真实vlan接口。例如vlan22,给虚拟机网卡加上标签tag=22,使得虚拟机可以与虚拟交换机vlan22接口进行通信。
步骤八:添加路由,用于连接网络。
在本实施例中,在虚拟机中添加默认路由,就可以让虚拟机和虚拟交换机进行真实的网络通信,如同接在了真实的物理交换机中一般。
例如,创建一个centos虚拟机,操作命令如下:
#为宿主机相应网络添加tag
ovs-vsctl set Port vnet0 tag=22
#为虚拟机添加默认网关
route add default gw 172.16.22.254
由于虚拟机创建完毕后,与宿主机可以通信,此时的虚拟机相当于接入真实交换机的业务主机,可以在不同的vlan中部署多个虚拟机,虚拟机可以将检测到的攻击日志发送给宿主机进行分析处理,因此,可以实现跨vlan的威胁检测。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (6)
1.一种基于虚拟交换跨vlan大规模部署蜜网的方法,其特征在于:包括:
步骤一:在宿主机上创建虚拟交换机;
步骤二:宿主机通过虚拟交换机创建不同的vlan逻辑接口;
步骤三:将宿主机vlan逻辑接口对应物理交换机vlan接口,创建关联标签;
步骤四:宿主机对应配置每个vlan逻辑接口可用的ip地址池;
步骤五:宿主机创建虚拟机、网桥,选择虚拟机将加入的ip地址池;
步骤六:宿主机创建虚拟机完毕,在宿主机上产生一个新的网卡;
步骤七:在宿主机上为新加入的网卡加上标签,使其数据包中带有vlan逻辑接口标签,虚拟机可以与对应vlan逻辑接口进行通信;
步骤八:为虚拟机添加默认路由,用于连接网络。
2.根据权利要求1所述的一种基于虚拟交换跨vlan大规模部署蜜网的方法,其特征在于:所述步骤二中,创建的vlan逻辑接口指定接口类型。
3.根据权利要求1所述的一种基于虚拟交换跨vlan大规模部署蜜网的方法,其特征在于:所述步骤四中,ip地址池为物理交换机vlan接口中没有被用过的地址集合。
4.根据权利要求1或3所述的一种基于虚拟交换跨vlan大规模部署蜜网的方法,其特征在于:所述配置每个vlan逻辑接口可用的ip地址池的内容包括:命名ip地址池,指定vlan逻辑接口类型,配置该ip地址池的标签,配置该ip地址池的ip地址,配置该ip地址池路由,在该ip地址池上启动dhcp服务。
5.根据权利要求1所述的一种基于虚拟交换跨vlan大规模部署蜜网的方法,其特征在于:所述步骤五,当宿主机创建虚拟机时,先选定一个vlan标签,创建虚拟机时,自动使用dhcp功能,分配给虚拟机一个该vlan标签下的可用ip地址池内ip地址。
6.根据权利要求5所述的一种基于虚拟交换跨vlan大规模部署蜜网的方法,其特征在于:所述的ip地址是可用的,所述ip地址池的网络环境完全与外部物理交换机中对应的真实vlan中的网络环境一致。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110316491.0A CN112714137A (zh) | 2021-03-25 | 2021-03-25 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110316491.0A CN112714137A (zh) | 2021-03-25 | 2021-03-25 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112714137A true CN112714137A (zh) | 2021-04-27 |
Family
ID=75550204
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110316491.0A Pending CN112714137A (zh) | 2021-03-25 | 2021-03-25 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112714137A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113259164A (zh) * | 2021-05-18 | 2021-08-13 | 广州锦行网络科技有限公司 | 基于虚拟化构建真实路由系统实现虚实组网的方法 |
CN114584349A (zh) * | 2022-02-15 | 2022-06-03 | 烽台科技(北京)有限公司 | 网络数据的保护方法、装置、终端及可读存储介质 |
CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
CN115225589A (zh) * | 2022-07-17 | 2022-10-21 | 奕德(广州)科技有限公司 | 一种基于虚拟分组交换的CrossPoint交换方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553948A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种基于虚拟机的弹性防攻击方法 |
CN112019545A (zh) * | 2020-08-28 | 2020-12-01 | 杭州安恒信息安全技术有限公司 | 一种蜜罐网络部署方法、装置、设备及介质 |
US10868737B2 (en) * | 2016-10-26 | 2020-12-15 | Arizona Board Of Regents On Behalf Of Arizona State University | Security policy analysis framework for distributed software defined networking (SDN) based cloud environments |
-
2021
- 2021-03-25 CN CN202110316491.0A patent/CN112714137A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553948A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种基于虚拟机的弹性防攻击方法 |
US10868737B2 (en) * | 2016-10-26 | 2020-12-15 | Arizona Board Of Regents On Behalf Of Arizona State University | Security policy analysis framework for distributed software defined networking (SDN) based cloud environments |
CN112019545A (zh) * | 2020-08-28 | 2020-12-01 | 杭州安恒信息安全技术有限公司 | 一种蜜罐网络部署方法、装置、设备及介质 |
Non-Patent Citations (1)
Title |
---|
吴文洁,等: "基于虚拟化技术的分布式蜜网", 《计算机系统应用》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113259164A (zh) * | 2021-05-18 | 2021-08-13 | 广州锦行网络科技有限公司 | 基于虚拟化构建真实路由系统实现虚实组网的方法 |
CN113259164B (zh) * | 2021-05-18 | 2022-03-22 | 广州锦行网络科技有限公司 | 基于虚拟化构建真实路由系统实现虚实组网的方法 |
CN114584349A (zh) * | 2022-02-15 | 2022-06-03 | 烽台科技(北京)有限公司 | 网络数据的保护方法、装置、终端及可读存储介质 |
CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
CN115225589A (zh) * | 2022-07-17 | 2022-10-21 | 奕德(广州)科技有限公司 | 一种基于虚拟分组交换的CrossPoint交换方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9729567B2 (en) | Network infrastructure obfuscation | |
CN112714137A (zh) | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 | |
US10193924B2 (en) | Network intrusion diversion using a software defined network | |
CN109347830B (zh) | 一种网络动态防御系统及方法 | |
US7107347B1 (en) | Method and apparatus for network deception/emulation | |
US9680867B2 (en) | Network stimulation engine | |
US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
US11050787B1 (en) | Adaptive configuration and deployment of honeypots in virtual networks | |
CN106850690B (zh) | 一种蜜罐构造方法及系统 | |
CN103746956A (zh) | 虚拟蜜罐 | |
CN113691504B (zh) | 一种基于软件定义网络的网络诱捕方法及系统 | |
CN113612783B (zh) | 一种蜜罐防护系统 | |
WO2023193513A1 (zh) | 蜜罐网络运行方法、装置、设备及存储介质 | |
Khan et al. | FML: A novel forensics management layer for software defined networks | |
CN111585979B (zh) | 一种基于网络映射的复杂多构网络隔离技术实现方法 | |
CN116016197A (zh) | 网络拓扑结构的发现方法、装置、存储介质及电子设备 | |
KR20220070875A (ko) | Sdn/nfv 기반의 스마트홈 네트워크 시스템 | |
CN112003853A (zh) | 一种支持ipv6的网络安全应急响应系统 | |
Popereshnyak et al. | Intrusion detection method based on the sensory traps system | |
KR102184757B1 (ko) | 네트워크 은닉 시스템 및 방법 | |
Bikbulatov et al. | Simulation of DDoS attack on software defined networks | |
CN116208395A (zh) | 蜜罐技术实现方法、装置、设备及存储介质 | |
CN107205007A (zh) | 一种云环境下Web防火墙透明模式数据流传输方法 | |
CN116781301A (zh) | 跨命名空间的容器安全防护方法、装置、设备及介质 | |
CN2681467Y (zh) | 一种用于网络安全的物理隔离卡 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210427 |