CN114024880A - 基于代理ip与流表的网络靶场探针采集方法与系统 - Google Patents
基于代理ip与流表的网络靶场探针采集方法与系统 Download PDFInfo
- Publication number
- CN114024880A CN114024880A CN202210019719.4A CN202210019719A CN114024880A CN 114024880 A CN114024880 A CN 114024880A CN 202210019719 A CN202210019719 A CN 202210019719A CN 114024880 A CN114024880 A CN 114024880A
- Authority
- CN
- China
- Prior art keywords
- probe
- address
- virtual machine
- client
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Abstract
本发明公开了一种基于代理IP与流表的网络靶场探针采集方法与系统,属于网络安全领域。本发明首先为探针客户端虚拟机分配代理IP地址,并存储虚拟机与代理IP地址的对应关系;在启动探针客户端虚拟机时,针对探针客户端与探针服务端虚拟机是否在相同计算节点上,为计算节点上的集成交换机和外部交换机配置相应的流表,使得探针客户端通过代理IP与探针服务端通信。本发明基于代理IP与流表配置,无需为探针客户端分配第二块网卡和外网IP地址,即可实现探针服务端与探针客户端通信,有效节省了外网IP地址资源。探针客户端仅可以基于流表配置访问探针服务端,不可以访问其他外网资源,对原有的网络靶场拓扑结构没有影响,系统安全性高。
Description
技术领域
本发明涉及一种基于代理IP与流表的网络靶场探针采集方法与系统,属于网络安全、计算机软件领域。
背景技术
为掌握网络靶场的运行与进展,需要向靶场环境中注入探针以采集实时状态。如图1所示,现有的探针采集方案通常是基于双网卡的方案,网络靶场内部网络是一个独立网络,只用于网络靶场虚拟机内部通信,虚拟机再通过外部网络与物理网络通信,探针采集信息的传送即通过外部网络进行。现有基于双网卡的探针采集方案在部署时,主要步骤如下:1.用户登录网络靶场平台后,点击启动集成探针服务端的虚拟机和集成探针客户端的虚拟机。2.网络靶场平台根据调度算法选择一个计算节点启动探针服务端虚拟机,并为网卡一分配外网IP地址。3.网络靶场平台根据调度算法选择一个计算节点启动探针客户端虚拟机,并为网卡一分配独立IP地址;为网卡二分配外网IP地址。4. 探针客户端虚拟机通过外网IP地址检测探针服务端TCP 1514和TCP 1515端口是否能连通。5.如果不能连通等待一段时间后重复第4步。6. 如果能连通探针客户端虚拟机采集本地信息通过外网IP地址发送到探针服务端虚拟机对应端口。
现有方案存在如下问题:1. 探针客户端虚拟机必须配置两块网卡,并且保证不同类型的(Linux系列、Windows系列)探针客户端虚拟机第二块网卡成功启动。2.探针客户端虚拟机第二块网卡需要配置外网IP地址,需要保证有足够多的外网IP地址可用(靶场外部网络通常是管理网络,需要管理所有的靶场,多个网络靶场同时运行时,外部网络的IP不能冲突,需要耗费大量的外部IP地址)。3.探针客户端虚拟机通过第二块网卡和探针服务端虚拟机相连必须真实反应在场景拓扑中,增加场景拓扑复杂度。4.所有的探针客户端虚拟机通过第二块网卡可以任意访问外网网络资源,存在安全隐患。
发明内容
发明目的:针对上述现有技术存在的问题,本发明目的在于提供一种基于代理IP与流表的网络靶场探针采集方法与系统,无需为探针客户端虚拟机配置第二块网卡和外网IP地址,降低网络拓扑的复杂度,并能够有效保证网络的安全性。
技术方案:为实现上述发明目的,本发明采用如下技术方案:
一种基于代理IP与流表的网络靶场探针采集方法,包括如下步骤:
为探针客户端虚拟机分配代理IP地址,并存储虚拟机与代理IP地址的对应关系;
在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在相同计算节点上,则在该计算节点上的集成交换机创建流表,将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;
在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在不同计算节点上,则在探针客户端虚拟机所在计算节点上的集成交换机和外部交换机创建流表,在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,在外部交换机上进行转发,并在外部交换机上将探针服务端至探针客户端代理IP地址的IP流中的代理IP地址还原为探针客户端IP地址,在集成交换机上将探针服务端至探针客户端代理IP地址的ARP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;其中计算节点上的集成交换机用于连接计算节点内部虚拟机和/或网桥,外部交换机与集成交换机以及物理网卡相连,用于实现跨计算节点通信。
作为优选,对于与探针服务端虚拟机在相同计算节点上的探针客户端虚拟机,该计算节点上的集成交换机创建的流表为:匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流,将其源IP地址修改为该探针客户端虚拟机的代理IP地址,目标MAC地址修改为探针服务端虚拟机的MAC地址,剥离VLAN标签并从转发至与探针服务端虚拟机相连的网口;匹配从与探针服务端虚拟机相连的网口进入的ARP和IP流且目标IP是探针客户端虚拟机代理IP地址的数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,剥离VLAN标签并转发至与探针客户端虚拟机相连的网口。
作为优选,对于与探针服务端虚拟机在不同计算节点上的探针客户端虚拟机,探针客户端虚拟机所在计算节点上的集成交换机创建的流表为:匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流,将其源IP地址修改为该探针客户端虚拟机的代理IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到集成交换机与外部交换机相连的网口;匹配从与外部交换机相连的网口进入的IP流且目标IP是探针客户端虚拟机IP地址的数据流,将其目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到与探针客户端虚拟机相连的网口;匹配从与外部交换机相连的网口进入的ARP流且目标IP是探针客户端虚拟机代理IP地址的数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到与探针客户端虚拟机相连的网口。
探针客户端虚拟机所在计算节点上的外部交换机创建的流表为:匹配源IP地址为探针客户端虚拟机代理IP地址,目标IP地址为探针服务端IP地址的IP数据流,将其剥离VLAN标签并转发;匹配源IP地址为探针服务端IP地址,目标IP地址为探针客户端虚拟机代理IP地址的IP数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,并转发到与连接探针客户端的集成交换机相连的网口。
作为优选,探针客户端虚拟机的代理IP地址的网段与探针客户端虚拟机IP地址的网段和探针服务端虚拟机网段均不相同。
作为优选,同一个计算节点上部署有多个探针客户端虚拟机,多个探针客户端虚拟机通过接入网桥与集成交换机相连。
基于相同的发明构思,本发明提供的一种基于代理IP与流表的网络靶场探针采集系统,包括如下模块:
代理IP管理模块,用于为探针客户端虚拟机分配代理IP地址,并存储虚拟机与代理IP地址的对应关系;
第一流表创建模块,用于在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在相同计算节点上,则在该计算节点上的集成交换机创建流表,将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;
以及,第二流表创建模块,用于在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在不同计算节点上,则在探针客户端虚拟机所在计算节点上的集成交换机和外部交换机创建流表,在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,在外部交换机上进行转发,并在外部交换机上将探针服务端至探针客户端代理IP地址的IP流中的代理IP地址还原为探针客户端IP地址,在集成交换机上将探针服务端至探针客户端代理IP地址的ARP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;其中计算节点上的集成交换机用于连接计算节点内部虚拟机和/或网桥,外部交换机与集成交换机以及物理网卡相连,用于实现跨计算节点通信。
基于相同的发明构思,本发明提供的一种计算机系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被加载至处理器时实现所述的基于代理IP与流表的网络靶场探针采集方法。
有益效果:与现有技术相比,本发明具有如下优点:1.本发明基于代理IP与流表配置,无需为探针客户端分配第二块网卡和外网IP地址,即可实现探针服务端与探针客户端通信,有效节省了外网IP地址资源。2.本发明的代理IP仅用于配置流表,探针客户端仅可以基于流表配置访问探针服务端,不可以访问其他外网资源,系统的安全性高。3.本发明的代理IP不需要绑定网卡,不需要体现到网络拓扑结构中,对原有的网络靶场拓扑结构没有影响,降低网络拓扑维护的工作量。
附图说明
图1为现有双网卡的探针采集方案结构示意图。
图2为本发明实施例的原理示意图。
具体实施方式
下面将结合附图和具体实施例,对本发明的技术方案进行清楚、完整的描述。
图2示意了本发明实施例采用单一网卡实现探针采集方案。如图2所示,本发明实施例提供的一种基于代理IP与流表的网络靶场探针采集方法,首先为各个探针客户端虚拟机分配代理IP地址,并存储虚拟机与代理IP地址的对应关系,然后在启动客户端虚拟机时,通过配置交换机流表使得探针客户端可通过代理IP与探针服务端通信,具体分为探针客户端虚拟机(即内部集成探针客户端的虚拟机,下文简称探针客户端)与探针服务端虚拟机(即内部集成探针服务端的虚拟机,下文简称探针服务端)是否在同一计算节点上两种情况。
若探针客户端与探针服务端在相同计算节点上,则在该计算节点上的集成交换机创建流表,将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信。若探针客户端与探针服务端在不同计算节点上,则在探针客户端所在计算节点上的集成交换机和外部交换机创建流表,在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,在外部交换机上进行转发,并在外部交换机上将探针服务端至探针客户端代理IP地址的IP流中的代理IP地址还原为探针客户端IP地址,在集成交换机上将探针服务端至探针客户端代理IP地址的ARP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信。
这里集成交换机、外部交换机均为计算节点内部署的网络交换设备,集成交换机用于连接计算节点内部虚拟机、网桥等,外部交换机连接集成交换机和物理网卡,用于实现跨计算节点通信。
图2中,多个计算节点通过物理交换机相连,计算节点A部署探针客户端虚拟机A、探针客户端虚拟机B,探针客户端虚拟机A与接入网桥的网口a相连,探针客户端虚拟机B与接入网桥的网口f相连,接入网桥的网口b与集成交换机的网口c相连,集成交换机的网口d与外部交换机网口e相连,外部交换机添加计算节点A的物理网卡一至外部交换机中。计算节点A、计算节点B的物理网卡分别接入物理交换机网口g和h。计算节点B部署探针客户端虚拟机C、探针服务端虚拟机,探针客户端虚拟机C与内部网络接入网桥的网口m相连,探针服务端虚拟机与外部网络接入网桥的网口o相连,内部网络接入网桥的网口l与集成交换机的网口k相连,外部网络接入网桥的网口n与集成交换机的网口p相连,集成交换机的网口j与外部交换机网口i相连,外部交换机添加计算节点B的物理网卡一至外部交换机中。
假设图2中的IP配置如下:
计算节点B上探针服务端虚拟机的IP地址:10.100.7.140,MAC地址:fa:16:3e:f3:a6:fd;
计算节点B上探针客户端虚拟机C的IP地址:192.168.1.189,代理IP地址:10.0.0.189,MAC地址:fa:16:3e:19:00:7f;
计算节点A上探针客户端虚拟机A的IP地址:192.168.1.137,代理IP地址:10.0.0.137,MAC地址:fa:16:3e:d6:e8:05。
下面以上述配置为例,详细说明本发明实施例的具体流表配置过程。
1.用户登录网络靶场平台后,点击启动探针服务端虚拟机和探针客户端虚拟机。一般情况下多个网络靶场的探针客户端会共用同一个探针服务端,若探针服务端虚拟机已启动,则只需要启动指定靶场的探针客户端虚拟机即可。在靶场配置过程中,可以在靶场拓扑的虚拟机信息中配置探针客户端的代理IP地址或网段(可以只配置网段,替换原IP的网段即可),网络靶场后台可以维护记录探针客户端信息、探针服务端信息、探针客户端所在计算节点、探针服务端所在计算节点、代理IP地址等信息的表格。
2.如果探针服务端和探针客户端在同一个计算节点上,例如计算节点B,此时会在计算节点 B上的集成交换机创建如下流表:
2.1 在表0上面创建优先级为50的流表: 匹配条件为从网口k进来的ARP和IP流且目标IP是探针服务端IP地址;动作为匹配成功的流修改源IP地址为代理IP地址(代理IP地址段为事先定义好的一段IP地址,例如10.0.0.0/16,可根据实际情况调整代理IP地址段掩码),修改目标MAC地址为探针服务端MAC地址,剥离VLAN标签并从网口p出来。VLAN标签(即VLAN ID)用于不同虚拟局域网间的隔离,这里接入网桥的端口为ACCESS 口,只能属于1个VLAN,不能接收带有和自己不同VLAN标签的数据包,所以剥离VLAN 标签。
流表具体示例:
ovs-ofctl add-flow br-int "table=0,priority=50,arp,in_port=qvo899ffb14-e4,arp_tpa=10.100.7.140,actions=mod_nw_src:10.0.0.189,mod_dl_dst:fa:16:3e:f3:a6:fd,strip_vlan,output:qvob0361314-14"。
ovs-ofctl add-flow br-int "table=0,priority=50,ip,in_port=qvo899ffb14-e4,nw_dst=10.100.7.140,actions=mod_nw_src:10.0.0.189,mod_dl_dst:fa:16:3e:f3:a6:fd,strip_vlan,output:qvob0361314-14"。
2.2在表0上面创建优先级为50的流表: 匹配条件为从网口p进来的ARP和IP流且目标IP是探针客户端代理IP地址;动作为匹配成功的流修改目标IP地址为探针客户端IP地址,修改目标MAC地址为探针客户端MAC地址,剥离VLAN标签并从网口k出来。
流表具体示例:
ovs-ofctl add-flow br-int "table=0,priority=50,arp,in_port=qvob0361314-14,arp_tpa=10.0.0.189,actions=mod_nw_dst:192.168.1.189,mod_dl_dst:fa:16:3e:19:00:7f,strip_vlan,output:qvo899ffb14-e4"。
ovs-ofctl add-flow br-int "table=0,priority=50,ip,in_port=qvob0361314-14,nw_dst=10.0.0.189,actions=mod_nw_dst:192.168.1.189,mod_dl_dst:fa:16:3e:19:00:7f,strip_vlan,output:qvo899ffb14-e4"。
3.如果探针服务端和探针客户端不在同一个计算节点上,例如探针客户端虚拟机A启动在计算节点 A 上,探针服务端启动在计算节点B上则会创建如下流表。
3.1在计算节点A上的集成交换机上创建表0且优先级为50的流表:匹配条件为从网口c进来的ARP和IP流且目标IP为探针服务端IP地址,动作为匹配成功的流修改源IP为探针客户端代理IP地址,修改目标MAC为探针服务端MAC,从网口d出来。
流表具体示例:
ovs-ofctl add-flow br-int table=0,priority=50,arp,in_port=qvoedb66118-8c,arp_tpa=10.100.7.140,actions=mod_nw_src:10.0.0.137,mod_dl_dst:fa:16:3e:f3:a6:fd,output:int-br-ex。
ovs-ofctl add-flow br-int table=0,priority=50,ip,in_port=qvoedb66118-8c,nw_dst=10.100.7.140,actions=mod_nw_src:10.0.0.137,mod_dl_dst:fa:16:3e:f3:a6:fd,output:int-br-ex。
3.2在计算节点A上的外部交换机上创建表0且优先级为50的流表:匹配条件为匹配IP协议,源地址为探针客户端代理IP地址,目标IP地址为探针服务端IP地址,动作为匹配成功的流剥离VLAN标签并且转发。这里物理网卡连接在物理交换机上的端口也是ACCESS口,剥离VLAN标签后转发到物理交换机,物理交换机收到一个不带有VLAN标签的数据包会在网口g或者h打上对应的VLAN 标签,然后在这个 VLAN 中广播,如果是网口g广播,具有相同VLAN标签的网口h会收到,反之亦然。
流表具体示例:
ovs-ofctl add-flow br-ex table=0,priority=50,ip,nw_src=10.0.0.137,nw_dst=10.100.7.140,actions=strip_vlan,NORMAL。
3.3 在计算节点A上的外部交换机上创建表0且优先级为50的流表:匹配条件为匹配IP协议,源地址为探针服务端IP地址,目标IP地址为探针客户端代理IP地址,动作为匹配成功的流修改目标IP地址为探针客户端IP地址并从e口出来。
流表具体示例:
ovs-ofctl add-flow br-ex table=0,priority=50,ip,nw_src=10.100.7.140,nw_dst=10.0.0.137,actions=mod_nw_dst:192.168.1.137,output:phy-br-ex。
3.4在计算节点A上的集成交换机上创建表0且优先级为50的流表:匹配条件为从网口d进来的IP流且目标IP为探针客户端IP地址,动作为匹配成功的流修改目标MAC为探针客户端MAC,从网口c出来。
流表具体示例:
ovs-ofctl add-flow br-int table=0,priority=50,ip,in_port=int-br-ex,nw_dst=192.168.1.137,actions=mod_dl_dst:fa:16:3e:d6:e8:05,output:qvoedb66118-8c。
3.5在计算节点A上的集成交换机上创建表0且优先级为50的流表:匹配条件为从网口d进来的ARP流且目标IP为探针客户端代理IP地址,动作为匹配成功的流修改目标IP为探针客户端IP,修改目标MAC为探针客户端MAC,从网口c出来。
流表具体示例:
ovs-ofctl add-flow br-int table=0,priority=50,arp,in_port=int-br-ex,arp_tpa=10.0.0.137,actions=mod_nw_dst:192.168.1.137,mod_dl_dst:fa:16:3e:d6:e8:05,output:qvoedb66118-8c。
对于不同的客户端虚拟机配置各自的流表组合即可,经过上述配置,探针服务端可以收集到探针客户端采集的数据,探针客户端通过流表仅允许访问探针服务端,避免了存在安全隐患。
基于相同的发明构思,本发明实施例提供的一种基于代理IP与流表的网络靶场探针采集系统,包括如下模块:代理IP管理模块,用于为探针客户端虚拟机分配代理IP地址,并存储虚拟机与代理IP地址的对应关系;第一流表创建模块,用于在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在相同计算节点上,则在该计算节点上的集成交换机创建流表,将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;以及,第二流表创建模块,用于在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在不同计算节点上,则在探针客户端虚拟机所在计算节点上的集成交换机和外部交换机创建流表,在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,在外部交换机上进行转发,并在外部交换机上将探针服务端至探针客户端代理IP地址的IP流中的代理IP地址还原为探针客户端IP地址,在集成交换机上将探针服务端至探针客户端代理IP地址的ARP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信。各模块具体实施细节,参见上述方法实施例,不再赘述。
基于相同的发明构思,本发明实施例提供的一种计算机系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被加载至处理器时实现所述的基于代理IP与流表的网络靶场探针采集方法。
Claims (10)
1.一种基于代理IP与流表的网络靶场探针采集方法,其特征在于,包括如下步骤:
为探针客户端虚拟机分配代理IP地址,并存储虚拟机与代理IP地址的对应关系;
在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在相同计算节点上,则在该计算节点上的集成交换机创建流表,将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;
在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在不同计算节点上,则在探针客户端虚拟机所在计算节点上的集成交换机和外部交换机创建流表,在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,在外部交换机上进行转发,并在外部交换机上将探针服务端至探针客户端代理IP地址的IP流中的代理IP地址还原为探针客户端IP地址,在集成交换机上将探针服务端至探针客户端代理IP地址的ARP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;其中计算节点上的集成交换机用于连接计算节点内部虚拟机和/或网桥,外部交换机与集成交换机以及物理网卡相连,用于实现跨计算节点通信。
2.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法,其特征在于,对于与探针服务端虚拟机在相同计算节点上的探针客户端虚拟机,该计算节点上的集成交换机创建的流表为:匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流,将其源IP地址修改为该探针客户端虚拟机的代理IP地址,目标MAC地址修改为探针服务端虚拟机的MAC地址,剥离VLAN标签并从转发至与探针服务端虚拟机相连的网口;匹配从与探针服务端虚拟机相连的网口进入的ARP和IP流且目标IP是探针客户端虚拟机代理IP地址的数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,剥离VLAN标签并转发至与探针客户端虚拟机相连的网口。
3.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法,其特征在于,对于与探针服务端虚拟机在不同计算节点上的探针客户端虚拟机,探针客户端虚拟机所在计算节点上的集成交换机创建的流表为:匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流,将其源IP地址修改为该探针客户端虚拟机的代理IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到集成交换机与外部交换机相连的网口;匹配从与外部交换机相连的网口进入的IP流且目标IP是探针客户端虚拟机IP地址的数据流,将其目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到与探针客户端虚拟机相连的网口;匹配从与外部交换机相连的网口进入的ARP流且目标IP是探针客户端虚拟机代理IP地址的数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到与探针客户端虚拟机相连的网口。
4.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法,其特征在于,对于与探针服务端虚拟机在不同计算节点上的探针客户端虚拟机,探针客户端虚拟机所在计算节点上的外部交换机创建的流表为:匹配源IP地址为探针客户端虚拟机代理IP地址,目标IP地址为探针服务端IP地址的IP数据流,将其剥离VLAN标签并转发;匹配源IP地址为探针服务端IP地址,目标IP地址为探针客户端虚拟机代理IP地址的IP数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,并转发到与连接探针客户端的集成交换机相连的网口。
5.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法,其特征在于,探针客户端虚拟机的代理IP地址的网段与探针客户端虚拟机IP地址的网段和探针服务端虚拟机网段均不相同。
6.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法,其特征在于,同一个计算节点上部署有多个探针客户端虚拟机,多个探针客户端虚拟机通过接入网桥与集成交换机相连。
7.一种基于代理IP与流表的网络靶场探针采集系统,其特征在于,包括如下模块:
代理IP管理模块,用于为探针客户端虚拟机分配代理IP地址,并存储虚拟机与代理IP地址的对应关系;
第一流表创建模块,用于在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在相同计算节点上,则在该计算节点上的集成交换机创建流表,将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;
以及,第二流表创建模块,用于在启动探针客户端虚拟机时,若探针客户端虚拟机与探针服务端虚拟机在不同计算节点上,则在探针客户端虚拟机所在计算节点上的集成交换机和外部交换机创建流表,在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址,在外部交换机上进行转发,并在外部交换机上将探针服务端至探针客户端代理IP地址的IP流中的代理IP地址还原为探针客户端IP地址,在集成交换机上将探针服务端至探针客户端代理IP地址的ARP流中的代理IP地址还原为探针客户端IP地址,使得探针客户端通过代理IP与探针服务端通信;其中计算节点上的集成交换机用于连接计算节点内部虚拟机和/或网桥,外部交换机与集成交换机以及物理网卡相连,用于实现跨计算节点通信。
8.根据权利要求7所述的基于代理IP与流表的网络靶场探针采集系统,其特征在于,对于与探针服务端虚拟机在相同计算节点上的探针客户端虚拟机,该计算节点上的集成交换机创建的流表为:匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流,将其源IP地址修改为该探针客户端虚拟机的代理IP地址,目标MAC地址修改为探针服务端虚拟机的MAC地址,剥离VLAN标签并从转发至与探针服务端虚拟机相连的网口;匹配从与探针服务端虚拟机相连的网口进入的ARP和IP流且目标IP是探针客户端虚拟机代理IP地址的数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,剥离VLAN标签并转发至与探针客户端虚拟机相连的网口。
9.根据权利要求7所述的基于代理IP与流表的网络靶场探针采集系统,其特征在于,对于与探针服务端虚拟机在不同计算节点上的探针客户端虚拟机,探针客户端虚拟机所在计算节点上的集成交换机创建的流表为:匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流,将其源IP地址修改为该探针客户端虚拟机的代理IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到集成交换机与外部交换机相连的网口;匹配从与外部交换机相连的网口进入的IP流且目标IP是探针客户端虚拟机IP地址的数据流,将其目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到与探针客户端虚拟机相连的网口;匹配从与外部交换机相连的网口进入的ARP流且目标IP是探针客户端虚拟机代理IP地址的数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,目标MAC地址修改为探针客户端虚拟机的MAC地址,转发到与探针客户端虚拟机相连的网口;
探针客户端虚拟机所在计算节点上的外部交换机创建的流表为:匹配源IP地址为探针客户端虚拟机代理IP地址,目标IP地址为探针服务端IP地址的IP数据流,将其剥离VLAN标签并转发;匹配源IP地址为探针服务端IP地址,目标IP地址为探针客户端虚拟机代理IP地址的IP数据流,将其目标IP地址修改为探针客户端虚拟机IP地址,并转发到与连接探针客户端的集成交换机相连的网口。
10.一种计算机系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被加载至处理器时实现根据权利要求1-6任一项所述的基于代理IP与流表的网络靶场探针采集方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210019719.4A CN114024880B (zh) | 2022-01-10 | 2022-01-10 | 基于代理ip与流表的网络靶场探针采集方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210019719.4A CN114024880B (zh) | 2022-01-10 | 2022-01-10 | 基于代理ip与流表的网络靶场探针采集方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114024880A true CN114024880A (zh) | 2022-02-08 |
| CN114024880B CN114024880B (zh) | 2022-04-29 |
Family
ID=80069861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210019719.4A Active CN114024880B (zh) | 2022-01-10 | 2022-01-10 | 基于代理ip与流表的网络靶场探针采集方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114024880B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086250A (zh) * | 2022-07-20 | 2022-09-20 | 南京赛宁信息技术有限公司 | 一种网络靶场分布式流量发生系统与方法 |
| CN115174669A (zh) * | 2022-05-25 | 2022-10-11 | 南京赛宁信息技术有限公司 | 一种靶场环境中虚拟机分布式代理接入方法与系统 |
| CN116074223A (zh) * | 2023-03-27 | 2023-05-05 | 南京赛宁信息技术有限公司 | 一种网络靶场探针下载和采集上报方法与系统 |
| CN116527494A (zh) * | 2023-07-05 | 2023-08-01 | 南京赛宁信息技术有限公司 | 基于虚拟网卡克隆的靶场虚拟机网络初始化方法与系统 |
| CN116723143A (zh) * | 2023-08-11 | 2023-09-08 | 南京赛宁信息技术有限公司 | 一种基于流量亲和性的网络靶场资源分配方法与系统 |
| CN117240726A (zh) * | 2023-11-07 | 2023-12-15 | 博智安全科技股份有限公司 | 靶标数据采集方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130332595A1 (en) * | 2012-06-11 | 2013-12-12 | James O. Jones | Correction of packets having incorrect mac address values |
| CN109710423A (zh) * | 2018-12-11 | 2019-05-03 | 上海云轴信息科技有限公司 | 一种用于虚拟机间通信的方法及设备 |
| US20200145420A1 (en) * | 2018-11-06 | 2020-05-07 | Bank Of America Corporation | Processing System For Providing Console Access To A Cyber Range Virtual Environment |
| CN113259164A (zh) * | 2021-05-18 | 2021-08-13 | 广州锦行网络科技有限公司 | 基于虚拟化构建真实路由系统实现虚实组网的方法 |
-
2022
- 2022-01-10 CN CN202210019719.4A patent/CN114024880B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130332595A1 (en) * | 2012-06-11 | 2013-12-12 | James O. Jones | Correction of packets having incorrect mac address values |
| US20200145420A1 (en) * | 2018-11-06 | 2020-05-07 | Bank Of America Corporation | Processing System For Providing Console Access To A Cyber Range Virtual Environment |
| CN109710423A (zh) * | 2018-12-11 | 2019-05-03 | 上海云轴信息科技有限公司 | 一种用于虚拟机间通信的方法及设备 |
| CN113259164A (zh) * | 2021-05-18 | 2021-08-13 | 广州锦行网络科技有限公司 | 基于虚拟化构建真实路由系统实现虚实组网的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 阎诗晨等: "基于靶场技术的DNC网络安全分析", 《信息安全研究》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174669A (zh) * | 2022-05-25 | 2022-10-11 | 南京赛宁信息技术有限公司 | 一种靶场环境中虚拟机分布式代理接入方法与系统 |
| CN115086250A (zh) * | 2022-07-20 | 2022-09-20 | 南京赛宁信息技术有限公司 | 一种网络靶场分布式流量发生系统与方法 |
| CN116074223A (zh) * | 2023-03-27 | 2023-05-05 | 南京赛宁信息技术有限公司 | 一种网络靶场探针下载和采集上报方法与系统 |
| CN116074223B (zh) * | 2023-03-27 | 2023-06-27 | 南京赛宁信息技术有限公司 | 一种网络靶场探针下载和采集上报方法与系统 |
| CN116527494A (zh) * | 2023-07-05 | 2023-08-01 | 南京赛宁信息技术有限公司 | 基于虚拟网卡克隆的靶场虚拟机网络初始化方法与系统 |
| CN116527494B (zh) * | 2023-07-05 | 2023-09-12 | 南京赛宁信息技术有限公司 | 基于虚拟网卡克隆的靶场虚拟机网络初始化方法与系统 |
| CN116723143A (zh) * | 2023-08-11 | 2023-09-08 | 南京赛宁信息技术有限公司 | 一种基于流量亲和性的网络靶场资源分配方法与系统 |
| CN116723143B (zh) * | 2023-08-11 | 2023-11-10 | 南京赛宁信息技术有限公司 | 一种基于流量亲和性的网络靶场资源分配方法与系统 |
| CN117240726A (zh) * | 2023-11-07 | 2023-12-15 | 博智安全科技股份有限公司 | 靶标数据采集方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114024880B (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114024880B (zh) | 基于代理ip与流表的网络靶场探针采集方法与系统 | |
| US9798572B2 (en) | Virtual machine migration method, switch, and virtual machine system | |
| CN110301104B (zh) | 一种光线路终端olt设备虚拟方法及相关设备 | |
| US6490285B2 (en) | IP multicast interface | |
| US6600743B1 (en) | IP multicast interface | |
| CN109831318A (zh) | 一种获取网络拓扑的系统、方法和服务器 | |
| US11075980B2 (en) | Method for operating a node cluster system in a network and node cluster system | |
| US20080107115A1 (en) | Method, device and system for message transmission | |
| US20220345331A1 (en) | Two-layer private line network system, configuration method, and device | |
| CN112769602B (zh) | 一种白盒交换机统一配置管理系统、方法和网络操作系统 | |
| US6389027B1 (en) | IP multicast interface | |
| CN108270878A (zh) | 在vxlan中发送arp报文的方法、vtep设备 | |
| US11522754B2 (en) | Systems and methods for Zero-Touch Provisioning of a switch in intermediate distribution frames and main distribution frames | |
| US6327621B1 (en) | Method for shared multicast interface in a multi-partition environment | |
| CN101242370B (zh) | 实现以太网与帧中继互联的方法与协议转换设备 | |
| CN115296848A (zh) | 一种基于多局域网环境的堡垒机系统及堡垒机访问方法 | |
| CN104734930B (zh) | Vlan接入vf网络的实现方法及装置、fcf | |
| CN100433723C (zh) | 一种虚拟局域网中的广播报文跨该虚拟局域网广播的方法 | |
| CN112953858A (zh) | 虚拟网络中报文的传输方法、电子设备及存储介质 | |
| Wang et al. | A SDN-based heterogeneous networking scheme for profinet and Modbus Networks | |
| KR100377864B1 (ko) | 다중화 서버 시스템을 위한 통신 시스템 및 방법 | |
| JP2003169070A (ja) | 重複ネットワークアドレス変換システム | |
| CN111884950B (zh) | 数据传输方法、目标交换机、指定交换机及交换机系统 | |
| CN117424928B (zh) | 网络设备和资源分享的方法 | |
| CN116389280A (zh) | 一种网络拓扑结构获取方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |