CN101188613A - 一种结合路由和隧道重定向网络攻击的方法 - Google Patents
一种结合路由和隧道重定向网络攻击的方法 Download PDFInfo
- Publication number
- CN101188613A CN101188613A CNA2007101792031A CN200710179203A CN101188613A CN 101188613 A CN101188613 A CN 101188613A CN A2007101792031 A CNA2007101792031 A CN A2007101792031A CN 200710179203 A CN200710179203 A CN 200710179203A CN 101188613 A CN101188613 A CN 101188613A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- gateway
- internal network
- network
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种结合路由和隧道重定向网络攻击的方法,其通过在网关N1与连接蜜罐主机的网关N2之间设置隧道、配置第二张路由表,并标记网络攻击IP包,从而将网络攻击重定向到远端相同子网地址的蜜罐主机上,实现重定向网络攻击。本发明的方法简便易行,快速高效,特别适合在重要网关上临时重定向网络攻击的情况;同时本发明的方法具有风险低,无需担心网络的最小MTU或者IP包分片问题。
Description
技术领域
本发明涉及一种重定向网络攻击的方法,特别是一种通过路由和隧道的配置来改变IP包的流向,将网络攻击重定向到安全蜜罐主机的方法,属于计算机网络安全技术领域。
背景技术
一个内部网络通过一个网关和外部网络(比如internet)相连,一种常有的情形是,一台外部网络主机向一台内部网络的主机发起危险的网络攻击。如果要对该网络攻击进行跟踪和研究,则可以在安全的地方构建另外一个内部网络,并安放一台蜜罐主机于其中,然后设法将危险的网络攻击重定向到蜜罐主机。
假定一个网络拓扑图如图1所示,其中被攻击的主机H1在内部网络中,并通过网关N1连向internet,蜜罐主机H2在另外一个的内部网络中,并通过网关N2连向internet。其中被攻击的内部网络主机H1和蜜罐主机H2有相同的内部网络地址。
当internet上的攻击者A企图攻击内部网络主机H1时,最常见的将网络攻击重定向到蜜罐主机的方法如下:
1、网关N1检测流过的数据流,如果发现从攻击者A到主机H1的IP包,则截住该IP包,并将其打包进一个新IP包,新IP包的源地址是网关N1,目的地址是网关N2,然后将其发送到internet上。
2、网关N2将收到这个来自网关N1的新IP包,然后将其解开,从而得到里面的原始IP包,再发送到内部网络。由于蜜罐主机H2和被攻击主机H1有相同的内部网络地址,故蜜罐主机H2会收到这个原始IP包。
3、蜜罐主机的反馈IP包到达网关N2时,网关N2截住这个IP包,并将其打包入一个新IP包,该新IP包的源地址是网关N2,目的地址是网关N1,然后将其发送到internet上。
4、网关N1将收到这个来自网关N2的新IP包,然后将其解开,从而得到里面的原始IP包,再送入internet,由于该包的目的地址指向攻击者A,故攻击者A会收到这个来自蜜罐主机的反馈IP包。至此,原本攻击者A对内部网络主机H1的网络攻击就被完整地重定向到蜜罐主机H2了,且攻击者A无法感知被重定向。
但是这样的实现也有其不足:
1、两个网关对IP包进行打包和解包以及转发等都需要运行特别设计的第三方软件,这对于重要的网关是个很大的风险;
2、网关流量很大的话,打包和解包会严重降低网关的转发速度;
3、如果原始IP包很大,则打包之后的体积可能大于网络的最小MTU,这涉及到将一个IP包分割为多个IP,操作起来相当麻烦。
总的来说,现有通行的重定向方法需要安装软件,其软件实现并不轻松,且会降低网关的转发速度。
发明内容
本发明的目的是提供一种简便的、随时可以实现的重定向方法,也即充分利用网关操作***本身的功能模块,而不运行第三方软件的方法。本发明的另一目的是避开大IP包需分片以及打包解包影响转发速度的情况。
本发明要求网关使用普通的linux发行版本,且配置为路由器模式而不是桥模式。本发明所述的重定向方法将组合利用linux操作***的iptables模块、iproute模块以及隧道模块,进行如下配置:
1、首先配置从内部网络网关(网关N1)到蜜罐***网关(网关N2)的隧道,这可以使用linux操作***的任何隧道模块来实现。
2、网关N1本身有根据自身环境配置好的路由表R1,里面有关于网络主机H1的正确路由。我们利用1inux的iproute模块给网关N1再配置一张路由表R2,在该路由表里面我们将通往内部网络主机H1的下一跳设置为前面配置的隧道的入口,而不是R1中正确的路由。
3、在网关N1上利用iptables模块配置IP包过滤和转发规则,使得从internet流向内部网络主机H1的IP包都标记为M,同时配置路由策略规则,要求所有标记为M的IP包都查询前面配置的路由表R2来寻找路由。
4、在网关N2设置路由,使得所有蜜罐主机H2向internet发出的IP包都流向前面配置好的隧道。
5、配置蜜罐主机H2的IP地址,使其和内部网络主机H1一致。
在上述配置下的网络攻击的重定向过程如下:
1、攻击者A向内部网络主机H1发出的IP包首先将到达网关N1,网关N1根据配置的规则检测到该IP包,然后打上标记M。
2、根据配置的路由策略,这个IP包将要查询路由表R2,在R2中所有路由的下一跳都是通往网关N2的隧道入口点,于是这个IP包进入隧道后将到达网关N2.
3、网关N2收到IP包后,由于网关N2后面的蜜罐主机H2的地址和IP包的目的地址一致,故网关N2将此包发送给蜜罐主机H2.以上就完成了攻击者A发出的IP包重定向到蜜罐主机H2的过程。
4、蜜罐主机对攻击做出反应,发送一个IP包给攻击者,这个IP包首先到达网关N2,由于网关N2设置任何路由的下一跳都是通往网关N1的隧道入口,故这个IP包将进入隧道并到达网关N1.
5、IP包到达网关N1之后会查询路由表R1而不是R2,故这个IP包将会被网关N1送入internet并最后到达攻击者A。至此就完成了蜜罐主机H2反馈IP包到达攻击者A的过程。
综合上述分析,本发明采取的技术方案为:
一种结合路由和隧道重定向网络攻击的方法,其步骤为:
1)配置内部网络网关与蜜罐***网关之间的隧道;
2)在内部网络网关上配置过滤规则,标记所有流向受攻击主机的IP包;
3)在内部网络网关上配置转发规则,使所有被标记的IP包经上述隧道发送到蜜罐***;
4)设置蜜罐***网关的路由,将蜜罐***返回的IP包经上述隧道发送到内部网络网关。
所述隧道为ipip隧道。
所述隧道为gre隧道。
所述隧道为VPN隧道。
所述步骤3)中转发规则的实现方法为:
1)在所述内部网络网关中添加一路由表R2,在其中将下一跳设置为所述隧道的隧道入口:
2)通过配置路由策略,使所述所有被标记的IP包都查询所述路由表R2。
所述内部网络与所述蜜罐***为物理上和逻辑上分开的网络。
所述蜜罐***与所述内部网络具有同样的IP地址。
所述攻击方来自外部网络,所述受攻击主机位于所述内部网络。
本发明的技术效果在于:
1、在整个重定向实现过程中,两个网关上只使用了操作***自带的模块,无需运行任何之外的软件,避开了运行第三方软件的风险;
2、没有打包和解包的过程,对速度无任何影响;
3、没有增大IP包体积,故无需担心网络的最小MTU或者IP包分片问题。
附图说明
图1为重定向网络攻击的外部关系图;
图2为重定向网络攻击的具体实施图。
具体实施方式
下面参照图2,结合实例详细描述本发明。其中图2中网关N1和网关N2都运行常见版本的linux操作***,且配置为路由器模式而不是桥模式。使用局域网192.168.152.*和192.168.153.*来模拟internet,这不会影响实验的普适性。使用局域网192.168.154.*连接内部网络主机H1,但这个局域网和连接蜜罐主机H2的局域网192.168.154.*是物理上和逻辑上都分开的网络,而且蜜罐***的IP地址与内部网络的IP地址相同。
具体实施如下:
1、在网关N1上运行如下命令进行设置:
ip tunnel add rd_rt mode ipip remote 192.168.153.4 local 192.168.153.2 ttl 255
ip link set rd_rt up
ip addr add 10.0.2.1 dev rd_rt
ip route add 10.0.4.0/24 dev rd_rt
第一条命令是添加ipip隧道命令,第二条命令使能隧道,第三条命令给隧道在本机的端点一个ip地址,第四条命令添加一个子网的路由,这样就可以找得到10.0.4.1了。
2、在网关N2设置:
ip tunnel add honey_rt mode ipip remote 192.168.153.2 local 192.168.153.4 ttl255
ip link set honey_rt up
ip addr add 10.0.4.1 dev honey_rt
ip route add 10.0.2.0/24 dev honey_rt
各条命令的含义同前面配置网关N1。
3、在网关N1上设置过滤和转发规则:
(1)首先设置iptables规则,将到192.168.154.103的icmp和tcp流标记为100:
iptables-t mangle-A PREROUTING-p icmp-d 192.168.154.103-j MARK--set-mark100
iptables-t mangle-A PREROUTING-p tcp-d 192.168.154.103-j MARK--set-mark100
(2)添加策略规则,即让标记为100的IP包走新路由表100:
ip rule add fwmark 100 table 100
(3)添加新路由表100:
ip route add 0/0via 10.0.4.1 table 100
也就是说所有IP包的下一跳都是隧道的对端。
4、设置网关N2的路由:
ip route add 0/0 via 10.0.2.1
这样从蜜罐主机H2返回的IP包的下一跳将是隧道在网关N1的端点。
此后我们可以从攻击者A的位置向内部网络主机H1发起攻击,然后可以观察到此网络攻击通过网关N1和网关N2之后被传递到了蜜罐主机H2,同时蜜罐主机H2的反馈IP包也通过网关N2和网关N1返回给了攻击者A。
如上所述,本发明通过标记网络攻击IP包、设置隧道、第二张路由表,从而将网络攻击重定向到远端相同子网地址的蜜罐主机上,这使得本重定向简便易行,快速高效,特别适合在重要网关上临时重定向网络攻击的情况。
所述的实施例可以应用在千兆级网关上,试验证明本发明不仅实现了对网络攻击的重定向,而且转发效率基本没有任何损失,圆满地实现了本发明的目的。本发明具有很好的实用性和推广应用前景。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。例如,网关N1除了是三块网卡分别构成三个通道连向internet、内部网络和网关N2外,还可以只有两块网卡,除一块网卡连接内部网络外,另外一块构成一个通道连向internet,通往网关N2的隧道也同时建立于该通道中,而不需第三块网卡。又如,网关N1和网关N2的隧道可以是ipip隧道,也可以是gre隧道,也可以是其他VPN隧道,只要是逻辑上的隧道且可以在路由表上指明为下一跳即可。因此,本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (8)
1.一种结合路由和隧道重定向网络攻击的方法,其步骤为:
1)配置内部网络网关与蜜罐***网关之间的隧道;
2)在内部网络网关上配置过滤规则,标记所有流向受攻击主机的IP包;
3)在内部网络网关上配置转发规则,使所有被标记的IP包经上述隧道发送到蜜罐***;
4)设置蜜罐***网关的路由,将蜜罐***返回的IP包经上述隧道发送到内部网络网关。
2.如权利要求1所述的方法,其特征在于所述隧道为ipip隧道。
3.如权利要去1所述的方法,其特征在于所述隧道为gre隧道。
4.如权利要求1所述的方法,其特征在于所述隧道为VPN隧道。
5.如权利要求1所述的方法,其特征在于所述步骤3)中转发规则的实现方法为:
1)在所述内部网络网关中添加一路由表R2,在其中将下一跳设置为所述隧道的隧道入口;
2)通过配置路由策略,使所述所有被标记的IP包都查询所述路由表R2。
6.如权利要求1或2或3或4或5所述的方法,其特征在于所述内部网络与所述蜜罐***为物理上和逻辑上分开的网络。
7.如权利要求6所述的方法,其特征在于所述蜜罐***与所述内部网络具有同样的IP地址。
8.如权利要求7所述的方法,其特征在于所述攻击方来自外部网络,所述受攻击主机位于所述内部网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101792031A CN101188613A (zh) | 2007-12-11 | 2007-12-11 | 一种结合路由和隧道重定向网络攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101792031A CN101188613A (zh) | 2007-12-11 | 2007-12-11 | 一种结合路由和隧道重定向网络攻击的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101188613A true CN101188613A (zh) | 2008-05-28 |
Family
ID=39480802
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007101792031A Pending CN101188613A (zh) | 2007-12-11 | 2007-12-11 | 一种结合路由和隧道重定向网络攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101188613A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控***的自身防护通用单元 |
CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和*** |
CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控***中的蜜罐装置及工控*** |
CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及*** |
CN107306264A (zh) * | 2016-04-25 | 2017-10-31 | 腾讯科技(深圳)有限公司 | 网络安全监控方法和装置 |
CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
CN110995763A (zh) * | 2019-12-26 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
CN114866513A (zh) * | 2022-04-18 | 2022-08-05 | 北京从云科技有限公司 | 基于隧道技术的域名解析重定向方法和*** |
CN117176389A (zh) * | 2023-07-27 | 2023-12-05 | 中电云计算技术有限公司 | 一种安全防御方法、装置、设备及存储介质 |
-
2007
- 2007-12-11 CN CNA2007101792031A patent/CN101188613A/zh active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控***的自身防护通用单元 |
CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和*** |
CN103051605B (zh) * | 2012-11-21 | 2016-06-29 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和*** |
CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控***中的蜜罐装置及工控*** |
CN107306264B (zh) * | 2016-04-25 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 网络安全监控方法和装置 |
CN107306264A (zh) * | 2016-04-25 | 2017-10-31 | 腾讯科技(深圳)有限公司 | 网络安全监控方法和装置 |
CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及*** |
CN106302525B (zh) * | 2016-09-27 | 2021-02-02 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及*** |
CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
CN110401638B (zh) * | 2019-06-28 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
CN110995763A (zh) * | 2019-12-26 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
CN110995763B (zh) * | 2019-12-26 | 2022-08-05 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
CN114866513A (zh) * | 2022-04-18 | 2022-08-05 | 北京从云科技有限公司 | 基于隧道技术的域名解析重定向方法和*** |
CN117176389A (zh) * | 2023-07-27 | 2023-12-05 | 中电云计算技术有限公司 | 一种安全防御方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101188613A (zh) | 一种结合路由和隧道重定向网络攻击的方法 | |
US11374848B2 (en) | Explicit routing with network function encoding | |
CN102932377B (zh) | 一种ip报文过滤方法及装置 | |
US7738457B2 (en) | Method and system for virtual routing using containers | |
CN106789542B (zh) | 一种云数据中心安全服务链的实现方法 | |
EP3228054B1 (en) | Inter-domain service function chaining | |
US20180041472A1 (en) | Intelligent sorting for n-way secure split tunnel | |
CN106341404A (zh) | 基于众核处理器的IPSec VPN***及加解密处理方法 | |
CN104202300B (zh) | 基于网络隔离装置的数据通信方法和装置 | |
CN102148727B (zh) | 网络设备性能测试方法及*** | |
EP2011316B1 (en) | Virtual inline configuration for a network device | |
CN102739816B (zh) | 在mpls网络内的未编址设备通信 | |
CN108092934A (zh) | 安全服务***及方法 | |
CN107078957A (zh) | 通信网络中的网络服务功能的链接 | |
CN107852359A (zh) | 安全***、通信控制方法 | |
CN106233673A (zh) | 网络服务*** | |
WO2005029215A3 (en) | Method of controlling communication between devices in a network and apparatus for the same | |
WO2015184771A1 (zh) | 一种业务功能链操作、管理和维护方法及节点设备 | |
CN104092595A (zh) | 基于802.1br的虚拟化***中的报文处理方法及装置 | |
CN110430130A (zh) | 确定策略路径的方法及装置 | |
CN101640645A (zh) | 报文传输方法和*** | |
EP3545651B1 (en) | Service function chaining and overlay transport loop prevention | |
CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
CN106888144B (zh) | 一种报文转发方法及装置 | |
CN102413124A (zh) | 一种实现网络增强隔离区的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20080528 |