基于代理IP与流表的网络靶场探针采集方法与系统技术方案

本发明专利技术公开了一种基于代理IP与流表的网络靶场探针采集方法与系统，属于网络安全领域。本发明专利技术首先为探针客户端虚拟机分配代理IP地址，并存储虚拟机与代理IP地址的对应关系；在启动探针客户端虚拟机时，针对探针客户端与探针服务端虚拟机是否在相同计算节点上，为计算节点上的集成交换机和外部交换机配置相应的流表，使得探针客户端通过代理IP与探针服务端通信。本发明专利技术基于代理IP与流表配置，无需为探针客户端分配第二块网卡和外网IP地址，即可实现探针服务端与探针客户端通信，有效节省了外网IP地址资源。探针客户端仅可以基于流表配置访问探针服务端，不可以访问其他外网资源，对原有的网络靶场拓扑结构没有影响，系统安全性高。性高。性高。

【技术实现步骤摘要】
基于代理IP与流表的网络靶场探针采集方法与系统


[0001]本专利技术涉及一种基于代理IP与流表的网络靶场探针采集方法与系统，属于网络安全、计算机软件领域。

技术介绍

[0002]为掌握网络靶场的运行与进展，需要向靶场环境中注入探针以采集实时状态。如图1所示，现有的探针采集方案通常是基于双网卡的方案，网络靶场内部网络是一个独立网络，只用于网络靶场虚拟机内部通信，虚拟机再通过外部网络与物理网络通信，探针采集信息的传送即通过外部网络进行。现有基于双网卡的探针采集方案在部署时，主要步骤如下：1.用户登录网络靶场平台后，点击启动集成探针服务端的虚拟机和集成探针客户端的虚拟机。2.网络靶场平台根据调度算法选择一个计算节点启动探针服务端虚拟机，并为网卡一分配外网IP地址。3.网络靶场平台根据调度算法选择一个计算节点启动探针客户端虚拟机，并为网卡一分配独立IP地址；为网卡二分配外网IP地址。4.探针客户端虚拟机通过外网IP地址检测探针服务端TCP1514和TCP1515端口是否能连通。5.如果不能连通等待一段时间后重复第4步。6.如果能连通探针客户端虚拟机采集本地信息通过外网IP地址发送到探针服务端虚拟机对应端口。
[0003]现有方案存在如下问题：1.探针客户端虚拟机必须配置两块网卡，并且保证不同类型的(Linux系列、Windows系列)探针客户端虚拟机第二块网卡成功启动。2.探针客户端虚拟机第二块网卡需要配置外网IP地址，需要保证有足够多的外网IP地址可用（靶场外部网络通常是管理网络，需要管理所有的靶场，多个网络靶场同时运行时，外部网络的IP不能冲突，需要耗费大量的外部IP地址）。3.探针客户端虚拟机通过第二块网卡和探针服务端虚拟机相连必须真实反应在场景拓扑中，增加场景拓扑复杂度。4.所有的探针客户端虚拟机通过第二块网卡可以任意访问外网网络资源，存在安全隐患。

技术实现思路

[0004]专利技术目的：针对上述现有技术存在的问题，本专利技术目的在于提供一种基于代理IP与流表的网络靶场探针采集方法与系统，无需为探针客户端虚拟机配置第二块网卡和外网IP地址，降低网络拓扑的复杂度，并能够有效保证网络的安全性。
[0005]技术方案：为实现上述专利技术目的，本专利技术采用如下技术方案：一种基于代理IP与流表的网络靶场探针采集方法，包括如下步骤：为探针客户端虚拟机分配代理IP地址，并存储虚拟机与代理IP地址的对应关系；在启动探针客户端虚拟机时，若探针客户端虚拟机与探针服务端虚拟机在相同计算节点上，则在该计算节点上的集成交换机创建流表，将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址，并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址，使得探针客户端通过代理IP与探针服务端通信；
在启动探针客户端虚拟机时，若探针客户端虚拟机与探针服务端虚拟机在不同计算节点上，则在探针客户端虚拟机所在计算节点上的集成交换机和外部交换机创建流表，在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址，在外部交换机上进行转发，并在外部交换机上将探针服务端至探针客户端代理IP地址的IP流中的代理IP地址还原为探针客户端IP地址，在集成交换机上将探针服务端至探针客户端代理IP地址的ARP流中的代理IP地址还原为探针客户端IP地址，使得探针客户端通过代理IP与探针服务端通信；其中计算节点上的集成交换机用于连接计算节点内部虚拟机和/或网桥，外部交换机与集成交换机以及物理网卡相连，用于实现跨计算节点通信。
[0006]作为优选，对于与探针服务端虚拟机在相同计算节点上的探针客户端虚拟机，该计算节点上的集成交换机创建的流表为：匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流，将其源IP地址修改为该探针客户端虚拟机的代理IP地址，目标MAC地址修改为探针服务端虚拟机的MAC地址，剥离VLAN标签并从转发至与探针服务端虚拟机相连的网口；匹配从与探针服务端虚拟机相连的网口进入的ARP和IP流且目标IP是探针客户端虚拟机代理IP地址的数据流，将其目标IP地址修改为探针客户端虚拟机IP地址，目标MAC地址修改为探针客户端虚拟机的MAC地址，剥离VLAN标签并转发至与探针客户端虚拟机相连的网口。
[0007]作为优选，对于与探针服务端虚拟机在不同计算节点上的探针客户端虚拟机，探针客户端虚拟机所在计算节点上的集成交换机创建的流表为：匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流，将其源IP地址修改为该探针客户端虚拟机的代理IP地址，目标MAC地址修改为探针客户端虚拟机的MAC地址，转发到集成交换机与外部交换机相连的网口；匹配从与外部交换机相连的网口进入的IP流且目标IP是探针客户端虚拟机IP地址的数据流，将其目标MAC地址修改为探针客户端虚拟机的MAC地址，转发到与探针客户端虚拟机相连的网口；匹配从与外部交换机相连的网口进入的ARP流且目标IP是探针客户端虚拟机代理IP地址的数据流，将其目标IP地址修改为探针客户端虚拟机IP地址，目标MAC地址修改为探针客户端虚拟机的MAC地址，转发到与探针客户端虚拟机相连的网口。
[0008]探针客户端虚拟机所在计算节点上的外部交换机创建的流表为：匹配源IP地址为探针客户端虚拟机代理IP地址，目标IP地址为探针服务端IP地址的IP数据流，将其剥离VLAN标签并转发；匹配源IP地址为探针服务端IP地址，目标IP地址为探针客户端虚拟机代理IP地址的IP数据流，将其目标IP地址修改为探针客户端虚拟机IP地址，并转发到与连接探针客户端的集成交换机相连的网口。
[0009]作为优选，探针客户端虚拟机的代理IP地址的网段与探针客户端虚拟机IP地址的网段和探针服务端虚拟机网段均不相同。
[0010]作为优选，同一个计算节点上部署有多个探针客户端虚拟机，多个探针客户端虚拟机通过接入网桥与集成交换机相连。
[0011]基于相同的专利技术构思，本专利技术提供的一种基于代理IP与流表的网络靶场探针采集系统，包括如下模块：代理IP管理模块，用于为探针客户端虚拟机分配代理IP地址，并存储虚拟机与代
理IP地址的对应关系；第一流表创建模块，用于在启动探针客户端虚拟机时，若探针客户端虚拟机与探针服务端虚拟机在相同计算节点上，则在该计算节点上的集成交换机创建流表，将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址，并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址，使得探针客户端通过代理IP与探针服务端通信；以及，第二流表创建模块，用于在启动探针客户端虚拟机时，若探针客户端虚拟机与探针服务端虚拟机在不同计算节点上，则在探针客户端虚拟机所在计算节点上的集成交换机和外部交换机创建流表，在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于代理IP与流表的网络靶场探针采集方法，其特征在于，包括如下步骤：为探针客户端虚拟机分配代理IP地址，并存储虚拟机与代理IP地址的对应关系；在启动探针客户端虚拟机时，若探针客户端虚拟机与探针服务端虚拟机在相同计算节点上，则在该计算节点上的集成交换机创建流表，将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址，并将探针服务端至探针客户端代理IP地址的ARP和IP流中的代理IP地址还原为探针客户端IP地址，使得探针客户端通过代理IP与探针服务端通信；在启动探针客户端虚拟机时，若探针客户端虚拟机与探针服务端虚拟机在不同计算节点上，则在探针客户端虚拟机所在计算节点上的集成交换机和外部交换机创建流表，在集成交换机上将探针客户端至探针服务端IP地址的ARP和IP流中的探针客户端IP地址修改为代理IP地址，在外部交换机上进行转发，并在外部交换机上将探针服务端至探针客户端代理IP地址的IP流中的代理IP地址还原为探针客户端IP地址，在集成交换机上将探针服务端至探针客户端代理IP地址的ARP流中的代理IP地址还原为探针客户端IP地址，使得探针客户端通过代理IP与探针服务端通信；其中计算节点上的集成交换机用于连接计算节点内部虚拟机和/或网桥，外部交换机与集成交换机以及物理网卡相连，用于实现跨计算节点通信。2.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法，其特征在于，对于与探针服务端虚拟机在相同计算节点上的探针客户端虚拟机，该计算节点上的集成交换机创建的流表为：匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流，将其源IP地址修改为该探针客户端虚拟机的代理IP地址，目标MAC地址修改为探针服务端虚拟机的MAC地址，剥离VLAN标签并从转发至与探针服务端虚拟机相连的网口；匹配从与探针服务端虚拟机相连的网口进入的ARP和IP流且目标IP是探针客户端虚拟机代理IP地址的数据流，将其目标IP地址修改为探针客户端虚拟机IP地址，目标MAC地址修改为探针客户端虚拟机的MAC地址，剥离VLAN标签并转发至与探针客户端虚拟机相连的网口。3.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法，其特征在于，对于与探针服务端虚拟机在不同计算节点上的探针客户端虚拟机，探针客户端虚拟机所在计算节点上的集成交换机创建的流表为：匹配从与探针客户端虚拟机相连的网口进入的ARP和IP流且目标IP是探针服务端IP地址的数据流，将其源IP地址修改为该探针客户端虚拟机的代理IP地址，目标MAC地址修改为探针客户端虚拟机的MAC地址，转发到集成交换机与外部交换机相连的网口；匹配从与外部交换机相连的网口进入的IP流且目标IP是探针客户端虚拟机IP地址的数据流，将其目标MAC地址修改为探针客户端虚拟机的MAC地址，转发到与探针客户端虚拟机相连的网口；匹配从与外部交换机相连的网口进入的ARP流且目标IP是探针客户端虚拟机代理IP地址的数据流，将其目标IP地址修改为探针客户端虚拟机IP地址，目标MAC地址修改为探针客户端虚拟机的MAC地址，转发到与探针客户端虚拟机相连的网口。4.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法，其特征在于，对于与探针服务端虚拟机在不同计算节点上的探针客户端虚拟机，探针客户端虚拟机所在计算节点上的外部交换机创建的流表为：匹配源IP地址为探针客户端虚拟机代理IP地址，目
标IP地址为探针服务端IP地址的IP数据流，将其剥离VLAN标签并转发；匹配源IP地址为探针服务端IP地址，目标IP地址为探针客户端虚拟机代理IP地址的IP数据流，将其目标IP地址修改为探针客户端虚拟机IP地址，并转发到与连接探针客户端的集成交换机相连的网口。5.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法，其特征在于，探针客户端虚拟机的代理IP地址的网段与探针客户端虚拟机IP地址的网段和探针服务端虚拟机网段均不相同。6.根据权利要求1所述的基于代理IP与流表的网络靶场探针采集方法，其特征在于，同一个计算...

【专利技术属性】
技术研发人员：于靖，谢峥，高庆官，卢成远，王鹏，
申请(专利权)人：南京赛宁信息技术有限公司，
类型：发明
国别省市：