【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体而言,涉及一种绕过日志审计的方法及装置、存储介质、电子设备。
技术介绍
1、相关技术中,linux,全称gnu/linux,是一套免费使用和自由传播的类unix操作系统,是一个基于posix和unix的多用户、多任务、支持多线程和多cpu的操作系统。它除了在服务器方面保持着强劲的发展势头以外,在个人电脑、嵌入式系统上都有着长足的进步。使用者不仅可以直观地获取该操作系统的实现机制,而且可以根据自身的需要来修改完善linux,使其最大化地适应用户的需要。
2、linux不仅系统性能稳定,而且是开源软件。其核心防火墙组件性能高效、配置简单,保证了系统的安全。在很多企业网络中,为了追求速度和安全,linux不仅仅是被网络运维人员当作服务器使用,linux既可以当作服务器,又可以当作网络防火墙是linux的一大亮点。
3、在公司系统内部,通常情况下,根据公司部门职能,划分几个网段。每个网段的ip是唯一的。安全审记日志系统检测流程如下:1.确定审计目标:确定需要进行日志审计的网络设备范围,包括路由器、交换机、防火墙、服务器等。同时,确定审计的目的,例如合规要求、安全威胁检测等。2.定义审计策略:制定详细的审计策略,包括审计日志的类型、记录级别、存储期限等。考虑到存储需求和性能影响,可以根据设备类型和重要性制定不同的策略。3.配置日志记录:根据定义的审计策略,在网络设备上启用适当的日志记录功能。这可能涉及到配置设备的日志级别、日志格式、日志输出目标(如本地存储或远程日志服务器)等。4.收
4、针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
技术实现思路
1、本专利技术实施例提供了一种绕过日志审计的方法及装置、存储介质、电子设备。
2、根据本申请实施例的一个方面,提供了一种绕过日志审计的方法,包括:在本地主机上新建路由表,并配置所述路由表的路由规则,其中,所述路由规则用于指示待连接的目标ip匹配所述路由表;基于所述路由表向所述目标ip回复地址解析协议arp响应包;以本地主机的伪造ip向所述目标ip所在的目标主机发起连接;在连接完成之后,在所述本地主机上删除所述路由表。
3、进一步,在本地主机上新建路由表包括:在所述本地主机上新建以下路由表元素:目的地址段、网关、子网掩码、iface,其中,所述iface用于指示路由对应的网络设备接口;采用所述路由表元素生成路由表。
4、进一步,配置所述路由表的路由规则包括:检测用户输入的第一ip route命令;响应所述第一ip route命令,在所述路由表的中添加指定路由表,其中,所述指定路由表的所有数据均经过本地回环网卡;检测用户输入的第二ip route命令;响应所述第二ip route命令,在所述路由表中添加指定路由路径,其中,所述指定路由路径用于指示所述目标ip的网络数据均经由所述指定路由表。
5、进一步,基于所述路由表向所述目标ip回复地址解析协议arp响应包包括:以所述本地主机的真实ip广播发送所述目标ip的第一地址解析协议arp request广播请求;接收所述目标主机基于所述第一arp request广播请求返回的第一回应单播包;响应所述第一回应单播包,基于所述路由表以所述本地主机的伪造ip广播发送所述目标ip的第二arprequest广播请求;调取pcap库工具包监测所述目标主机基于所述第二arp request广播请求返回的第二回应单播包;响应所述第二回应单播包,向所述目标主机回复arp响应包。
6、进一步,基于所述路由表以所述本地主机的伪造ip广播发送所述目标ip的第二arp request广播请求包括:解析所述第一回应单播包中的目标ip;在所述路由表中查找与目标ip匹配的伪造ip;在所述本地主机以所述伪造ip广播发送所述目标ip的第二arprequest广播请求。
7、进一步,以本地主机的伪造ip向所述目标ip所在的目标主机发起连接包括:采用安全外壳协议ssh向所述目标ip所在的目标主机发送远程命令,其中,所述远程命令携带以下信息:所述伪造ip、连接账号、所述目标ip、系统命令,所述系统命令用于显示当前系统的网络配置,所述远程命令用于指示采用所述伪造ip并指定所述连接账号连接至所述目标ip,并在所述目标ip的目标主机上执行所述系统命令。
8、进一步,在所述本地主机上删除所述路由表包括:生成第一删除命令和第二删除命令;基于所述第一删除命令在所述本地主机上删除所述路由规则、基于所述第二删除命令在所述本地主机上删除所述路由表。
9、根据本申请实施例的另一个方面,还提供了一种绕过日志审计的装置,应用在运行linux的本地主机上,包括:新建模块,用于在本地主机上新建路由表,并配置所述路由表的路由规则,其中,所述路由规则用于指示待连接的目标ip匹配所述路由表;回复模块,用于基于所述路由表向所述目标ip回复地址解析协议arp响应包;连接模块,用于以本地主机的伪造ip向所述目标ip所在的目标主机发起连接;删除模块,用于在连接完成之后,在所述本地主机上删除所述路由表。
10、进一步,所述新建模块包括:第一新建单元,用于在所述本地主机上新建以下路由表元素:目的地址段、网关、子网掩码、iface,其中,所述iface用于指示路由对应的网络设备接口;第二新建单元,用于采用所述路由表元素生成路由表。
11、进一步,所述新建模块包括:第一检测单元,用于检测用户输入的第一ip route命令;第一添加单元,用于响应所述第一ip route命令,在所述路由表的中添加指定路由表,其中,所述指定路由表的所有数据均经过本地回环网卡;第二检测单元,用于检测用户输本文档来自技高网...
【技术保护点】
1.一种绕过日志审计的方法,其特征在于,应用在运行linux的本地主机上,包括:
2.根据权利要求1所述的方法,其特征在于,在本地主机上新建路由表包括:
3.根据权利要求1所述的方法,其特征在于,配置所述路由表的路由规则包括:
4.根据权利要求1所述的方法,其特征在于,基于所述路由表向所述目标IP回复地址解析协议ARP响应包包括:
5.根据权利要求4所述的方法,其特征在于,基于所述路由表以所述本地主机的伪造IP广播发送所述目标IP的第二ARP Request广播请求包括:
6.根据权利要求1所述的方法,其特征在于,以本地主机的伪造IP向所述目标IP所在的目标主机发起连接包括:
7.根据权利要求1所述的方法,其特征在于,在所述本地主机上删除所述路由表包括:
8.一种绕过日志审计装置,其特征在于,应用在运行linux的本地主机上,包括:
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至7中任一项所述的方法步骤。
10.一种电子设
...【技术特征摘要】
1.一种绕过日志审计的方法,其特征在于,应用在运行linux的本地主机上,包括:
2.根据权利要求1所述的方法,其特征在于,在本地主机上新建路由表包括:
3.根据权利要求1所述的方法,其特征在于,配置所述路由表的路由规则包括:
4.根据权利要求1所述的方法,其特征在于,基于所述路由表向所述目标ip回复地址解析协议arp响应包包括:
5.根据权利要求4所述的方法,其特征在于,基于所述路由表以所述本地主机的伪造ip广播发送所述目标ip的第二arp request广播请求包括:
6.根据权利要...
【专利技术属性】
技术研发人员:赵旺军,叶翔,程鹏,黄海军,胡鹏,吴建亮,刘木祥,龚国豪,姚淑慧,阮红梅,詹媛婷,
申请(专利权)人:广州锦行网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。