一种结合路由和隧道重定向网络攻击的方法

专利名称：：一种结合路由和隧道重定向网络攻击的方法
技术领域：
：本发明涉及一种重定向网络攻击的方法，特别是一种通过路由和隧道的配置来改变IP包的流向，将网络攻击重定向到安全蜜罐主机的方法，属于计算机网络安全
技术领域：
。
背景技术：
：一个内部网络通过一个网关和外部网络(比如internet)相连，一种常有的情形是，一台外部网络主机向一台内部网络的主机发起危险的网络攻击。如果要对该网络攻击进行跟踪和研究，则可以在安全的地方构建另外一个内部网络，并安放一台蜜罐主机于其中，然后设法将危险的网络攻击重定向到蜜罐主机。假定一个网络拓扑图如图1所示，其中被攻击的主机HI在内部网络中，并通过网关Nl连向internet,蜜罐主机H2在另外一个的内部网络中，并通过网关N2连向internet。其中被攻击的内部网络主机H1和蜜罐主机H2有相同的内部网络地址。当internet上的攻击者A企图攻击内部网络主机HI时，最常见的将网络攻击重定向到蜜罐主机的方法如下-1、网关N1检测流过的数据流，如果发现从攻击者A到主机H1的IP包，则截住该IP包，并将其打包进一个新IP包，新IP包的源地址是网关N1，目的地址是网关N2，然后将其发送到internet上。2、网关N2将收到这个来自网关N1的新IP包，然后将其解开，从而得到里面的原始IP包，再发送到内部网络。由于蜜罐主机H2和被攻击主机H1有相同的内部网络地址，故蜜罐主机H2会收到这个原始IP包。3、蜜罐主机的反馈IP包到达网关N2时，网关N2截住这个IP包，并将其打包入一个新IP包，该新IP包的源地址是网关N2，目的地址是网关N1，然后将其发送到internet上。4、网关N1将收到这个来自网关N2的新IP包，然后将其解开，从而得到里面的原始IP包，再送入internet,由于该包的目的地址指向攻击者A，故攻击者A会收到这个来自蜜罐主机的反馈IP包。至此，原本攻击者A对内部网络主机H1的网络攻击就被完整地重定向到蜜罐主机H2了，且攻击者A无法感知被重定向。但是这样的实现也有其不足-1、两个网关对IP包进行打包和解包以及转发等都需要运行特别设计的第三方软件，这对于重要的网关是个很大的风险；2、网关流量很大的话，打包和解包会严重降低网关的转发速度；3、如果原始IP包很大，则打包之后的体积可能大于网络的最小MTU，这涉及到将一个IP包分割为多个IP，操作起来相当麻烦。总的来说，现有通行的重定向方法需要安装软件，其软件实现并不轻松，且会降低网关的转发速度。
发明内容本发明的目的是提供一种简便的、随时可以实现的重定向方法，也即充分利用网关操作系统本身的功能模块，而不运行第三方软件的方法。本发明的另一目的是避开大IP包需分片以及打包解包影响转发速度的情况。本发明要求网关使用普通的linux发行版本，且配置为路由器模式而不是桥模式。本发明所述的重定向方法将组合利用li皿x操作系统的iptables模块、iproute模块以及隧道模块，进行如下配置1、首先配置从内部网络网关(网关N1)到蜜罐系统网关(网关N2)的隧道，这可以使用limix操作系统的任何隧道模块来实现。2、网关Nl本身有根据自身环境配置好的路由表Rl,里面有关于网络主机H1的正确路由。我们利用linux的iproute模块给网关Nl再配置一张路由表R2，在该路由表里面我们将通往内部网络主机H1的下一跳设置为前面配置的隧道的入口，而不是R1中正确的路由。3、在网关Nl上利用iptables模块配置IP包过滤和转发规则，使得从internet流向内部网络主机HI的IP包都标记为M，同时配置路由策略规则，要求所有标记为M的IP包都査询前面配置的路由表R2来寻找路由。4、在网关N2设置路由，使得所有蜜罐主机H2向internet发出的IP包都流向前面配置好的隧道。5、配置蜜罐主机H2的IP地址，使其和内部网络主机H1—致。在上述配置下的网络攻击的重定向过程如下-1、攻击者A向内部网络主机H1发出的IP包首先将到达网关N1，网关Nl根据配置的规则检测到该IP包，然后打上标记M。2、根据配置的路由策略，这个IP包将要査询路由表R2，在R2中所有路由的下一跳都是通往网关N2的隧道入口点，于是这个IP包进入隧道后将到达网关N2.3、网关N2收到IP包后，由于网关N2后面的蜜罐主机H2的地址和IP包的目的地址一致，故网关N2将此包发送给蜜罐主机H2.以上就完成了攻击者A发出的IP包重定向到蜜罐主机H2的过程。4、蜜罐主机对攻击做出反应，发送一个IP包给攻击者，这个IP包首先到达网关N2，由于网关N2设置任何路由的下一跳都是通往网关Nl的隧道入口，故这个IP包将进入隧道并到达网关Nl.5、IP包到达网关N1之后会査询路由表R1而不是R2，故这个IP包将会被网关N1送入internet并最后到达攻击者A。至此就完成了蜜罐主机H2反馈IP包到达攻击者A的过程。综合上述分析，本发明采取的技术方案为一种结合路由和隧道重定向网络攻击的方法，其步骤为1)配置内部网络网关与蜜罐系统网关之间的隧道；2)在内部网络网关上配置过滤规则，标记所有流向受攻击主机的IP包；3)在内部网络网关上配置转发规则，使所有被标记的IP包经上述隧道发送到蜜罐系统；4)设置蜜罐系统网关的路由，将蜜罐系统返回的IP包经上述隧道发送到内部网络网关。所述隧道为ipip隧道。所述隧道为gre隧道。所述隧道为VPN隧道。所述步骤3)中转发规则的实现方法为1)在所述内部网络网关中添加一路由表R2，在其中将下一跳设置为所述隧道的隧道入口；2)通过配置路由策略，使所述所有被标记的IP包都查询所述路由表R2。所述内部网络与所述蜜罐系统为物理上和逻辑上分开的网络。所述蜜罐系统与所述内部网络具有同样的IP地址。所述攻击方来自外部网络，所述受攻击主机位于所述内部网络。本发明的技术效果在于1、在整个重定向实现过程中，两个网关上只使用了操作系统自带的模块，无需运行任何之外的软件，避开了运行第三方软件的风险；2、没有打包和解包的过程，对速度无任何影响；3、没有增大IP包体积，故无需担心网络的最小MTU或者IP包分片问题。图1为重定向网络攻击的外部关系图；图2为重定向网络攻击的具体实施图。具体实施例方式下面参照图2，结合实例详细描述本发明。其中图2中网关Nl和网关N2都运行常见版本的linux操作系统，且配置为路由器模式而不是桥模式。使用局域网192.168.152.*和192.168.153.*来模拟internet,这不会影响实验的普适性。使用局域网192.168.154.*连接内部网络主机Hl，但这个局域网和连接蜜罐主机H2的局域网192.168.154.*是物理上和逻辑上都分开的网络，而且蜜罐系统的IP地址与内部网络的IP地址相同。具体实施如下1、在网关N1上运行如下命令进行设置ipt画eladdrd—rtmodeipipremote192.168.153.4local192.168.153.2ttl255iplinksetrd_rtupipaddradd10.0.2.1devrd一rtiprouteadd10.0.4.0/24devrd—rt第一条命令是添加ipip隧道命令，第二条命令使能隧道，第三条命令给隧道在本机的端点一个ip地址，第四条命令添加一个子网的路由，这样就可以找得到10.0.4.1了。2、在网关N2设置iptunneladdhoney—rtmodeipipremote192.168.153.2local192.168.153.4ttl255iplinksethoney—rtupipaddradd10.0.4.1devhoney一rtiprouteadd10.0.2.0/24devhoney—rt各条命令的含义同前面配置网关Nl。3、在网关N1上设置过滤和转发规则(1)首先设置iptables规则，将到192.168.154.103的icmp和tcp流标记为100:iptables-1mangle-APREROUTING-picmp_d192.168.154.103-jMARK—set-mark100iptables-1mangle-APREROUTING-ptcp-d192.168.154.103-jMARK—set-mark100(2)添加策略规则，即让标记为100的IP包走新路由表100:ipruleaddfwmark100table100(3)添加新路由表100:iprouteadd0/0via10.0.4.1table100也就是说所有IP包的下一跳都是隧道的对端。4、设置网关N2的路由iprouteadd0/0via10.0.2.1这样从蜜罐主机H2返回的IP包的下一跳将是隧道在网关Nl的端点。此后我们可以从攻击者A的位置向内部网络主机H1发起攻击，然后可以观察到此网络攻击通过网关Nl和网关N2之后被传递到了蜜罐主机H2，同时蜜罐主机H2的反馈IP包也通过网关N2和网关N1返回给了攻击者A。如上所述，本发明通过标记网络攻击IP包、设置隧道、第二张路由表，从而将网络攻击重定向到远端相同子网地址的蜜罐主机上，这使得本重定向简便易行，快速高效，特别适合在重要网关上临时重定向网络攻击的情况。所述的实施例可以应用在千兆级网关上，试验证明本发明不仅实现了对网络攻击的重定向，而且转发效率基本没有任何损失，圆满地实现了本发明的目的。本发明具有很好的实用性和推广应用前景。尽管为说明目的公开了本发明的具体实施例和附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。例如，网关Nl除了是三块网卡分别构成三个通道连向internet、内部网络和网关N2外，还可以只有两块网卡，除一块网卡连接内部网络外，另外一块构成一个通道连向internet,通往网关N2的隧道也同时建立于该通道中，而不需第三块网卡。又如，网关Nl和网关N2的隧道可以是ipip隧道，也可以是gre隧道，也可以是其他VPN隧道，只要是逻辑上的隧道且可以在路由表上指明为下一跳即可。因此，本发明不应局限于本说明书最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。权利要求1.一种结合路由和隧道重定向网络攻击的方法，其步骤为1)配置内部网络网关与蜜罐系统网关之间的隧道；2)在内部网络网关上配置过滤规则，标记所有流向受攻击主机的IP包；3)在内部网络网关上配置转发规则，使所有被标记的IP包经上述隧道发送到蜜罐系统；4)设置蜜罐系统网关的路由，将蜜罐系统返回的IP包经上述隧道发送到内部网络网关。2.如权利要求l所述的方法，其特征在于所述隧道为ipip隧道。3.如权利要去l所述的方法，其特征在于所述隧道为gre隧道。4.如权利要求l所述的方法，其特征在于所述隧道为VPN隧道。5.如权利要求l所述的方法，其特征在于所述步骤3)中转发规则的实现方法为1)在所述内部网络网关中添加一路由表R2，在其中将下一跳设置为所述隧道的隧道入口；2)通过配置路由策略，使所述所有被标记的IP包都査询所述路由表R2。6.如权利要求1或2或3或4或5所述的方法，其特征在于所述内部网络与所述蜜罐系统为物理上和逻辑上分开的网络。7.如权利要求6所述的方法，其特征在于所述蜜罐系统与所述内部网络具有同样的IP地址。8.如权利要求7所述的方法，其特征在于所述攻击方来自外部网络，所述受攻击主机位于所述内部网络。全文摘要本发明公开了一种结合路由和隧道重定向网络攻击的方法，其通过在网关N1与连接蜜罐主机的网关N2之间设置隧道、配置第二张路由表，并标记网络攻击IP包，从而将网络攻击重定向到远端相同子网地址的蜜罐主机上，实现重定向网络攻击。本发明的方法简便易行，快速高效，特别适合在重要网关上临时重定向网络攻击的情况；同时本发明的方法具有风险低，无需担心网络的最小MTU或者IP包分片问题。文档编号H04L29/06GK101188613SQ20071017920公开日2008年5月28日申请日期2007年12月11日优先权日2007年12月11日发明者叶志远,游红宇,诸葛建伟,维邹,郭晋鹏申请人:北京大学