一种适用于虚拟机的arp攻击双向防护方法【专利摘要】本发明涉及云计算领域,特别是指一种适用于虚拟机的ARP攻击双向防护方法。本发明首先在宿主物理机上安装网络数据包过滤工具,然后在网络数据包过滤工具上建立虚拟网络所有网关的IP地址到MAC地址之间的映射关系;接着虚拟机创建时,在网络数据包过滤工具上建立NAT链表;虚拟机创建后,在网络数据包过滤工具上建立虚拟机的MAC地址与IP地址之间的映射关系;最后在虚拟机的NAT链表中加入子链表,并在子链表上加入虚拟机MC地址与IP地址之间的映射关系。本发明实现了ARP攻击双向防护只需要在宿主机上执行,虚拟机内部无需再安装ARP防火墙软件;提供一个节省资源、灵活方便的虚拟机ARP攻击双向防护的方法。【专利说明】一种适用于虚拟机的ARP攻击双向防护方法【
技术领域:
】[0001]本发明涉及云计算领域,特别是指一种适用于虚拟机的ARP攻击双向防护方法。【
背景技术:
】[0002]在云计算环境下,由于虚拟机被广泛使用,普遍具有网络连接的虚拟机又使得网络中主机的数量急剧增长,同时,虚拟机采用的虚拟网卡在物理地址设置方面不可控的特性又使得网络冲突比以往变得更加频繁,因此,ARP(AddressResolutionProtocol,地址解析协议)攻击将会是云计算环境下虚拟机安全面临的重要威胁之一,目前在虚拟机上采取的ARP攻击防护手段都是基于物理机ARP防护的,一般有如下:[0003]-是在虚拟机中安装ARP防火墙软件之类的网络数据包过滤工具,如Windows系统下的360ARP防火墙;[0004]二是在云计算系统的外部部署硬件防火墙,对外来的ARP攻击进行防护。[0005]上述方法存在以下弊端:[0006]1、防护手段不全面,没有充分考虑云计算环境下的特殊性,对处于同一台物理机下的虚拟机之间的相互攻击不能进行检测和防护;[0007]2、不能减缓攻击对内网网络环境的影响,若攻击源在内网,上述方法只能对攻击数据包进行检测和隔绝,而不能彻底丢弃攻击数据包,攻击源还是会占用内网的带宽,在攻击频繁的时候还会造成内网拥堵,进而影响到整个云平台的业务正常运行。【
发明内容】[0008]本发明解决的技术问题在于提供一种适用虚拟机ARP攻击的双向防护方法,解决传统方法存在的浪费资源等不足,提供一个节省物理资源、灵活方便虚拟机ARP防火墙的解决方案。[0009]本发明解决上述技术问题的技术方案是:[0010]包括如下步骤:[0011]步骤1:在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包;[0012]步骤2:在网络数据包过滤工具上建立虚拟网络所有网关的IP地址到MAC地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的网关;[0013]步骤3:虚拟机创建时,在网络数据包过滤工具上建立NAT链表;[0014]步骤4:虚拟机创建后,在网络数据包过滤工具上建立虚拟机的MAC地址与IP地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的MAC地址,影响虚拟机与外部的通信;[0015]步骤5:在虚拟机的NAT链表中加入子链表,并在子链表上加入虚拟机MAC地址与IP地址之间的映射关系,只允许具有正确映射关系的数据包发送到宿主机外部。[0016]所述的网络数据包过滤工具可以是Linux下的ebtables。[0017]所述的修改虚拟机IP时,相应的更新虚拟机子链表的规则;[0018]所述的子链表规则,在删除虚拟机时,同时删除规则,避免出现冗余。[0019]本发明的方法不需要在虚拟机上安装任何的附加软件,对原有系统无任何的侵入性,免去了原有系统内部安装ARP防火墙的工作,节省了系统内部资源消耗,大大节省了用户的便利性。本发明的方法是一种双向防护的方法,对虚拟机内外的ARP工具都能进行防护,能全面应对ARP攻击的威胁,对于云平台管理员来说,大大节省了平台管理员的网络维护成本,为ARP攻击防护,提供了有效的防御措施。本发明的方法从源头过滤ARP攻击数据包,避免攻击对网络带宽的占用,改善内网的网络环境,尤其是对安全意识薄弱的用户,避免了云平台中个别虚拟机用户由于使用不当导致虚拟机向外部发送攻击,而导致云平台网络瘫痪问题。【专利附图】【附图说明】[0020]下面结合附图对本发明进一步说明:[0021]图1为本发明的流程图;[0022]图2为本发明的模型架构图。【具体实施方式】[0023]本发明的实施方式有多种,这里以Linux下的ebtables为例说明其中一种实现方法,流程图如图1所示,具体实施过程如下:[0024]1、在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包。[0025]#yuminstallebtables.x86_64-y[0026]2、在网络数据包过滤工具上建立虚拟网络所有网关的IP地址到MAC地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的网关,执行命令如下:[0027]假如节点1的虚拟机的网关为FE:54:00:66:77:77,ip为10.10.10.1,那么在节点1输入以下命令[0028]ftebtables-AFORWARD-pARP-arp-ip-src10.10.10.1__arp-mac-src!FH:54;00:66:--:77_一log-arp-一1og-prefixARP-Attack-jDROP[0029]参数解释[0030]-arp-ip-src10.10.10.1#网关ip地址[0031]--arp-mac-src!FE:54:00:66:77:77#网关mac地址[0032]-log-arp-log-prefixARP-Attack#这个攻击时触发日志打印,用于提示攻击[0033]3、虚拟机创建时,在网络数据包过滤工具上建立NAT(NetworkAddressTranslation,网络地址转换)链表,虚拟机创建后,在网络数据包过滤工具上建立虚拟机的MAC地址与IP地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的MAC地址,影响虚拟机与外部的通信,执行命令如下:[0034]#ebtables-AFORWARD-pARP-arp-ip-src自定义ip[0035]--arp-mac-src!自定义mac地址一log-arp-log-prefix[0036]ARP-Attack-jDROP[0037]4、在虚拟机的NAT链表中加入子链表,并在子链表上加入虚拟机MAC地址与IP地址之间的映射关系,只允许具有正确映射关系的数据包发送到宿主机外部。执行如下命令:[0038]创建子链表[0039]#ebtables_tnat_NI-vnetO-arp-mac[0040]#ebtables_tnat_NI-vnet〇-arp-ip[0041]相应添加规贝lj,假如虚拟机分配的ip为10.10.10.4,mac地址为FE:54:00:66:66:66[0042]#ebtables-tnat-Alibvirl-I-vnetO-pARP-jI-vnet()-aip-mac#ebtables-tnat-Alibvirt-I-vnetO-pARP-jI-vnetO-arp-ip#ebables-tnat-AI-vnet0-ai*p-mac-pARP-arp-mac-src52:54:0:66:66:66-jRETURN#ebables-tnat-AI-vnetO-ai-p-mac-jDROP#ebtables-tn°t-AI-vnetO-aip-ip-pARP-arp-ip-src10.10.10.4-jRETURN#ebtables-tnat-AI-vnetO-arp-ip-jDROP[0043]关闭虚拟机时删除规则[0044]#ebtables-t:nat-FI-vnetO-aip-ip#ebtables-tnat-FI-ynet0-arp-mac#ebtables-tnat-XI-vnetO-arp-ip#ebtables-tnat-XI-vnet(.)-arp-ip〇【权利要求】1.一种适用于虚拟机的ARP攻击双向防护方法,其特征在于:包括如下步骤:步骤1:在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包;步骤2:在网络数据包过滤工具上建立虚拟网络所有网关的IP地址到MAC地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的网关;步骤3:虚拟机创建时,在网络数据包过滤工具上建立NAT链表;步骤4:虚拟机创建后,在网络数据包过滤工具上建立虚拟机的MAC地址与IP地址之间的映射关系,直接丢弃外部具有错误映射关系的数据包,防止外部的攻击篡改虚拟机的MAC地址,影响虚拟机与外部的通信;步骤5:在虚拟机的NAT链表中加入子链表,并在子链表上加入虚拟机MAC地址与IP地址之间的映射关系,只允许具有正确映射关系的数据包发送到宿主机外部。2.根据权利要求1所述的适用于虚拟机的ARP攻击双向防护方法,其特征在于:所述的网络数据包过滤工具可以是Linux下的ebtables。3.根据权利要求1或2所述的适用于虚拟机的ARP攻击双向防护方法,其特征在于:所述的修改虚拟机IP时,相应的更新虚拟机子链表的规则;所述的子链表规则,在删除虚拟机时,同时删除规则,避免出现冗余。【文档编号】H04L29/06GK104219241SQ201410448529【公开日】2014年12月17日申请日期:2014年9月4日优先权日:2014年9月4日【发明者】刘勇彬,杨松,莫展鹏,季统凯申请人:国云科技股份有限公司