[go: up one dir, main page]

CN111885068A - 一种旁路部署的流量分发方法及其系统 - Google Patents

一种旁路部署的流量分发方法及其系统 Download PDF

Info

Publication number
CN111885068A
CN111885068A CN202010737651.4A CN202010737651A CN111885068A CN 111885068 A CN111885068 A CN 111885068A CN 202010737651 A CN202010737651 A CN 202010737651A CN 111885068 A CN111885068 A CN 111885068A
Authority
CN
China
Prior art keywords
flow
address
traffic
host
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010737651.4A
Other languages
English (en)
Other versions
CN111885068B (zh
Inventor
翟增辉
赵建勋
魏兴国
聂万泉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Moan Technology Co ltd
Original Assignee
Hangzhou Moan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Moan Technology Co ltd filed Critical Hangzhou Moan Technology Co ltd
Priority to CN202010737651.4A priority Critical patent/CN111885068B/zh
Publication of CN111885068A publication Critical patent/CN111885068A/zh
Application granted granted Critical
Publication of CN111885068B publication Critical patent/CN111885068B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种旁路部署的流量分发方法及其系统,其中,方法包括:采用第一交换机将第一主机下发的第一目标流量进行镜像处理,以得到镜像流量,并将镜像流量发送至一流量处理设备中;将镜像流量的源IP地址修改为流量处理设备所属的IP地址,以及将镜像流量的目标IP地址设置第二主机所属的IP地址,以得到一真实流量,并将真实流量发送至第二主机;将第二主机根据真实流量反馈的更改流量的源IP地址更改为预设地址,将更改流量的目标IP地址修改为第一主机所属的IP地址,以得到第二目标流量;将第二目标流量发送至第一主机。本发明的有益效果:无须存在预设地址所属的真实的物理机,使得第一主机得到由预设地址反馈的第二目标流量。

Description

一种旁路部署的流量分发方法及其系统
技术领域
本发明涉及通信技术领域,尤其涉及一种旁路部署的流量分发方法及其系统。
背景技术
目前数据中心使用的交换机通常采用SPAN(Switched Port Analyzer,交换机端口分析器)、RSPAN(Remote SPAN,远端交换端口分析方法)以及ERSPAN(EncapsulatedRemote SPAN,增强远程交换端口分析方法)来实现流量分析的功能。其中,在采用SPAN进行流量分析是,可以对多个交换机口的流量进行镜像,以完整拷贝一份流量发送到另外一个端口;而RSPAN一般通过链路层划定VLAN(Virtual Local Area Network,虚拟局域网)的方法让镜像流量跨越交换机进行传输;而ERSPAN则把镜像封装(如SRE等)起来,以3层的方法路由到最终目的地址。然而无论通过上述哪种方法将流量进行镜像或发送,最终流量都会到旁路部署的流量分析设备中进行分析,由于上述流量分析设备大多采用IDS(IntrusionDetection System,入侵检测系统)或DPI(Deep Packet Inspection,深度报文检测)被动地进行动的进行入侵检测或协议分析。
然而被动地进行入侵检测或协议分析无法实现无侵入的方式以达到网络欺骗以及网络传送等功能,并且现有技术并没有一种主动对流量进行分发的技术方案。
发明内容
针对现有技术中存在的上述问题,现提供一种旁路部署的流量分发方法及其系统。
具体技术方案如下:
一种旁路部署的流量分发方法,其中,包括以下步骤:
采用第一交换机将第一主机下发的第一目标流量进行镜像处理,以得到镜像流量,并将镜像流量发送至一流量处理设备中;
其中,第一目标流量的目标IP地址为预设地址;
将镜像流量的源IP地址修改为流量处理设备所属的IP地址,以及将镜像流量的目标IP地址更改为第二主机所属的IP地址,以得到一真实流量,并将真实流量发送至第二主机;
将第二主机根据真实流量反馈的更改流量的源IP地址更改为预设地址,将更改流量的目标IP地址修改为第一主机所属的IP地址,以得到一第二目标流量;
将第二目标流量发送至第一主机。
优选的,旁路部署的流量分发方法,其中,采用第一预设策略更改镜像流量和更改流量的源IP地址。
优选的,旁路部署的流量分发方法,其中,采用第二预设策略更改镜像流量和更改流量的目标IP地址。
优选的,旁路部署的流量分发方法,其中,预设地址为虚拟地址。
优选的,旁路部署的流量分发方法,其中,第二主机对应于蜜罐系统。
还包括一种旁路部署的流量分发系统,其中,包括第一主机、第一交换机、流量处理设备、第二交换机和第二主机,第一主机和流量处理设备通过第一交换机连接,第二主机和流量处理设备通过第二交换机连接;
第一主机,用于发送第一目标流量,第一目标流量的目标IP地址为预设地址,和
接收一第二目标流量,第二目标流量的源地址为预设地址;
第一交换机,用于接收并将第一目标流量进行镜像处理,以得到镜像流量,并将镜像流量发送至流量处理设备中,和
用于接收并将第二目标流量发送至第一主机;
流量处理设备,用于接收并将镜像流量的源IP地址修改为流量处理设备所属的IP地址,以及将镜像流量的目标IP地址更改为第二主机所属的IP地址,以得到一真实流量,并将真实流量发送至第二交换机,和
用于通过接收并将一更改流量的源地址修改为预设地址,以及将更改流量的目标IP地址修改为第一主机所属的IP地址,以得到第二目标流量,并将第二目标流量发送至第一交换机;
第二交换机,用于接收并将真实流量发送至第二主机中,和
用于接收并将更改流量发送至流量处理设备中;
第二主机,用于接收并根据真实流量返回更改流量,以及将更改流量发送至第二交换机,更改流量的源地址为目标物理机所属的IP地址,更改流量的目标IP地址为流量处理设备所属的IP地址。
优选的,旁路部署的流量分发系统,其中,第一主机和第一交换机设置在第一局域网中;
第二主机和第二交换机设置在第二局域网中;
流量处理设备分别与第一局域网中的第一交换机和第二局域网中的第二交换机连接。
优选的,旁路部署的流量分发系统,其中,流量处理设备为三层流量处理设备,用于对镜像流量和更改流量进行ACL策略和流量审计。
优选的,旁路部署的流量分发系统,其中,第一交换机包括第一端口、第二端口和第三端口;
第一端口连接第一主机,用于接收第一主机下发的第一目标流量;
第二端口连接流量处理设备,用于将第一目标流量转化为镜像流量,并将镜像流量发送给流量处理设备;
第三端口连接流量处理设备,用于接收流量处理设备下发的第二目标流量。
优选的,旁路部署的流量分发系统,其中,流量处理设备包括第一网卡和第二网卡;
第一网卡连接第一交换机的第二接口,用于采用第一预设策略更改镜像流量的源IP地址和用于第二预设策略更改镜像流量的目标IP地址;
第二网卡连接第二交换机的接口,用于采用第一预设策略更改更改流量的源IP地址和用于第二预设策略更改更改流量的目标IP地址。
上述技术方案具有如下优点或有益效果:
通过第一交换机获取镜像流量,并将镜像流量发送至流量处理设备,随后通过流量处理设备改变镜像流量的源IP地址和目标IP地址,从而实现流量处理设备通过FULLNAT、封装等手段将镜像流量转换为真实流量;
通过上述第一主机下发的第一目标流量和第一主机接收的第二目标流量之间的流量的源IP地址和目标IP地址的转化和流量流通关系,可以实现无须存在预设地址所属的真实的物理机,并且可以使得第一主机得到由预设地址反馈的第二目标流量,从而实现蜜罐诱捕等。
附图说明
参考所附附图,以更加充分的描述本发明的实施例。然而,所附附图仅用于说明和阐述,并不构成对本发明范围的限制。
图1为本发明旁路部署的流量分发方法的实施例的流程图;
图2为本发明旁路部署的流量分发方法及其系统的实施例的结构示意图一;
图3为本发明旁路部署的流量分发方法及其系统的实施例的结构示意图二;
图4为本发明旁路部署的流量分发系统实施例的网络欺骗设备的结构示意图;
图5为本发明旁路部署的流量分发系统实施例的网络传送设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本说明书所描述的更多或更少。此外,本说明书中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本说明书中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明包括一种旁路部署的流量分发方法,如图1-5所示,包括以下步骤:
步骤S1,采用第一交换机21将第一主机11下发的第一目标流量41进行镜像处理,以得到镜像流量42,并将镜像流量42发送至一流量处理设备中;
其中,第一目标流量41的目标IP地址为预设地址;
步骤S2,将镜像流量42的源IP地址修改为流量处理设备所属的IP地址,以及将镜像流量42的目标IP地址设置为一第二主机12所属的IP地址,以得到一真实流量43,并将真实流量43发送至第二主机12;
步骤S3,将第二主机12根据真实流量43反馈的更改流量44的源IP地址更改为预设地址,将更改流量44的目标IP地址设置为第一主机11所属的IP地址,以得到一第二目标流量45;
步骤S4,将第二目标流量45发送至第一主机11。
在上述实施例中,通过第一交换机21获取镜像流量42,并将镜像流量42发送至流量处理设备,随后通过流量处理设备改变镜像流量42的源IP地址和目标IP地址,从而实现流量处理设备通过FULLNAT、封装等手段将镜像流量42转换为真实流量43,并进行后续的分发。
在上述实施例中,如图2-3所示,通过第一交换机21根据第一主机11下发的第一目标流量41获取镜像流量42,需要说明的是,此时第一目标流量41从第一主机11下发至第一交换机21,第一交换机21根据第一目标流量41获取镜像流量42,即第一交换机21的输入为第一目标流量41,第一交换机21地输出为镜像流量42;
接着,流量处理设备改变镜像流量42的源IP地址和目标IP地址,以将镜像流量42更改为真实流量43,需要说明的是,此时,镜像流量42从第一交换机21下发至流量处理设备,流量处理设备根据镜像流量42获取真实流量43,即流量处理设备的输入为镜像流量42,流量处理设备地输出为真实流量43;
随后,将真实流量43通过第二交换机22下发至第二主机12,并得到第二主机12根据真实流量43反馈的更改流量44,需要说明的是,此时真实流量43从流量处理设备下发至第二交换机22,第二交换机22将真实流量43转发至第二主机12,第二主机12根据真实流量43反馈的更改流量44,即第二交换机22的输入为第二交换机22转发的真实流量43,第二主机12地输出为更改流量44;
然后,流量处理设备将更改流量44的源IP地址和目标IP地址分别更改为镜像流量42所属的目标IP地址和源IP地址,以得到第二目标流量45,需要说明的是,更改流量44从第二主机12下发至第二交换机22,随后第二交换机22将更改流量44转发至流量处理设备,然后流量处理设备根据更改流量44获得第二目标流量45;
最后,流量处理设备将第二目标流量45通过第一交换机21发送至第一主机11,需要说明的是,第二目标流量45从流量处理设备下发至第一交换机21,第一交换机21将第二目标流量45转发至第一主机11;
因此,通过上述第一主机11下发的第一目标流量41和第一主机11接收的第二目标流量45之间的流量的源IP地址和目标IP地址的转化和流量流通关系,可以实现通过处于第一主机和第二主机之间的流量处理设备,将第一主机和第二主机之间形成流量交换,因此无论是否存在预设地址所属的真实的物理机,都可以使得第一主机11得到由预设地址反馈的第二目标流量45。
进一步地,在上述实施例中,采用第一预设策略更改镜像流量42和更改流量44的源IP地址。
在上述实施例中,当流量处理设备接收到的是镜像流量42时,采用第一预设策略将镜像流量42的源IP地址修改为流量处理设备所属的IP地址;
当流量处理设备接收到的是更改流量44时,采用第一预设策略将更改流量44的源IP地址修改为预设地址。
进一步地,在上述实施例中,第一预设策略为DNAT。
进一步地,在上述实施例中,采用第二预设策略更改镜像流量42和更改流量44的目标IP地址。
在上述实施例中,当流量处理设备接收到的是镜像流量42时,采用第二预设策略将镜像流量42的目标IP地址修改为第二主机12所属的IP地址;
当流量处理设备接收到的是更改流量44时,采用第二预设策略将更改流量44的源IP地址修改为第一主机11所属的IP地址。
进一步地,在上述实施例中,第二预设策略为SNAT。
还包括一种旁路部署的流量分发系统,其中,包括第一主机11、第一交换机21、流量处理设备、第二交换机22和第二主机12,第一主机11和流量处理设备通过第一交换机21连接,第二主机12和流量处理设备通过第二交换机22连接;
第一主机11,用于发送第一目标流量41,第一目标流量41的目标IP地址为预设地址,和
接收一第二目标流量45,第二目标流量45的源地址为预设地址;
第一交换机21,用于接收并将第一目标流量41进行镜像处理,以得到镜像流量42,并将镜像流量42发送至流量处理设备中,和
用于接收并将第二目标流量45发送至第一主机11;
流量处理设备,用于接收并将镜像流量42的源IP地址修改为流量处理设备所属的IP地址,以及将镜像流量42的目标IP地址设置为第二主机12所属的IP地址,以得到一真实流量43,并将真实流量43发送至第二交换机22,和
用于通过接收并将一更改流量44的源地址修改为预设地址,以及将更改流量44的目标IP地址修改为第一主机11所属的IP地址,以得到第二目标流量45,并将第二目标流量45发送至第一交换机21;
第二交换机22,用于接收并将真实流量43发送至第二主机12中,和
用于接收并将更改流量44发送至流量处理设备中;
第二主机12,用于接收并根据真实流量43返回更改流量44,以及将更改流量44发送至第二交换机22,更改流量44的源地址为目标物理机所属的IP地址,更改流量44的目标IP地址为流量处理设备所属的IP地址。
在上述实施例中,通过第一交换机21根据第一主机11下发的第一目标流量41获取镜像流量42,需要说明的是,此时第一目标流量41从第一主机11下发至第一交换机21,第一交换机21根据第一目标流量41获取镜像流量42,即第一交换机21的输入为第一目标流量41,第一交换机21地输出为镜像流量42;
接着,流量处理设备改变镜像流量42的源IP地址和目标IP地址,以将镜像流量42更改为真实流量43,需要说明的是,此时,镜像流量42从第一交换机21下发至流量处理设备,流量处理设备根据镜像流量42获取真实流量43,即流量处理设备的输入为镜像流量42,流量处理设备地输出为真实流量43;
随后,将真实流量43通过第二交换机22下发至第二主机12,并得到第二主机12根据真实流量43反馈的更改流量44,需要说明的是,此时真实流量43从流量处理设备下发至第二交换机22,第二交换机22将真实流量43转发至第二主机12,第二主机12根据真实流量43反馈的更改流量44,即第二交换机22的输入为第二交换机22转发的真实流量43,第二主机12地输出为更改流量44;
然后,流量处理设备将更改流量44的源IP地址和目标IP地址分别更改为镜像流量42所属的目标IP地址和源IP地址,以得到第二目标流量45,需要说明的是,更改流量44从第二主机12下发至第二交换机22,随后第二交换机22将更改流量44转发至流量处理设备,然后流量处理设备根据更改流量44获得第二目标流量45;
最后,流量处理设备将第二目标流量45通过第一交换机21发送至第一主机11,需要说明的是,第二目标流量45从流量处理设备下发至第一交换机21,第一交换机21将第二目标流量45转发至第一主机11;
因此,第一主机11、第一交换机21、流量处理设备、第二交换机22和第二主机12实现一个流量交换的闭环,并通过上述第一主机11下发的第一目标流量41和第一主机11接收的第二目标流量45之间的流量的源IP地址和目标IP地址的转化和流量流通关系,可以实现通过处于第一主机和第二主机之间的流量处理设备,将第一主机和第二主机之间形成流量交换,因此无论是否存在预设地址所属的真实的物理机,都可以使得第一主机11得到由预设地址反馈的第二目标流量45。
进一步地,作为优选的实施方式,流量处理设备为网络欺骗设备31,于流量处理设备为网络欺骗设备31时,预设地址为虚拟地址。
其中,网络欺骗设备31可以为三层网络欺骗设备,三层网络欺骗设备用于对镜像流量42和更改流量44进行ACL策略和流量审计。
其中,网络欺骗设备31可以选择三层网络欺骗设备。
在上述实施例中,三层网络欺骗设备与常规的三层欺骗相比,不再需要真实活跃的主机暴露,从而实现将第一交换机21上的流量均可以被动态的分发到目标主机,此处的目标主机为本实施例中的第二主机12。
这种动态的欺骗方案,可以通过维护规则引擎来动态的增加、减少映射,例如规则为(src:100.0.0.2,dst:200.0.0.3)->(src:172.16.0.250,dst:172.16.0.3)会动态的生成FULLNAT方案。
规则引擎可以添加200.0.0.0/16一整个段,这样就可以达到整段欺骗了。
进一步地,在上述优选的实施方式中,如图2所示,于流量处理设备为网络欺骗设备31时,第二主机为蜜罐设备。
在流量处理设备中设置分发规则,使得流量处理设备将第一交换机21下发的镜像流量42的预设地址更改为蜜罐系统的IP地址;
当黑客扫描时发现预设地址所属的物理机一直在回应,当黑客攻击预设地址所属的物理机并成功黑入时,蜜罐系统成功诱捕黑客。
作为优选的实施方式,于流量处理设备为网络欺骗设备31时,预设地址为虚拟地址,第二主机为蜜罐设备。
首先,用户可以自设定预设地址,预设地址为200.0.0.2,从而使得第一主机11下发包含有预设地址的第一目标流量41,第一主机11的源IP地址为100.0.0.2,因此第一目标流量41的流量路径:100.0.0.2到200.0.0.2;
随后,第一交换机21将第一主机11下发的第一目标流量41进行镜像处理,以得到镜像流量42,并将镜像流量42发送至一流量处理设备中,其中镜像流量42的流量路径:100.0.0.2到200.0.0.2;
接着,流量处理设备将镜像流量42的源IP地址修改为流量处理设备所属的IP地址,以及将镜像流量42的目标IP地址更改为第二主机12所属的IP地址,以得到一真实流量43,以实现通过FULLNAT、封装等手段将镜像流量42转换为真实流量43,并将真实流量43发送至第二主机12,其中流量处理设备所属的IP地址为172.16.0.250,而第二主机12所属的源IP地址为172.16.0.2,因此,真实流量43的流量路径:172.16.0.250到172.16.0.2;
然后,第二主机12根据真实流量43获取更改流量44,并将更改流量44反馈至流量处理设备,即更改流量44的流量路径:172.16.0.2到172.16.0.250;
紧接着,流量处理设备将更改流量44的源IP地址更改为预设地址,将更改流量44的目标IP地址修改为第一主机11所属的IP地址,以得到一第二目标流量45,即第二目标流量45的流量路径:200.0.0.2到100.0.0.2;
最后,流量处理设备通过第一交换机21将第二目标流量45发送至第一主机11;
即上述第一主机11接收到的第二目标流量45的源IP地址为第一目标流量41的预设地址,因此,第一主机11可以以为是预设地址所属的物理机在应答,然而实际是第二主机12在应答,当第二主机12为蜜罐时,就可以达到诱捕的效果;
并且第一主机11不知道第二主机12的源IP地址,因此不再需要真实活跃的第二主机12暴露。
其中,第二主机12可以为多个路由器中的任意一个,本实施方式中的第二主机12为第2路由器到第n路由器中的第2路由器,第2路由器所属的IP地址为172.16.0.2,第n路由器所属的IP地址为172.16.0.249。
进一步地,在上述实施例中,第一主机11和第一交换机21设置在第一局域网中;
第二主机12和第二交换机22设置在第二局域网中;
流量处理设备分别与第一局域网中的第一交换机21和第二局域网中的第二交换机22连接。
从而可以实现跨网络传送,可以用于堡垒机、跨网络访问等业务。
进一步地,作为优选的实施方式,当第一主机和第二主机无法直接进行镜像流量的流量传输时,流量处理设备可以为网络传送设备,于流量处理设备为网络传送设备时,预设地址与第二主机所属的IP地址可以一致。
在上述优选的实施方式中,如图3所示,当第一主机与第二主机之间无法直接进行镜像流量的流量传输时,可以通过网络传送设备实现第一主机与第二主机之间的镜像流量传输。
首先,用户可以自设定预设地址,预设地址为200.0.0.2,从而使得第一主机11下发包含有预设地址的第一目标流量41,第一主机11的源IP地址为100.0.0.2,因此第一目标流量41的流量路径:100.0.0.2到200.0.0.2;
随后,第一交换机21将第一主机11下发的第一目标流量41进行镜像处理,以得到镜像流量42,并将镜像流量42发送至一流量处理设备中,其中镜像流量42的流量路径:100.0.0.2到200.0.0.2;
接着,流量处理设备将镜像流量42的源IP地址修改为流量处理设备所属的IP地址,以及将镜像流量42的目标IP地址设置为第二主机12所属的IP地址,以得到一真实流量43,以实现通过FULLNAT、封装等手段将镜像流量42转换为真实流量43,并将真实流量43发送至第二主机12,其中流量处理设备所属的IP地址为172.16.0.250,而第二主机12所属的源IP地址与预设地址一致,因此,真实流量43的流量路径:172.16.0.250到200.0.0.2;
然后,第二主机12根据真实流量43获取更改流量44,并将更改流量44反馈至流量处理设备,即更改流量44的流量路径:200.0.0.2到172.16.0.250;
紧接着,流量处理设备将更改流量44的目标IP地址修改为第一主机11所属的IP地址,以得到一第二目标流量45,即第二目标流量45的流量路径:200.0.0.2到100.0.0.2;
最后,流量处理设备通过第一交换机21将第二目标流量45发送至第一主机11;
即上述第一主机11接收到的第二目标流量45的源IP地址为第一目标流量41的预设地址,从而通过网络传送设备实现第一主机与第二主机之间的镜像流量传输。
进一步地,在上述实施例中,如图2-3所示,第一交换机21包括第一端口1、第二端口2和第三端口3;
第一端口1连接第一主机11,用于接收第一主机11下发的第一目标流量41;
第二端口2连接流量处理设备,用于将第一目标流量41转化为镜像流量42,并将镜像流量42发送给流量处理设备;
第三端口3连接流量处理设备,用于接收流量处理设备下发的第二目标流量45。
在上述实施例中,第二端口2为镜像端口(span端口)。
进一步地,在上述实施例中,流量处理设备包括第一网卡和第二网卡,第一网卡连接第一交换机21的第二接口,用于采用第一预设策略更改镜像流量42的源IP地址和用于第二预设策略更改镜像流量42的目标IP地址;
第二网卡连接第二交换机22的接口,用于采用第一预设策略更改更改流量44的源IP地址和用于第二预设策略更改更改流量44的目标IP地址。
例如,在上述优选的实施方式中,如图4所示,当流量处理设备为网络欺骗设备31时,第一网卡首先采用第一预设策略将镜像流量42的目标IP地址(200.0.0.2)更改为第二主机12所属的IP地址(172.16.0.2);
第一网卡接着采用第二预设策略将镜像流量42的源IP地址(100.0.0.2)更改为流量处理设备所属的IP地址(172.16.0.250);
第二网卡首先采用第二预设策略将更改流量44的源IP地址(172.16.0.2)更改为镜像流量42的目标IP地址(200.0.0.2);
第二网卡接着采用第二预设策略将更改流量44的目标IP地址(172.16.0.250)更改为第一主机11所属的IP地址(100.0.0.2)。
例如,在上述优选的实施方式中,如图5所示,当流量处理设备为网络传送设备32时,由于镜像流量42的目标IP地址(200.0.0.2)与第二主机12所属的IP地址(200.0.0.2)一致,因此,第一网卡首先采用的第一预设策略没有将镜像流量42的目标IP地址(200.0.0.2)进行更改;
第一网卡接着采用第二预设策略将镜像流量42的源IP地址(100.0.0.2)更改为流量处理设备所属的IP地址(172.16.0.250);
由于更改流量44的源IP地址(200.0.0.2)与镜像流量42的目标IP地址(200.0.0.2)一致,因此,第二网卡首先采用的第二预设策略没有对更改流量44的源IP地址(200.0.0.2)进行;
第二网卡接着采用第二预设策略将更改流量44的目标IP地址(172.16.0.250)更改为第一主机11所属的IP地址(100.0.0.2)。
进一步地,在上述实施例中,第一预设策略为DNAT。
进一步地,在上述实施例中,第二预设策略为SNAT。
此外,需要说明的是,本说明书中所描述的具体实施例,其零、部件的形状、所取名称等可以不同。凡依本发明专利构思的构造、特征及原理所做的等效或简单变化,均包括于本发明专利的保护范围内。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离本发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。

Claims (10)

1.一种旁路部署的流量分发方法,其特征在于,包括以下步骤:
采用第一交换机将第一主机下发的第一目标流量进行镜像处理,以得到镜像流量,并将所述镜像流量发送至一流量处理设备中;
其中,所述第一目标流量的目标IP地址为预设地址;
所述流量处理设备将所述镜像流量的源IP地址修改为所述流量处理设备所属的IP地址,以及将所述镜像流量的目标IP地址设置为第二主机所属的IP地址,以得到一真实流量,并将所述真实流量发送至所述第二主机;
所述流量处理设备将所述第二主机根据所述真实流量反馈的更改流量的源IP地址更改为所述预设地址,将更改流量的目标IP地址修改为所述第一主机所属的IP地址,以得到一第二目标流量;
所述流量处理设备将所述第二目标流量发送至所述第一主机。
2.如权利要求1所述的旁路部署的流量分发方法,其特征在于,采用第一预设策略更改所述镜像流量和所述更改流量的源IP地址。
3.如权利要求1所述的旁路部署的流量分发方法,其特征在于,采用第二预设策略更改所述镜像流量和所述更改流量的目标IP地址。
4.一种旁路部署的流量分发系统,其特征在于,包括第一主机、第一交换机、流量处理设备、第二交换机和第二主机,所述第一主机和所述流量处理设备通过所述第一交换机连接,所述第二主机和所述流量处理设备通过所述第二交换机连接;
所述第一主机,用于发送第一目标流量,所述第一目标流量的目标IP地址为预设地址,和
接收一第二目标流量,所述第二目标流量的源地址为所述预设地址;
所述第一交换机,用于接收并将所述第一目标流量进行镜像处理,以得到镜像流量,并将所述镜像流量发送至所述流量处理设备中,和
用于接收并将所述第二目标流量发送至所述第一主机;
所述流量处理设备,用于接收并将所述镜像流量的源IP地址修改为所述流量处理设备所属的IP地址,以及将所述镜像流量的目标IP地址设置为所述第二主机所属的IP地址,以得到一真实流量,并将所述真实流量发送至所述第二交换机,和
用于通过接收并将一更改流量的源地址修改为所述预设地址,以及将更改流量的目标IP地址修改为所述第一主机所属的IP地址,以得到所述第二目标流量,并将所述第二目标流量发送至所述第一交换机;
所述第二交换机,用于接收并将所述真实流量发送至所述第二主机中,和
用于接收并将所述更改流量发送至所述流量处理设备中;
所述第二主机,用于接收并根据所述真实流量返回所述更改流量,以及将所述更改流量发送至所述第二交换机,所述更改流量的源地址为所述目标物理机所属的IP地址,所述更改流量的目标IP地址为所述流量处理设备所属的IP地址。
5.如权利要求4所述的旁路部署的流量分发系统,其特征在于,所述第一主机和所述第一交换机设置在第一局域网中;
所述第二主机和所述第二交换机设置在第二局域网中;
所述流量处理设备分别与所述第一局域网中的所述第一交换机和所述第二局域网中的所述第二交换机连接。
6.如权利要求4所述的旁路部署的流量分发系统,其特征在于,所述流量处理设备为网络欺骗设备,于所述流量处理设备为所述网络欺骗设备时,所述预设地址为虚拟地址。
7.如权利要求6所述的旁路部署的流量分发系统,其特征在于,于所述流量处理设备为所述网络欺骗设备时,所述第二主机为蜜罐设备。
8.如权利要求4所述的旁路部署的流量分发系统,其特征在于,所述流量处理设备为网络传送设备,于所述流量处理设备为所述网络传送设备时,所述预设地址与所述第二主机所属的IP地址一致。
9.如权利要求4所述的旁路部署的流量分发系统,其特征在于,所述第一交换机包括第一端口、第二端口和第三端口;
所述第一端口连接所述第一主机,用于接收所述第一主机下发的所述第一目标流量;
所述第二端口连接所述流量处理设备,用于将所述第一目标流量转化为所述镜像流量,并将所述镜像流量发送给所述流量处理设备;
所述第三端口连接所述流量处理设备,用于接收所述流量处理设备下发的所述第二目标流量。
10.如权利要求9所述的旁路部署的流量分发系统,其特征在于,流量处理设备包括第一网卡和第二网卡;
所述第一网卡连接所述第一交换机的所述第二接口,用于采用第一预设策略更改所述镜像流量的源IP地址和用于第二预设策略更改所述镜像流量的目标IP地址;
所述第二网卡连接所述第二交换机的接口,用于采用所述第一预设策略更改所述更改流量的源IP地址和用于所述第二预设策略更改所述更改流量的目标IP地址。
CN202010737651.4A 2020-07-28 2020-07-28 一种旁路部署的流量分发方法及其系统 Active CN111885068B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010737651.4A CN111885068B (zh) 2020-07-28 2020-07-28 一种旁路部署的流量分发方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010737651.4A CN111885068B (zh) 2020-07-28 2020-07-28 一种旁路部署的流量分发方法及其系统

Publications (2)

Publication Number Publication Date
CN111885068A true CN111885068A (zh) 2020-11-03
CN111885068B CN111885068B (zh) 2022-11-15

Family

ID=73201376

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010737651.4A Active CN111885068B (zh) 2020-07-28 2020-07-28 一种旁路部署的流量分发方法及其系统

Country Status (1)

Country Link
CN (1) CN111885068B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472761A (zh) * 2021-06-22 2021-10-01 杭州默安科技有限公司 一种网站欺骗方法和系统
CN115665065A (zh) * 2022-10-20 2023-01-31 浪潮思科网络科技有限公司 一种基于ip地址的流量统计方法、系统、设备及介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002098100A1 (en) * 2001-05-31 2002-12-05 Preventon Technologies Limited Access control systems
US20030219008A1 (en) * 2002-05-20 2003-11-27 Scott Hrastar System and method for wireless lan dynamic channel change with honeypot trap
WO2005026872A2 (en) * 2003-09-16 2005-03-24 Terassic-5 Infosec Ltd Internal lan perimeter security appliance composed of a pci card and complementary software
US7412722B1 (en) * 2002-08-08 2008-08-12 Verizon Laboratories Inc. Detection of softswitch attacks
CN102752303A (zh) * 2012-07-05 2012-10-24 北京锐安科技有限公司 一种基于旁路的数据获取方法及系统
CN105743734A (zh) * 2016-01-22 2016-07-06 北京航空航天大学 虚拟机镜像流量传输的控制方法和装置
CN106790660A (zh) * 2017-01-18 2017-05-31 咪咕视讯科技有限公司 一种实现分布式存储系统的部署方法及装置
CN109347881A (zh) * 2018-11-30 2019-02-15 东软集团股份有限公司 基于网络欺骗的网络防护方法、装置、设备及存储介质
CN109768993A (zh) * 2019-03-05 2019-05-17 中国人民解放军32082部队 一种高覆盖内网蜜罐系统
CN109962912A (zh) * 2019-03-06 2019-07-02 中国信息安全测评中心 一种基于蜜罐流量引流的防御方法及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002098100A1 (en) * 2001-05-31 2002-12-05 Preventon Technologies Limited Access control systems
US20030219008A1 (en) * 2002-05-20 2003-11-27 Scott Hrastar System and method for wireless lan dynamic channel change with honeypot trap
US7412722B1 (en) * 2002-08-08 2008-08-12 Verizon Laboratories Inc. Detection of softswitch attacks
WO2005026872A2 (en) * 2003-09-16 2005-03-24 Terassic-5 Infosec Ltd Internal lan perimeter security appliance composed of a pci card and complementary software
CN102752303A (zh) * 2012-07-05 2012-10-24 北京锐安科技有限公司 一种基于旁路的数据获取方法及系统
CN105743734A (zh) * 2016-01-22 2016-07-06 北京航空航天大学 虚拟机镜像流量传输的控制方法和装置
CN106790660A (zh) * 2017-01-18 2017-05-31 咪咕视讯科技有限公司 一种实现分布式存储系统的部署方法及装置
CN109347881A (zh) * 2018-11-30 2019-02-15 东软集团股份有限公司 基于网络欺骗的网络防护方法、装置、设备及存储介质
CN109768993A (zh) * 2019-03-05 2019-05-17 中国人民解放军32082部队 一种高覆盖内网蜜罐系统
CN109962912A (zh) * 2019-03-06 2019-07-02 中国信息安全测评中心 一种基于蜜罐流量引流的防御方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李俨: "基于SDN的蜜网主动防御系统设计与实现", 《CNKI中国优秀硕士学位论文全文库》, no. 08, 15 August 2019 (2019-08-15), pages 14 - 81 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472761A (zh) * 2021-06-22 2021-10-01 杭州默安科技有限公司 一种网站欺骗方法和系统
CN113472761B (zh) * 2021-06-22 2023-04-18 杭州默安科技有限公司 一种网站欺骗方法和系统
CN115665065A (zh) * 2022-10-20 2023-01-31 浪潮思科网络科技有限公司 一种基于ip地址的流量统计方法、系统、设备及介质

Also Published As

Publication number Publication date
CN111885068B (zh) 2022-11-15

Similar Documents

Publication Publication Date Title
US10972437B2 (en) Applications and integrated firewall design in an adaptive private network (APN)
US9634943B2 (en) Transparent provisioning of services over a network
US7673068B2 (en) Method and system for implementing a high availability VLAN
US5946308A (en) Method for establishing restricted broadcast groups in a switched network
US7581014B2 (en) Method of masking application processing applied to a request for access to a server, and a corresponding masking system
CN111885046B (zh) 一种基于Linux的透明内网访问方法及装置
US20160142290A1 (en) Service path allocation method, router and service execution entity
US20060029104A1 (en) System and method for processing packets according to concurrently reconfigurable rules
JP2017529011A (ja) 通信ネットワークにおけるネットワークサービスファンクションのチェーン化
CN109510785B (zh) 一种镜像报文的方法和装置
CN111885068B (zh) 一种旁路部署的流量分发方法及其系统
US12348491B2 (en) System and method for segmenting transit capabilities within a multi-cloud architecture
CN111245858A (zh) 网络流量拦截方法、系统、装置、计算机设备和存储介质
KR101786620B1 (ko) 소프트웨어 정의 네트워크에서 서브넷을 지원하는 방법, 장치 및 컴퓨터 프로그램
CN101202706A (zh) 一种虚拟交换机系统
WO2025256325A1 (zh) 报文处理方法、装置、节点、存储介质及计算机程序产品
EP3073701B1 (en) Network protection entity and method for protecting a communication network against fraud messages
KR102412933B1 (ko) 소프트웨어 정의 네트워크 기반 망 분리 서비스를 제공하는 시스템 및 방법
CN105812274B (zh) 一种业务数据的处理方法和相关设备
CN119788602B (zh) Vpn网关流量转发方法、装置、电子设备及存储介质
CN116599738B (zh) 网络攻击定位方法、装置及存储介质
US20230319684A1 (en) Resource filter for integrated networks
Lu et al. SRv6-aware Hardware Firewall and SRv6-based SFC
Moalin Building a small network for a startup
Kodama et al. TCP Multi-Stream Data Transfer using Multiple Network Interface Cards

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 1st Floor, Building 3, No. 2616, Yuhangtang Road, Cangqian Street, Yuhang District, Hangzhou City, Zhejiang Province, 311100

Applicant after: HANGZHOU MOAN TECHNOLOGY CO.,LTD.

Address before: 311100 10th floor, Block E, building 1, 1378 Wenyi West Road, Cangqian street, Yuhang District, Hangzhou City, Zhejiang Province

Applicant before: HANGZHOU MOAN TECHNOLOGY CO.,LTD.

GR01 Patent grant
GR01 Patent grant