一种基于虚拟交换跨vlan大规模部署蜜网的方法与流程

1.本发明涉及网络威胁检测技术领域，具体涉及一种基于虚拟交换跨vlan大规模部署蜜网的方法。


背景技术：

2.常见的网络威胁检测包括防火墙、ids方式和传统的蜜网威胁检测等。防火墙技术主要的威胁检测方式主要是通过防火墙策略控制访客，从而达到保护用户资料与信息的目的。ids技术主要是通过对网络传输进行及时监视，在发现可疑传输时发出警报或采取主动反应。传统蜜网威胁检测主要是通过部署作为沙箱的主机、网络服务或信息，诱使攻击方对其实施攻击，从而捕获攻击行为并对其加以分析。传统网络威胁检测的局限性如下：（1）防火墙和ids的局限性：利用策略或规则，难以发现新兴的威胁，并且有可能会产生误报。普通用户使用时，也可能会有授权用户的正常行为被报告为警报，因此可能会有极少数的真正的威胁被淹没在巨量的误报信息中，让管理员无法及时、精准地针对威胁进行防护。
3.（2）传统蜜网威胁检测的局限性虽然误报率较低，但部署沙箱的成本过高。误报率低是因为蜜网沙箱并非真实的业务资产，因此，一旦与外界存在交互，或者外界访问此沙箱上的服务，就确定是入侵。
4.传统蜜网的沙箱的部署需要仿真度较高，才能骗过攻击者，仿真度较高需要与真实的业务资产服务器相差不大的硬件配置。每个linux沙箱的最低配置都需要1核1g处理器，同时需要至少16g存储空间，如果是windows沙箱甚至需要更多硬件资源。如果部署100个沙箱甚至更多，所需要的就是巨量的硬件资源，会极大程度影响真实业务资产。为了保障真实业务的正常运行，只能缩减沙箱数量。因此导致无法全方位覆盖需要保护的主机、网络服务或信息，攻击者仍然有非常大的概率不经过蜜罐，而直接攻击到真实的主机。同时，客户资产很有可能在一个复杂的网络环境中，处于多个网段中，这些网段也不一定能通，这些都靠一个物理交换机控制。而如果要配置一个全面覆盖的蜜网，需要的成本非常大，而且几乎不可能做到同时兼顾一个虚拟机上所有的网络环境。因此，现有的虚拟机技术中，无法实现一个宿主机创建多个网段下的虚拟机，宿主机创建的虚拟机使用的网络很少，理论上，计算机资源足够多的情况下，可以创建某个网段中可用地址最多254个。这样少的数量与虚拟检测需要的海量蜜罐不符。而且同一个网段，攻击者发现了一个蜜罐之后，就容易避开该蜜罐所在网段，让威胁检测变更困难。


技术实现要素：

5.本发明的目的在于：提供一种基于虚拟交换跨vlan大规模部署蜜网的方法，用于解决现有技术难以使用一个宿主机创建多个可以连通不同网段的虚拟机。
6.本发明公开的一种基于虚拟交换跨vlan大规模部署蜜网的方法，包括：步骤一：在宿主机上创建虚拟交换机；
步骤二：宿主机通过虚拟交换机创建不同的vlan逻辑接口；步骤三：将宿主机vlan逻辑接口对应物理交换机vlan接口，创建关联标签；步骤四：宿主机对应配置每个vlan逻辑接口可用的ip地址池；步骤五：宿主机创建虚拟机、网桥，选择虚拟机将加入的ip地址池；步骤六：宿主机创建虚拟机完毕，在宿主机上产生一个新的网卡；步骤七：在宿主机上为新加入的网卡加上标签，使其数据包中带有vlan逻辑接口标签，虚拟机可以与对应vlan逻辑接口进行通信；步骤八：为虚拟机添加默认路由，用于连接网络。
7.本发明公开的一种基于虚拟交换跨vlan大规模部署蜜网的方法，所述步骤二中，创建的vlan逻辑接口指定接口类型。
8.所述步骤四中，ip地址池为物理交换机vlan接口中没有被用过的地址集合。所述配置每个vlan逻辑接口可用的ip地址池的内容包括：命名ip地址池，指定vlan逻辑接口类型，配置该ip地址池的标签，配置该ip地址池的ip地址，配置该ip地址池路由，在该ip地址池上启动dhcp服务。
9.所述步骤五，当宿主机创建虚拟机时，先选定一个vlan标签，创建虚拟机时，自动使用dhcp功能，分配给虚拟机一个该vlan标签下的可用ip地址池内ip地址。所述的ip地址是可用的，所述ip地址池的网络环境完全与外部物理交换机中对应的真实vlan中的网络环境一致。
10.本发明的有益效果：本发明通过在宿主机上部署一个虚拟交换机，替代了宿主机原本的网络，一个虚拟的交换机，可以集中管理网络。这个虚拟交换机可以与宿主机连接的物理交换机进行对应的vlan配置。这样让宿主机可以将创建的虚拟机分配一个在对应的vlan中规定的地址池中的ip，由于地址池所在的网段都是物理交换机上存在的，因此极大程度填补了用户真实网段的空白ip，能够让宿主机上的虚拟机跳出宿主机的网络框架，形成一个更大范围的蜜网。
11.本发明技术方案让使用者可以以较低的成本、只使用一个宿主机，就能创建出许多虚拟机，分属交换机所划分的不同网段，极大程度上为网络安全、蜜网建设提供帮助。
附图说明
12.图1是本发明的部署蜜网的示意图。
具体实施方式
13.下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。
14.参见图1，本发明公开的一种基于虚拟交换跨vlan大规模部署蜜网的方法，包括：步骤一：在宿主机上创建虚拟交换机。
15.在本实施例中，在宿主机配置虚拟交换技术，安装open v switch。宿主机通过eth0网卡与真实交换机相连接，真实交换机配置为trunk模式。宿主机内部通过虚拟交换技
术模拟出来的虚拟交换机也配置为trunk模式（trunk模式：在路由/交换网络中，trunk通常被称为“中继”或“透传”，它为两端设备之间进行转接，作为信令和终端设备数据传输链路）。配置trunk模式，只需要将虚拟交换机的vlan id设置为4095即可。具体步骤如下：步骤101，调用“ovs
‑
vsctl”命令创建一个ovs网桥br1。
16.步骤102，给宿主机配置一个固定ip地址，例如172.16.60.199，主要配置参数如下：device=br0devicetype=ovstype=ovsbridgebootproto=staticipaddr=172.16.60.199netmask=255.255.255.0gateway=172.16.60.254dns1=114.114.114.114 步骤103，配置kvm网络，需要设置一个xml文件，文件内容如下:<network><name>ovs</name><forward mode="bridge"/><bridge name="br0"/><virtualport type="openvswitch"/></network> 步骤104，网络配置，使得openvswitch方便管理网络的配置如下：#利用如上xml文件定义网络virsh net
‑
define ovs.xml#查看kvm的网络virsh net
‑
list
ꢀ‑‑
all#激活test网络virsh net
‑
start ovs#配置vnet1自动开启virsh net
‑
autostart ovs#取消defalut的自动启动virsh net
‑
autostart
ꢀ‑‑
disable default步骤二：宿主机通过虚拟交换机创建不同的vlan逻辑接口。
17.这种逻辑接口可以有无数个，需要指定接口类型，在本实施例中，vlan逻辑接口类型为internal，可以创建一个或多个同样网段的地址池。
18.步骤三：将宿主机vlan逻辑接口对应物理交换机vlan接口，创建关联标签。
19.vlan逻辑接口可以让宿主机通过关联标签的方式，与宿主机所连接的物理交换机中的真实vlan接口对应。例如，物理交换机vlan10，则虚拟交换机vlan10标签为10，如物理交换机vlan22，则虚拟交换机vlan22标签为22。
20.步骤四：宿主机对应配置每个vlan逻辑接口可用的ip地址池。所述ip地址池为物理交换机vlan接口中没有被用过的地址集合。具体来说，通过配置ip地址池，每一个ip地址池都是一个dhcp服务器。每个vlan逻辑接口配置ip地址池包括：命名ip地址池，指定接口类型，配置该ip地址池的tag（标签），配置该ip地址池的ip地址，配置该ip地址池路由，在该ip地址池上启动dhcp服务。
21.例如，虚拟交换机vlan22，具体配置ip地址池的方式如下：#配置地址池dhcp1ovs
‑
vsctl add
‑
port br0 dhcp1
ꢀ‑‑ꢀ
set interface dhcp1 type=internal#设置dhcp1的tag，tag就相当于vlan，不同vlan之间哪怕是同网段也是不能互通的ovs
‑
vsctl set port dhcp1 tag=22#给dhcp1配置ipifconfig dhcp1 172.16.22.199 netmask 255.255.255.0#给dhcp1配置路由route add
ꢀ‑
net 172.16.22.0 netmask 255.255.255.0 gw 172.16.22.254 dhcp1#在dhcp1上启动dhcp服务dnsmasq
ꢀ‑‑
bind
‑
interfaces
ꢀ‑‑
except
‑
interface=lo
ꢀ‑‑
interface dhcp1
ꢀ‑‑
dhcp
‑
range 172.16.22.10步骤五：宿主机创建虚拟机，选择虚拟机将加入的ip地址池。
22.在完成了ip地址池分配之后，进行虚拟机创建。当宿主机创建虚拟机时，先选定一个vlan标签，创建虚拟机时，自动使用dhcp功能，分配给虚拟机一个该vlan标签下的可用ip地址池内ip地址。所述的ip地址是可用的，所述ip地址池的网络环境完全与外部物理交换机中对应的真实vlan中的网络环境一致。
23.步骤六：宿主机创建虚拟机完毕，在宿主机上产生一个新的网卡。
24.在本实施例中，在宿主机创建虚拟机的过程中，选择桥接open v switch网卡。创建完毕后，宿主机上出现一个vnet0网卡。
25.步骤七：在宿主机上为新加入的网卡加上标签，使其数据包中带有该vlan标签，相当于接入对应的物理交换机中真实vlan接口。例如vlan22，给虚拟机网卡加上标签tag=22，使得虚拟机可以与虚拟交换机vlan22接口进行通信。
26.步骤八：添加路由，用于连接网络。
27.在本实施例中，在虚拟机中添加默认路由，就可以让虚拟机和虚拟交换机进行真实的网络通信，如同接在了真实的物理交换机中一般。
28.例如，创建一个centos虚拟机，操作命令如下：#为宿主机相应网络添加tagovs
‑
vsctl set port vnet0 tag=22#为虚拟机添加默认网关route add default gw 172.16.22.254由于虚拟机创建完毕后，与宿主机可以通信，此时的虚拟机相当于接入真实交换
机的业务主机，可以在不同的vlan中部署多个虚拟机，虚拟机可以将检测到的攻击日志发送给宿主机进行分析处理，因此，可以实现跨vlan的威胁检测。
29.尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。