技術領域

本發明涉及一種重定向網絡攻擊的方法，特別是一種通過路由和隧道的配置來改變IP包的流向，將網絡攻擊重定向到安全蜜罐主機的方法，屬于計算機網絡安全技術領域。

背景技術

一個內部網絡通過一個網關和外部網絡(比如internet)相連，一種常有的情形是，一臺外部網絡主機向一臺內部網絡的主機發起危險的網絡攻擊。如果要對該網絡攻擊進行跟蹤和研究，則可以在安全的地方構建另外一個內部網絡，并安放一臺蜜罐主機于其中，然后設法將危險的網絡攻擊重定向到蜜罐主機。

假定一個網絡拓撲圖如圖1所示，其中被攻擊的主機H1在內部網絡中，并通過網關N1連向internet，蜜罐主機H2在另外一個的內部網絡中，并通過網關N2連向internet。其中被攻擊的內部網絡主機H1和蜜罐主機H2有相同的內部網絡地址。

當internet上的攻擊者A企圖攻擊內部網絡主機H1時，最常見的將網絡攻擊重定向到蜜罐主機的方法如下：

1、網關N1檢測流過的數據流，如果發現從攻擊者A到主機H1的IP包，則截住該IP包，并將其打包進一個新IP包，新IP包的源地址是網關N1，目的地址是網關N2，然后將其發送到internet上。

2、網關N2將收到這個來自網關N1的新IP包，然后將其解開，從而得到里面的原始IP包，再發送到內部網絡。由于蜜罐主機H2和被攻擊主機H1有相同的內部網絡地址，故蜜罐主機H2會收到這個原始IP包。

3、蜜罐主機的反饋IP包到達網關N2時，網關N2截住這個IP包，并將其打包入一個新IP包，該新IP包的源地址是網關N2，目的地址是網關N1，然后將其發送到internet上。

4、網關N1將收到這個來自網關N2的新IP包，然后將其解開，從而得到里面的原始IP包，再送入internet，由于該包的目的地址指向攻擊者A，故攻擊者A會收到這個來自蜜罐主機的反饋IP包。至此，原本攻擊者A對內部網絡主機H1的網絡攻擊就被完整地重定向到蜜罐主機H2了，且攻擊者A無法感知被重定向。

但是這樣的實現也有其不足：

1、兩個網關對IP包進行打包和解包以及轉發等都需要運行特別設計的第三方軟件，這對于重要的網關是個很大的風險；

2、網關流量很大的話，打包和解包會嚴重降低網關的轉發速度；

3、如果原始IP包很大，則打包之后的體積可能大于網絡的最小MTU，這涉及到將一個IP包分割為多個IP，操作起來相當麻煩。

總的來說，現有通行的重定向方法需要安裝軟件，其軟件實現并不輕松，且會降低網關的轉發速度。

發明內容

本發明的目的是提供一種簡便的、隨時可以實現的重定向方法，也即充分利用網關操作系統本身的功能模塊，而不運行第三方軟件的方法。本發明的另一目的是避開大IP包需分片以及打包解包影響轉發速度的情況。

本發明要求網關使用普通的linux發行版本，且配置為路由器模式而不是橋模式。本發明所述的重定向方法將組合利用linux操作系統的iptables模塊、iproute模塊以及隧道模塊，進行如下配置：

1、首先配置從內部網絡網關(網關N1)到蜜罐系統網關(網關N2)的隧道，這可以使用linux操作系統的任何隧道模塊來實現。

2、網關N1本身有根據自身環境配置好的路由表R1，里面有關于網絡主機H1的正確路由。我們利用1inux的iproute模塊給網關N1再配置一張路由表R2，在該路由表里面我們將通往內部網絡主機H1的下一跳設置為前面配置的隧道的入口，而不是R1中正確的路由。

3、在網關N1上利用iptables模塊配置IP包過濾和轉發規則，使得從internet流向內部網絡主機H1的IP包都標記為M，同時配置路由策略規則，要求所有標記為M的IP包都查詢前面配置的路由表R2來尋找路由。

4、在網關N2設置路由，使得所有蜜罐主機H2向internet發出的IP包都流向前面配置好的隧道。

5、配置蜜罐主機H2的IP地址，使其和內部網絡主機H1一致。

在上述配置下的網絡攻擊的重定向過程如下：

1、攻擊者A向內部網絡主機H1發出的IP包首先將到達網關N1，網關N1根據配置的規則檢測到該IP包，然后打上標記M。

2、根據配置的路由策略，這個IP包將要查詢路由表R2，在R2中所有路由的下一跳都是通往網關N2的隧道入口點，于是這個IP包進入隧道后將到達網關N2.