一种基于MAC地址动态欺骗实现定向微隔离的方法和装置与流程

一种基于mac地址动态欺骗实现定向微隔离的方法和装置
技术领域
1.本发明涉及网络技术领域，尤其涉及一种基于mac地址动态欺骗实现定向微隔离的方法和装置。


背景技术：

2.当下内网威胁泛滥，勒索病毒传播、内网横向攻击等都会导致内网主机失陷，企业单位若发现内网主机失陷，会优先对失陷主机进行隔离，避免失陷主机横向攻击内网其它正常主机，及时减少损失。
3.当前传统的隔离方法主要有两种：1、在网关设备上对失陷主机ip进行限制访问；2、在所有主机上安装agent软件，一旦某台主机失陷，可通过agent软件限制失陷主机的网络访问权限。以上两种传统的隔离方法都有劣势。方法1虽然操作简易，但无法隔离同网段的访问权限，失陷主机仍然可以对同网段主机进行横向攻击。方法2虽然可以做到真正的微隔离，限制了失陷主机同网段和跨网段的访问权限，但是部署和管理成本较高，需要在所有主机安装agent软件，而且失陷主机上的恶意程序，有可能会kill掉agent软件，使隔离功能失效。


技术实现要素：

4.针对上述现有技术的不足，本发明的目的在于提供一种基于mac地址动态欺骗实现定向微隔离的方法和装置。通过该装置接入目标网络，不断监听网络中的arp数据包，实时调整arp欺骗策略，按需构造非常少量的arp欺骗数据包，进行动态mac地址欺骗，不但不会对网络造成传输压力，而且可绕过网络中arp安全检测防护设备，可以稳定高效实现定向对某个主机进行微隔离的作用。
5.为了实现上述目的，本发明采取了如下的技术方案：
6.一种基于mac地址动态欺骗实现定向微隔离的方法，包括以下步骤：
7.s1：确认需要进行隔离的主机的ip；
8.s2：获取所述待隔离主机的ip的正确mac地址；
9.s3：通过定向微隔离装置监听所述待隔离主机发出的arp数据包，制定灵活的mac地址欺骗策略，按需构造并动态发送arp欺骗包；
10.s4：通过定向微隔离装置监听同网段主机发出的arp数据包，制定灵活的mac地址欺骗策略，按需构造并动态发送arp欺骗包。
11.作为上述技术方案的进一步描述：
12.其中所述步骤s1，通过蜜罐捕捉要隔离的失陷主机，再确认需要进行隔离的主机的ip。
13.其中所述步骤s3，如果定向微隔离装置监听到所述待隔离主机发出的arp广播请求包，即制定相应的mac地址欺骗策略：向待隔离主机发送错误mac地址的arp应答欺骗包，让所述待隔离主机学习到同网段主机错误的mac地址；
14.由于所述待隔离主机发出了arp广播请求包，因此同网段主机也会收到该广播请求包，会导致同网段主机学习到所述待隔离主机正确的mac地址。因此需要再制定相应的mac地址欺骗策略：需伪装成所述待隔离主机的身份，发送一个arp广播应答欺骗包，让同网段所有主机学习到所述待隔离主机错误的mac。
15.其中所述arp广播应答欺骗包内容为：以太网帧源mac地址是所述待隔离主机的mac，以太网帧目标mac地址是广播mac地址ff:ff:ff:ff:ff:ff，arp帧op字段设置为应答类型2，arp帧发送端ip是所述待隔离主机的ip，arp帧发送端源mac地址是所述待隔离主机错误的mac，arp帧目标ip是所述待隔离主机的ip，arp帧目标mac是所述待隔离主机错误的mac。
16.其中所述步骤s4，如果监听到同网段主机发出的请求所述待隔离主机mac的arp广播请求包，即制定相应的mac地址欺骗策略：需伪装成所述待隔离主机的身份，发送一个arp广播应答欺骗包，让同网段主机学习到所述待隔离主机错误的mac。
17.进一步说明：
18.由于同网段主机发出了请求所述待隔离主机mac的arp广播请求包，因此所述待隔离主机也会收到该arp广播请求包，会导致所述待隔离主机学习到所述同网段主机的正确mac地址，因此需要再制定相应的mac地址欺骗策略：向待隔离主机发送所述同网段主机错误mac地址的arp应答欺骗包，让所述待隔离主机学习到所述同网段主机错误的mac地址。
19.进一步说明：
20.其中所述步骤s4，如果监听到同网段主机发出的请求其它主机mac的arp广播请求包，所述待隔离主机同样也会收到该arp广播请求包，会导致所述待隔离主机学习到所述同网段主机的正确mac地址，因此同样需要制定相应的mac地址欺骗策略：向待隔离主机发送所述同网段主机错误mac地址的arp应答欺骗包，让所述待隔离主机学习到所述同网段主机错误的mac地址。
21.作为上述技术方案的进一步描述：
22.一种基于mac地址动态欺骗实现定向微隔离装置，包含了网络监听模块、微隔离指令发送模块。
23.其中所述微隔离指令发送模块构造的arp欺骗包，使用的错误mac地址是随机生成的且非在用的mac地址，网络中的安全设备无法进行追踪与防护，促使mac地址欺骗策略生效，可让本发明的微隔离方法兼容更多网络环境，变得更加有效且实用。
24.其中所述微隔离指令发送模块每次向所述待隔离主机发送的arp欺骗包，都使用不同的错误mac地址进行应答，让所述待隔离主机的arp欺骗防护软件无法从大量错误mac中判断真实的mac地址，促使mac地址欺骗策略生效，可让本发明的微隔离方法兼容更多网络环境，变得更加有效且实。
25.本发明提供了一种基于mac地址动态欺骗实现定向微隔离的方法和装置，具备以下有益效果：
26.由于本发明方法可按需构造非常少量的arp欺骗包，进行动态mac地址欺骗，所以arp欺骗包造成的影响主要是作用于待隔离的主机，不但不会影响其它主机的正常通讯，而且不会对网络造成传输压力，甚至可绕过网络中arp安全检测防护机制，可以兼容多种复杂的网络环境，实现稳定地定向对某个主机进行微隔离的效果。本发明方法微隔离的效果使
待隔离主机无法与同网段主机通讯，同时也无法与网关通信，因此待隔离主机也无法跨网段访问其它主机，高效的实现了微隔离的目标，可使内网失陷主机无法横向攻击，及时降低内网失陷主机带来的负面影响。
附图说明
27.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
28.图1为本发明提出的一种基于mac地址动态欺骗实现定向微隔离的方法的流程图；
29.图2为本发明中微隔离装置的网络监听模块工作示意图；
30.图3为本发明中微隔离装置的微隔离指令模块发送arp应答欺骗包的工作示意图；
31.图4为本发明中微隔离装置的微隔离指令模块发送arp广播应答欺骗包的工作示意图。
具体实施方式
32.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
33.参照图1示例，一种基于mac地址动态欺骗实现定向微隔离的方法，包括以下步骤：
34.s1：确认需要进行隔离的主机的ip；
35.s2：获取所述待隔离主机的ip的正确mac地址；
36.s3：通过监听所述待隔离主机发出的arp数据包，制定灵活的mac地址欺骗策略，按需构造并动态发送arp欺骗包；
37.s4：通过监听同网段主机发出的arp数据包，制定灵活的mac地址欺骗策略，按需构造并动态发送arp欺骗包。
38.参照图2示例，一种基于mac地址动态欺骗实现定向微隔离装置包含了网络监听模块、微隔离指令发送模块，其中所述步骤s3，网络监听模块监听到所述待隔离主机发出的arp广播请求包，所述待隔离主机arp广播请求了同网段a主机的mac地址，后续a主机将会向所述待隔离主机发送arp应答包，因此所述待隔离主机后续会学习到a主机正确的mac地址。
39.如图2示例，同网段主机经过交换机的广播转发，也会收到该广播请求包，比如f主机收到了该广播请求包，广播请求包包含了待隔离主机的正确mac地址，所以会导致同网段主机学习到待隔离主机正确的mac地址。
40.参照图3示例，其中所述步骤s3，根据监听结果，需要制定mac地址欺骗策略，微隔离指令发送模块将构造并发送arp欺骗包：向待隔离主机发送错误mac地址的arp应答欺骗包，比如图中例子所示，向待隔离主机发送a主机错误mac地址的arp应答欺骗包，让所述待隔离主机学习到a主机错误的mac地址。
41.参照图4示例，其中所述步骤s3，根据监听结果，需要再制定mac地址欺骗策略，微
隔离指令发送模块将构造并发送arp欺骗包：需伪装成所述待隔离主机的身份，发送一个待隔离主机错误mac地址的arp广播应答欺骗包，让同网段所有主机学习到所述待隔离主机错误的mac，如图4示例让a、f等同网段主机学习到所述待隔离主机错误的mac。
42.其中所述arp广播应答欺骗包内容为：以太网帧源mac地址是所述待隔离主机的mac，以太网帧目标mac地址是广播mac地址ff:ff:ff:ff:ff:ff，arp帧op字段设置为应答类型2，arp帧发送端ip是所述待隔离主机的ip，arp帧发送端源mac地址是所述待隔离主机错误的mac，arp帧目标ip是所述待隔离主机的ip，arp帧目标mac是所述待隔离主机错误的mac
43.发送上述arp广播应答欺骗包目的是让网络中的主机收到广播包之后能学习到错误的源mac地址，而且arp广播应答欺骗包是应答类型的arp包，所以不会导致网络中主机进行应答响应，所以所述arp广播应答欺骗包的arp帧目标ip、arp帧目标mac也可以设置为其它数值，不会影响mac地址欺骗策略有效性。
44.其中所述步骤s4，网络监听模块如果监听到同网段主机发出的请求所述待隔离主机mac的arp广播请求包，即制定相应的mac地址欺骗策略，微隔离指令发送模块将构造并发送arp欺骗包：伪装成所述待隔离主机的身份，发送一个待隔离主机错误mac地址的arp广播应答欺骗包，让同网段主机学习到所述待隔离主机错误的mac。
45.进一步说明：
46.由于同网段主机发出了请求所述待隔离主机mac的arp广播请求包，因此所述待隔离主机也会收到该arp广播请求包，会导致所述待隔离主机学习到所述同网段主机的正确mac地址，因此需要再制定相应的mac地址欺骗策略，微隔离指令发送模块将构造并发送arp欺骗包：向待隔离主机发送所述同网段主机错误mac地址的arp应答欺骗包，让所述待隔离主机学习到所述同网段主机错误的mac地址。
47.进一步说明：
48.其中所述步骤s4，网络监听模块如果监听到同网段主机发出的请求其它主机mac的arp广播请求包，所述待隔离主机同样也会收到该arp广播请求包，会导致所述待隔离主机学习到所述同网段主机的正确mac地址，因此同样需要制定相应的mac地址欺骗策略，微隔离指令发送模块将构造并发送arp欺骗包：向待隔离主机发送所述同网段主机错误mac地址的arp应答欺骗包，让所述待隔离主机学习到所述同网段主机错误的mac地址。
49.作为上述技术方案的进一步描述：
50.许多网络环境或者主机都有arp安全检测防护机制，因此为了使本发明方法能够在不同场景下实现基于mac地址动态欺骗进行定向微隔离，微隔离指令发送模块需要采用以下实施方法构造的arp欺骗包。
51.其中所述微隔离指令发送模块构造的arp欺骗包，使用的错误mac地址是随机生成的且非在用的mac地址，网络中的安全设备无法进行追踪与防护，促使mac地址欺骗策略生效，可让本发明的微隔离方法兼容更多网络环境，变得更加有效且实用。
52.其中所述微隔离指令发送模块每次向所述待隔离主机发送的arp欺骗包，都使用不同的错误mac地址进行应答，让所述待隔离主机的arp欺骗防护软件无法从大量错误mac中判断真实的mac地址，促使mac地址欺骗策略生效，可让本发明的微隔离方法兼容更多网络环境，变得更加有效且实用。
53.在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指
结合该实施例或示例描述的具体特征、结构、材料过着特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
54.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。