本发明公开了一种虚实结合网络靶场无线实装设备接入装置、方法与系统。本发明的接入装置包括与物理交换机连接的有线网卡,与无线实装设备连接的无线网卡,ARP代理模块以及流量转换模块;每个无线实装设备配置有真实IP、真实MAC,场景IP、映射MAC和VLAN标识;映射MAC在所有靶场场景中具有唯一性;ARP代理模块,用于监听ARP流量包,并对无线实装设备的场景IP的ARP请求进行回复;流量转换模块,用于对经过的流量进行处理和转发。本发明能够实现占用一个交换机端口同时接入多个无线实装设备,并且重建场景无需重配物理交换机。本发明使用映射MAC来区分不同场景,可以支持一个无线实装设备同时在多个场景中使用。
1.虚实结合网络靶场无线实装设备接入装置,其特征在于,包括与物理交换机连接的有线网卡,与无线实装设备连接的无线网卡,ARP代理模块以及流量转换模块;每个所述无线实装设备配置有真实IP、真实MAC,在靶场场景中的场景IP、映射MAC和VLAN标识;所述映射MAC在所有靶场场景中具有唯一性;
所述ARP代理模块,用于监听ARP流量包,并对无线实装设备的场景IP的ARP请求进行回复;ARP回复包中的源IP地址为无线实装设备的场景IP,源MAC地址为映射MAC,VLAN标识与原请求包中一致;
所述流量转换模块,用于对经过的流量进行处理和转发;
对于虚拟机至无线实装设备的流量,如果匹配到目标IP地址为无线实装设备的场景IP并且目标MAC地址为无线实装设备的映射MAC,则去除VLAN标识,并将源MAC地址改为映射MAC,将目标IP地址和MAC地址改为无线实装设备的真实IP和真实MAC,然后再将流量包经由无线网卡转发到无线实装设备;
对于无线实装设备至虚拟机的流量,如果匹配到目标MAC地址为无线实装设备的映射MAC,则将流量包中的源IP地址改为无线实装设备的场景IP,源MAC地址改为无线实装设备的映射MAC,并将流量包打上对应的VLAN标识,然后转发到物理交换机。
2.根据权利要求1所述的虚实结合网络靶场无线实装设备接入装置,其特征在于,无线实装设备的真实IP、真实MAC,在靶场场景中的场景IP、映射MAC和VLAN标识在靶场场景启动后,发送到所述无线实装设备接入装置,所述无线实装设备接入装置接收到相应的数据后,通过配置流量转发规则实现虚拟机与无线实装设备之间的流量转发。
3.根据权利要求1所述的虚实结合网络靶场无线实装设备接入装置,其特征在于,所述有线网卡连接物理交换机的Trunk口,所述物理交换机的Trunk口还连接有运行靶场场景中虚拟机的服务器。
4.根据权利要求1所述的虚实结合网络靶场无线实装设备接入装置,其特征在于,还包括操作控制模块,用于对发送至无线实装设备的流量进行操作行为分析,如果是查询操作,则直接转发;如果是控制操作,则根据映射MAC创建文件锁,只将映射MAC地址相同的流量进行转发,并在判断控制操作完成后释放文件锁;若有与文件锁关联的映射MAC地址不同的控制操作请求流量到达同一无线实装设备,则根据映射MAC地址将控制操作请求流量暂存为流量包文件,并将请求加入到任务队列中,待文件锁释放后,从任务队列中取出任务并进行流量回放。
5.根据权利要求4所述的虚实结合网络靶场无线实装设备接入装置,其特征在于,对于有回复的操作控制请求,在创建文件锁的同时会启动一个线程来监听无线实装设备的返回信息,确认收到返回成功的消息后,认为控制操作完成,释放文件锁;对于无回复的操作控制请求,在创建文件锁的同时启动一个线程来定时检测无线实装设备操作是否完成,当检测到操作完成或者超时后释放文件锁。
6.一种计算机装置,其特征在于,包括有线网卡、无线网卡、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述有线网卡与物理交换机连接,所述无线网卡与无线实装设备连接,所述物理交换机上还连接有运行靶场场景中虚拟机的服务器;所述计算机程序被加载至处理器时实现如下步骤:监听流量,对于对无线实装设备的场景IP的ARP请求进行回复;ARP回复包中的源IP地址为无线实装设备的场景IP,源MAC地址为映射MAC,VLAN标识与原请求包中一致;无线实装设备配置有真实IP、真实MAC,在靶场场景中的场景IP、映射MAC和VLAN标识;所述映射MAC在所有靶场场景中具有唯一性;对于业务流量进行处理和转发:对于虚拟机至无线实装设备的流量,如果匹配到目标IP地址为无线实装设备的场景IP并且目标MAC地址为无线实装设备的映射MAC,则去除VLAN标识,并将源MAC地址改为映射MAC,将目标IP地址和MAC地址改为无线实装设备的真实IP和真实MAC,然后再将流量包经由无线网卡转发到无线实装设备;
对于无线实装设备至虚拟机的流量,如果匹配到目标MAC地址为无线实装设备的映射MAC,则将流量包中的源IP地址改为无线实装设备的场景IP,源MAC地址改为无线实装设备的映射MAC,并将流量包打上对应的VLAN标识,然后转发到物理交换机。
7.根据权利要求6所述的计算机装置,其特征在于,所述计算机程序被加载至处理器时还实现如下步骤:对发送至无线实装设备的流量进行操作行为分析,如果是查询操作,则直接转发;如果是控制操作,则根据映射MAC创建文件锁,只将映射MAC地址相同的流量进行转发,并在判断控制操作完成后释放文件锁;若有与文件锁关联的映射MAC地址不同的控制操作请求流量到达同一无线实装设备,则根据映射MAC地址将控制操作请求流量暂存为流量包文件,并将请求加入到任务队列中,待文件锁释放后,从任务队列中取出任务并进行流量回放。
8.虚实结合网络靶场无线实装设备接入方法,其特征在于,包括如下步骤:
在编排网络靶场场景拓扑时,加入无线实装设备,所述无线实装设备具有真实IP、真实MAC、场景IP和VLAN标识;
在启动靶场场景后,为场景中每个无线实装设备生成一个映射MAC,并连同真实IP、真实MAC、场景IP和VLAN标识发送到无线实装设备接入装置;所述无线实装设备接入装置通过物理交换机连接运行靶场场景中虚拟机的服务器,同时连接靶场场景中的无线实装设备;
所述无线实装设备接入装置在收到数据后配置流量转发规则;
靶场场景中的虚拟机通过无线实装设备的场景IP访问无线实装设备,服务器上的虚拟交换机为流量打上VLAN标识,并转发到物理交换机,物理交换机再将流量发送到无线实装设备接入装置;
无线实装设备接入装置根据配置的流量转发规则处理接收到的流量包,对于ARP流量包进行回复;ARP回复包中的源IP地址为无线实装设备的场景IP,源MAC地址为映射MAC,VLAN标识与原请求包中一致;对于业务流量,如果匹配到目标IP地址为无线实装设备的场景IP并且目标MAC地址为无线实装设备的映射MAC,则去除VLAN标识,并将源MAC地址改为映射MAC,将目标IP地址和MAC地址改为无线实装设备的真实IP和真实MAC,然后再将流量包经由无线网卡转发到无线实装设备;如果匹配到目标MAC地址为无线实装设备的映射MAC,则将流量包中的源IP地址改为无线实装设备的场景IP,源MAC地址改为无线实装设备的映射MAC,并将流量包打上对应的VLAN标识,然后转发到物理交换机;物理交换机将流量转发到服务器,再经由服务器上虚拟交换机匹配流量包中的VLAN标识和目标IP地址,将目标MAC地址修改为场景中虚拟机的MAC地址,然后将流量转发到虚拟机对应的接口上。
9.根据权利要求8所述的虚实结合网络靶场无线实装设备接入方法,其特征在于,还包括:无线实装设备接入装置对发送至无线实装设备的流量进行操作行为分析,如果是查询操作,则直接转发;如果是控制操作,则根据映射MAC创建文件锁,只将映射MAC地址相同的流量进行转发,并在判断控制操作完成后释放文件锁;若有与文件锁关联的映射MAC地址不同的控制操作请求流量到达同一无线实装设备,则根据映射MAC地址将控制操作请求流量暂存为流量包文件,并将请求加入到任务队列中,待文件锁释放后,从任务队列中取出任务并进行流量回放。
10.虚实结合网络靶场系统,其特征在于,包括用于运行靶场场景中虚拟机的至少一台服务器,至少一台无线实装设备,根据权利要求1‑5任一项所述的无线实装设备接入装置或者根据权利要求6‑7任一项所述的计算机装置,以及物理交换机;所述物理交换机连接所述服务器和无线实装设备接入装置,或者连接所述服务器和计算机装置。
虚实结合网络靶场无线实装设备接入装置、方法与系统
技术领域
[0001] 本发明涉及一种虚实结合网络靶场无线实装设备接入装置、方法与系统,属于网络安全技术领域。
背景技术
[0002] 如图1所示,现有网络靶场虚实结合场景中无线实装设备的接入需要通过无线AP(Access Point,无线接入点)来实现,用户要先使用网线将无线AP的接口接入到虚实结合交换机上的Access口,然后通过无线AP的无线信号将网络共享出去,无线实装设备再通过连接到无线AP来接入到场景网络中。
[0003] 当场景启动后,靶场平台会创建虚拟网络并配置唯一的VLAN标识。靶场平台向虚实结合交换机下发配置,将无线实装设备对应无线AP所在的口设置为Access口,并且设置允许所配VLAN标识的流量通过。当有流量访问无线实装设备的时候,流量会经由虚实结合交换机到达无线AP,再通过无线AP的无线信号将流量转发到无线实装设备上去。
[0004] 图1中,虚拟机VM1至无线实装设备1的流量转发流程为:当虚拟机VM1要向实装设备1发送流量的时候,从VM1出来的流量会先打上Tag 100,然后经过网卡发送到交换机的Trunk口,交换机Trunk口接收到流量后发现流量包中带有Tag 100,所以会将流量包发送给VLAN100对应的无线AP1,无线AP1再通过无线信号将流量转发到实装设备1上。无线实装设备1至虚拟机VM1的流量转发流程为:当实装设备1向VM1发送流量的时候,实装设备1会先将流量发送给无线AP1,无线AP1将流量转发到交换机Access口上,流量到交换机上会打上VLAN100的Tag,并转发到交换机Trunk口,然后被服务器网卡接收到,网卡会根据流量中所带的Tag将流量转发到VLAN100对应的虚拟网络中,最后将流量发送到VM1上。
[0005] 现有的无线实装设备接入方案存在如下不足:1.无线AP接入到交换机的Access口,同时只能支持将一个网络共享出去,如果需要同时共享多个网络,则需要同时连接多个无线AP。2.靶场场景每次重新启动都会重新创建网络并为新网络随机分配VLAN,所以每次场景重新启动后都需要重新配置无线AP连接交换机接口的VLAN。
发明内容
[0006] 发明目的:针对上述现有技术存在的问题,本发明目的在于提供一种虚实结合网络靶场无线实装设备接入方案,通过一个无线实装设备接入装置实现多个无线实装设备同时接入时只会占用一个交换机端口,并且重建靶场场景无需重新配置物理交换机。
[0007] 技术方案:为实现上述发明目的,本发明采用如下技术方案:
[0008] 虚实结合网络靶场无线实装设备接入装置,包括与物理交换机连接的有线网卡,与无线实装设备连接的无线网卡,ARP代理模块以及流量转换模块;每个所述无线实装设备配置有真实IP、真实MAC,在靶场场景中的场景IP、映射MAC和VLAN标识;所述映射MAC在所有靶场场景中具有唯一性;
[0009] 所述ARP代理模块,用于监听ARP流量包,并对无线实装设备的场景IP的ARP请求进行回复;ARP回复包中的源IP地址为无线实装设备的场景IP,源MAC地址为映射MAC,VLAN标识与原请求包中一致;
[0010] 所述流量转换模块,用于对经过的流量进行处理和转发;
[0011] 对于虚拟机至无线实装设备的流量,如果匹配到目标IP地址为无线实装设备的场景IP并且目标MAC地址为无线实装设备的映射MAC,则去除VLAN标识,并将源MAC地址改为映射MAC,将目标IP地址和MAC地址改为无线实装设备的真实IP和真实MAC,然后再将流量包经由无线网卡转发到无线实装设备;
[0012] 对于无线实装设备至虚拟机的流量,如果匹配到目标MAC地址为无线实装设备的映射MAC,则将流量包中的源IP地址改为无线实装设备的场景IP,源MAC地址改为无线实装设备的映射MAC,并将流量包打上对应的VLAN标识,然后转发到物理交换机。
[0013] 作为优选,无线实装设备的真实IP、真实MAC,在靶场场景中的场景IP、映射MAC和VLAN标识在靶场场景启动后,发送到所述无线实装设备接入装置,所述无线实装设备接入装置接收到相应的数据后,通过配置流量转发规则实现虚拟机与无线实装设备之间的流量转发。
[0014] 作为优选,所述有线网卡连接物理交换机的Trunk口,所述物理交换机的Trunk口还连接有运行靶场场景中虚拟机的服务器。
[0015] 作为优选,所述无线实装设备接入装置还包括操作控制模块,用于对发送至无线实装设备的流量进行操作行为分析,如果是查询操作,则直接转发;如果是控制操作,则根据映射MAC创建文件锁,只将映射MAC地址相同的流量进行转发,并在判断控制操作完成后释放文件锁;若有与文件锁关联的映射MAC地址不同的控制操作请求流量到达同一无线实装设备,则根据映射MAC地址将控制操作请求流量暂存为流量包文件,并将请求加入到任务队列中,待文件锁释放后,从任务队列中取出任务并进行流量回放。
[0016] 作为优选,所述操作控制模块,对于有回复的操作控制请求,在创建文件锁的同时会启动一个线程来监听无线实装设备的返回信息,确认收到返回成功的消息后,认为控制操作完成,释放文件锁;对于无回复的操作控制请求,在创建文件锁的同时启动一个线程来定时检测无线实装设备操作是否完成,当检测到操作完成或者超时后释放文件锁。
[0017] 一种计算机装置,包括有线网卡、无线网卡、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述有线网卡与物理交换机连接,所述无线网卡与无线实装设备连接,所述物理交换机上还连接有运行靶场场景中虚拟机的服务器;所述计算机程序被加载至处理器时实现如下步骤:
[0018] 监听流量,对于对无线实装设备的场景IP的ARP请求进行回复;ARP回复包中的源IP地址为无线实装设备的场景IP,源MAC地址为映射MAC,VLAN标识与原请求包中一致;无线实装设备配置有真实IP、真实MAC,在靶场场景中的场景IP、映射MAC和VLAN标识;所述映射MAC在所有靶场场景中具有唯一性;对于业务流量进行处理和转发:
[0019] 对于虚拟机至无线实装设备的流量,如果匹配到目标IP地址为无线实装设备的场景IP并且目标MAC地址为无线实装设备的映射MAC,则去除VLAN标识,并将源MAC地址改为映射MAC,将目标IP地址和MAC地址改为无线实装设备的真实IP和真实MAC,然后再将流量包经由无线网卡转发到无线实装设备;
[0020] 对于无线实装设备至虚拟机的流量,如果匹配到目标MAC地址为无线实装设备的映射MAC,则将流量包中的源IP地址改为无线实装设备的场景IP,源MAC地址改为无线实装设备的映射MAC,并将流量包打上对应的VLAN标识,然后转发到物理交换机。
[0021] 作为优选,所述计算机程序被加载至处理器时还实现如下步骤:对发送至无线实装设备的流量进行操作行为分析,如果是查询操作,则直接转发;如果是控制操作,则根据映射MAC创建文件锁,只将映射MAC地址相同的流量进行转发,并在判断控制操作完成后释放文件锁;若有与文件锁关联的映射MAC地址不同的控制操作请求流量到达同一无线实装设备,则根据映射MAC地址将控制操作请求流量暂存为流量包文件,并将请求加入到任务队列中,待文件锁释放后,从任务队列中取出任务并进行流量回放。
[0022] 虚实结合网络靶场无线实装设备接入方法,包括如下步骤:
[0023] 在编排网络靶场场景拓扑时,加入无线实装设备,所述无线实装设备具有真实IP、真实MAC、场景IP和VLAN标识;
[0024] 在启动靶场场景后,为场景中每个无线实装设备生成一个映射MAC,并连同真实IP、真实MAC、场景IP和VLAN标识发送到无线实装设备接入装置;所述无线实装设备接入装置通过物理交换机连接运行靶场场景中虚拟机的服务器,同时连接靶场场景中的无线实装设备;
[0025] 所述无线实装设备接入装置在收到数据后配置流量转发规则;
[0026] 靶场场景中的虚拟机通过无线实装设备的场景IP访问无线实装设备,服务器上的虚拟交换机为流量打上VLAN标识,并转发到物理交换机,物理交换机再将流量发送到无线实装设备接入装置;
[0027] 无线实装设备接入装置根据配置的流量转发规则处理接收到的流量包,对于ARP流量包进行回复;ARP回复包中的源IP地址为无线实装设备的场景IP,源MAC地址为映射MAC,VLAN标识与原请求包中一致;对于业务流量,如果匹配到目标IP地址为无线实装设备的场景IP并且目标MAC地址为无线实装设备的映射MAC,则去除VLAN标识,并将源MAC地址改为映射MAC,将目标IP地址和MAC地址改为无线实装设备的真实IP和真实MAC,然后再将流量包经由无线网卡转发到无线实装设备;如果匹配到目标MAC地址为无线实装设备的映射MAC,则将流量包中的源IP地址改为无线实装设备的场景IP,源MAC地址改为无线实装设备的映射MAC,并将流量包打上对应的VLAN标识,然后转发到物理交换机;物理交换机将流量转发到服务器,再经由服务器上虚拟交换机匹配流量包中的VLAN标识和目标IP地址,将目标MAC地址修改为场景中虚拟机的MAC地址,然后将流量转发到虚拟机对应的接口上。
[0028] 虚实结合网络靶场系统,包括用于运行靶场场景中虚拟机的至少一台服务器,至少一台无线实装设备,所述的无线实装设备接入装置或者所述的计算机装置,以及物理交换机;所述物理交换机连接所述服务器和无线实装设备接入装置,或者连接所述服务器和计算机装置。
[0029] 有益效果:与现有技术相比,本发明具有如下优点:1. 本发明能够同时支持多个不同网络的无线实装设备接入,减少用户设备成本,并且多个无线实装设备同时接入时只会占用一个交换机端口,有效减少了虚实结合物理交换机端口的占用。2. 本发明在靶场场景启动时无需再配置虚实结合物理交换机,只需一次配置即可一直使用,可以加快场景启动速度,减轻运维人员工作量。3. 本发明使用映射MAC来区分不同场景,能够避免不同场景无线实装设备IP地址冲突的问题,可以支持一个无线实装设备同时在多个场景中使用。
附图说明
[0030] 图1为现有虚实结合网络靶场物理连接示意图。
[0031] 图2为本发明实施例的虚实结合网络靶场物理连接示意图。
[0032] 图3为本发明实施例中虚拟机访问无线实装设备示意图。
[0033] 图4为本发明实施例中无线实装设备的场景IP和映射MAC关系示意图。
[0034] 图5为本发明另一实施例中无线实装设备接入装置结构示意图。
[0035] 图6为本发明另一实施例中操作控制模块结构示意图。
具体实施方式
[0036] 下面将结合附图和具体实施例,对本发明的技术方案进行清楚、完整的描述。
[0037] 如图2所示,本发明实施例公开的一种虚实结合网络靶场无线实装设备接入装置,主要包括:有线网卡,用来连接物理交换机,获取虚实结合场景中经过虚实结合物理交换机的流量包;无线网卡,主要通过无线网卡的Softap模式来承载无线实装设备的接入;流量转换模块,对经过的流量进行处理,并将处理后的流量转发到无线实装设备和虚拟机中;ARP代理模块,对场景中的ARP流量进行监听,并根据预先配置的规则对ARP请求进行代理回复。
[0038] 用户会提前将无线实装设备的真实MAC地址、真实IP地址信息存入到网络靶场系统平台中,然后通过网络靶场系统平台的场景编排页面提前编排好场景拓扑,在场景中加入无线实装设备,并将拓扑的信息预先存入数据库中。场景启动后,网络靶场平台会为无线实装设备生成一个随机不重复的映射MAC地址(在所有场景中具有唯一性),并连同无线实装设备的真实IP,真实MAC,无线实装设备在场景中的场景IP,网络的VLAN标识一起发送到无线实装设备接入装置,无线实装设备接入装置接收到相应的数据后会基于Openflow协议配置相应的流量转发规则用来打通虚实设备之间的流量。
[0039] 如图3所示,虚拟机访问无线实装设备的时候,并不是直接访问无线实装设备的地址,而是通过访问无线实装设备在场景中的场景IP,并通过场景IP来映射到无线实装设备的真实IP地址。
[0040] 下面详细说明虚拟机VM1和无线实装设备1之间的流量转发流程。
[0041] 1. 虚拟机VM1 至无线实装设备1
[0042] VM1访问无线实装设备1的流量会先发送到虚拟交换机OVS上,经过虚拟交换机OVS的流量会打上对应的VLAN Tag 100,然后再将流量发送到虚实结合物理交换机。
[0043] 虚实结合物理交换机会将流量通过Trunk口发送到无线实装设备接入装置。
[0044] 首次请求为ARP请求,无线实装设备接入装置中的ARP代理模块通过Scapy监听场景中的ARP请求包,如果请求的是无线实装设备1的场景IP,则由ARP代理模块通过Scapy构建ARP回复包,回复包中的源IP为无线实装设备1的场景IP(如192.168.58.21),源MAC地址为映射MAC(如ff:16:3e:84:25:76),目标IP为请求包中的源IP(如192.168.58.11),目标MAC地址为请求包中的源MAC地址(如fa:16:3e:7a:b7:53),并打上原流量包中的VLAN Tag。
[0045] ARP回复包示例:
[0046] packet = Ether(src=' ff:16:3e:84:25:76', dst=' fa:16:3e:7a:b7:53') / Dot1Q(vlan=100) / ARP(op=2, hwsrc=' ff:16:3e:84:25:76', psrc=' 192.168.58.21', pdst=' 192.168.58.11')
[0047] send(packet, inter=0.1, count=2)
[0048] ARP中的op=2表示该包为ARP回复包,Send方法作用是将报文发出,inter表示发包间隔,count表示发送2次。
[0049] 如果是正常业务流量,无线转发模块接收到流量后通过规则匹配,如果匹配到目标地址为无线实装设备1的场景IP并且目标MAC地址为无线实装设备1的映射MAC,则将流量的VLAN Tag去掉,并将源MAC改为映射MAC,将目标IP改为无线实装设备的真实IP,目标MAC改为无线实装设备的真实MAC,然后再将流量包经由无线网卡转发到无线实装设备1上去。
[0050] 2. 无线实装设备1 至虚拟机 VM 1
[0051] 无线实装设备1向虚拟机VM1发送流量的时候,由于实际IP与场景IP不在一个网段,默认会先找无线实装设备1的网关地址,所以预先在无线实装设备1上将无线实装设备1的网关地址配置为自身的IP或者无线实装设备接入装置的地址,这样跨网段的流量包就可以直接发送到达无线实装设备接入装置。
[0052] 无线转发模块在接收到流量后进行规则匹配,如果匹配到流量包中的目标MAC为无线实装设备的映射MAC,则将流量包中的源IP转换为无线实装设备的场景IP,源MAC转换为无线实装设备的映射MAC,并将流量打上对应的VLAN Tag,然后将流量转发到虚实结合物理交换机上。
[0053] 虚实结合物理交换机再将流量通过Trunk口转发到服务器,服务器上的虚拟交换机OVS匹配到流量包中的VLAN Tag和目标IP地址,将目标MAC地址修改为场景中虚拟机1的MAC地址,然后将流量转发到虚拟机对应的接口上。
[0054] 如图4所示,多个场景同时共用一个无线实装设备的时候,通过映射MAC来区分,由于每个场景中无线实装设备对应的映射MAC是唯一的,所以在无线实装设备1向虚拟机VM1发送流量的时候,根据匹配映射MAC来对原流量包进行不同修改来实现不同场景流量的区分。
[0055] 进一步地,考虑到多个场景共用一个无线实装设备,可能因请求冲突,导致使用失败的问题,如图5所示,本发明实施例公开的一种虚实结合网络靶场无线实装设备接入装置,增加操作控制模块,实现分时使用,提升用户体验。
[0056] 具体地,用户在场景中可以向无线实装设备下发操作命令,无线实装设备的操作分为查询操作和控制操作,对于查询操作因为是只读操作,不会对无线实装设备产生任何影响,所以操作控制模块不会对该类型操作进行限制,不同场景可以同时对无线实装设备进行查询操作。对于控制操作,由于控制操作会对无线实装设备进行配置修改等操作,所以当操作控制模块接收到针对同一个无线实装设备的控制操作时会根据无线实装设备的映射MAC来进行加锁操作,当接收到不同场景同时发过来的控制操作,操作控制模块会根据请求的时间顺序将请求加入到任务队列中,并在操作执行完成后释放当前的锁。
[0057] 当用户在场景中向无线实装设备发送控制流量的时候,操作控制模块会监听无线实装设备接入装置接收到的流量并对流量进行分析,分析当前流量的操作行为 ,如果是查询操作则直接将流量转发到无线实装设备上去。如果是控制操作,则会为本次操作请求创建一个文件锁,只允许当前映射MAC的流量进入当前文件锁,并将操作请求流量转发到无线实装设备。如果是有回复的控制操作请求,即无线实装设备会返回操作是否成功的消息,会在创建锁的同时会启动一个线程来监听无线实装设备的返回信息,确认配置操作完成后释放当前文件锁。如果是无回复的控制操作请求,即无线实装设备不会返回任何消息,会在创建锁的同时启动一个线程来定时检测无线实装设备配置是否生效,当检测配置完成或者超时后会释放当前文件锁。当前文件锁释放后即可继续处理其他场景针对当前无线实装设备的配置请求。
[0058] 如图6所示,当前配置操作未完成时,如果有其他场景的配置请求流量到达无线实装设备,这时操作控制模块会根据映射MAC将配置流量保存为不同的pcap包并暂时存放到本地文件系统,并将配置任务加入到任务队列。待当前操作完成后,从队列中取出待执行的操作任务,并从文件系统中找到对应的流量包,然后将通过流量回放工具将配置流量发送到无线实装设备。
[0059] 通过操作控制模块可以实现同一个无线实装设备在不同场景中分时配置使用。
[0060] 基于相同的发明构思,本发明实施例公开的一种计算机装置,包括有线网卡、无线网卡、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述有线网卡与物理交换机连接,所述无线网卡与无线实装设备连接,所述物理交换机上还连接有运行靶场场景中虚拟机的服务器;所述计算机程序被加载至处理器时实现如下步骤:
[0061] 监听流量,对于对无线实装设备的场景IP的ARP请求进行回复;ARP回复包中的源IP地址为无线实装设备的场景IP,源MAC地址为映射MAC,VLAN标识与原请求包中一致;无线实装设备配置有真实IP、真实MAC,在靶场场景中的场景IP、映射MAC和VLAN标识;所述映射MAC在所有靶场场景中具有唯一性;对于业务流量进行处理和转发:
[0062] 对于虚拟机至无线实装设备的流量,如果匹配到目标IP地址为无线实装设备的场景IP并且目标MAC地址为无线实装设备的映射MAC,则去除VLAN标识,并将源MAC地址改为映射MAC,将目标IP地址和MAC地址改为无线实装设备的真实IP和真实MAC,然后再将流量包经由无线网卡转发到无线实装设备;
[0063] 对于无线实装设备至虚拟机的流量,如果匹配到目标MAC地址为无线实装设备的映射MAC,则将流量包中的源IP地址改为无线实装设备的场景IP,源MAC地址改为无线实装设备的映射MAC,并将流量包打上对应的VLAN标识,然后转发到物理交换机。
[0064] 进一步地,所述计算机程序被加载至处理器时还实现如下步骤:对发送至无线实装设备的流量进行操作行为分析,如果是查询操作,则直接转发;如果是控制操作,则根据映射MAC创建文件锁,只将映射MAC地址相同的流量进行转发,并在判断控制操作完成后释放文件锁;若有与文件锁关联的映射MAC地址不同的控制操作请求流量到达同一无线实装设备,则根据映射MAC地址将控制操作请求流量暂存为pcap包,并将请求加入到任务队列中,待文件锁释放后,从任务队列中取出任务并进行流量回放。
[0065] 基于相同的发明构思,本发明实施例公开的虚实结合网络靶场无线实装设备接入方法,包括如下步骤:
[0066] 在编排网络靶场场景拓扑时,加入无线实装设备,所述无线实装设备具有真实IP、真实MAC、场景IP和VLAN标识;
[0067] 在启动靶场场景后,为场景中每个无线实装设备生成一个映射MAC,并连同真实IP、真实MAC、场景IP和VLAN标识发送到无线实装设备接入装置;所述无线实装设备接入装置通过物理交换机连接运行靶场场景中虚拟机的服务器,同时连接靶场场景中的无线实装设备;
[0068] 所述无线实装设备接入装置在收到数据后配置流量转发规则;
[0069] 靶场场景中的虚拟机通过无线实装设备的场景IP访问无线实装设备,服务器上的虚拟交换机为流量打上VLAN标识,并转发到物理交换机,物理交换机再将流量发送到无线实装设备接入装置;
[0070] 无线实装设备接入装置根据配置的流量转发规则处理接收到的流量包,对于ARP流量包进行回复;ARP回复包中的源IP地址为无线实装设备的场景IP,源MAC地址为映射MAC,VLAN标识与原请求包中一致;对于业务流量,如果匹配到目标IP地址为无线实装设备的场景IP并且目标MAC地址为无线实装设备的映射MAC,则去除VLAN标识,并将源MAC地址改为映射MAC,将目标IP地址和MAC地址改为无线实装设备的真实IP和真实MAC,然后再将流量包经由无线网卡转发到无线实装设备;如果匹配到目标MAC地址为无线实装设备的映射MAC,则将流量包中的源IP地址改为无线实装设备的场景IP,源MAC地址改为无线实装设备的映射MAC,并将流量包打上对应的VLAN标识,然后转发到物理交换机;物理交换机将流量转发到服务器,再经由服务器上虚拟交换机匹配流量包中的VLAN标识和目标IP地址,将目标MAC地址修改为场景中虚拟机的MAC地址,然后将流量转发到虚拟机对应的接口上。
[0071] 基于相同的发明构思,本发明实施例公开的一种虚实结合网络靶场系统,包括用于运行靶场场景中虚拟机的至少一台服务器,至少一台无线实装设备,所述的无线实装设备接入装置或者所述的计算机装置,以及物理交换机;所述物理交换机连接所述服务器和无线实装设备接入装置,或者连接所述服务器和计算机装置。
