本发明专利技术公开了一种基于MAC地址动态欺骗实现定向微隔离的方法和装置,具体有以下步骤:S1:确认需要进行隔离的主机的IP;S2:获取所述待隔离主机的IP的正确MAC地址;S3:通过监听所述待隔离主机发出的ARP数据包,制定灵活的MAC地址欺骗策略,按需构造并动态发送ARP欺骗包;S4:通过监听同网段主机发出的ARP数据包,制定灵活的MAC地址欺骗策略,按需构造并动态发送ARP欺骗包。本发明专利技术中,可按需构造非常少量的ARP欺骗数据包,进行动态MAC地址欺骗,不但不会对网络造成传输压力,而且可绕过网络中ARP安全检测防护设备,使待隔离主机无法与同网段主机通讯,同时也无法与网关通信,因此也无法跨网段访问其它主机,稳定高效实现了定向对某个主机进行微隔离的作用。个主机进行微隔离的作用。个主机进行微隔离的作用。
【技术实现步骤摘要】
一种基于MAC地址动态欺骗实现定向微隔离的方法和装置
[0001]本专利技术涉及网络
,尤其涉及一种基于MAC地址动态欺骗实现定向微隔离的方法和装置。
技术介绍
[0002]当下内网威胁泛滥,勒索病毒传播、内网横向攻击等都会导致内网主机失陷,企业单位若发现内网主机失陷,会优先对失陷主机进行隔离,避免失陷主机横向攻击内网其它正常主机,及时减少损失。
[0003]当前传统的隔离方法主要有两种:1、在网关设备上对失陷主机IP进行限制访问;2、在所有主机上安装agent软件,一旦某台主机失陷,可通过agent软件限制失陷主机的网络访问权限。以上两种传统的隔离方法都有劣势。方法1虽然操作简易,但无法隔离同网段的访问权限,失陷主机仍然可以对同网段主机进行横向攻击。方法2虽然可以做到真正的微隔离,限制了失陷主机同网段和跨网段的访问权限,但是部署和管理成本较高,需要在所有主机安装agent软件,而且失陷主机上的恶意程序,有可能会kill掉agent软件,使隔离功能失效。
技术实现思路
[0004]针对上述现有技术的不足,本专利技术的目的在于提供一种基于MAC地址动态欺骗实现定向微隔离的方法和装置。通过该装置接入目标网络,不断监听网络中的ARP数据包,实时调整ARP欺骗策略,按需构造非常少量的ARP欺骗数据包,进行动态MAC地址欺骗,不但不会对网络造成传输压力,而且可绕过网络中ARP安全检测防护设备,可以稳定高效实现定向对某个主机进行微隔离的作用。
[0005]为了实现上述目的,本专利技术采取了如下的技术方案:
[0006]一种基于MAC地址动态欺骗实现定向微隔离的方法,包括以下步骤:
[0007]S1:确认需要进行隔离的主机的IP;
[0008]S2:获取所述待隔离主机的IP的正确MAC地址;
[0009]S3:通过定向微隔离装置监听所述待隔离主机发出的ARP数据包,制定灵活的MAC地址欺骗策略,按需构造并动态发送ARP欺骗包;
[0010]S4:通过定向微隔离装置监听同网段主机发出的ARP数据包,制定灵活的MAC地址欺骗策略,按需构造并动态发送ARP欺骗包。
[0011]作为上述技术方案的进一步描述:
[0012]其中所述步骤S1,通过蜜罐捕捉要隔离的失陷主机,再确认需要进行隔离的主机的IP。
[0013]其中所述步骤S3,如果定向微隔离装置监听到所述待隔离主机发出的ARP广播请求包,即制定相应的MAC地址欺骗策略:向待隔离主机发送错误MAC地址的ARP应答欺骗包,让所述待隔离主机学习到同网段主机错误的MAC地址;
[0014]由于所述待隔离主机发出了ARP广播请求包,因此同网段主机也会收到该广播请求包,会导致同网段主机学习到所述待隔离主机正确的MAC地址。因此需要再制定相应的MAC地址欺骗策略:需伪装成所述待隔离主机的身份,发送一个ARP广播应答欺骗包,让同网段所有主机学习到所述待隔离主机错误的MAC。
[0015]其中所述ARP广播应答欺骗包内容为:以太网帧源MAC地址是所述待隔离主机的MAC,以太网帧目标MAC地址是广播MAC地址FF:FF:FF:FF:FF:FF,ARP帧op字段设置为应答类型2,ARP帧发送端IP是所述待隔离主机的IP,ARP帧发送端源MAC地址是所述待隔离主机错误的MAC,ARP帧目标IP是所述待隔离主机的IP,ARP帧目标MAC是所述待隔离主机错误的MAC。
[0016]其中所述步骤S4,如果监听到同网段主机发出的请求所述待隔离主机MAC的ARP广播请求包,即制定相应的MAC地址欺骗策略:需伪装成所述待隔离主机的身份,发送一个ARP广播应答欺骗包,让同网段主机学习到所述待隔离主机错误的MAC。
[0017]进一步说明:
[0018]由于同网段主机发出了请求所述待隔离主机MAC的ARP广播请求包,因此所述待隔离主机也会收到该ARP广播请求包,会导致所述待隔离主机学习到所述同网段主机的正确MAC地址,因此需要再制定相应的MAC地址欺骗策略:向待隔离主机发送所述同网段主机错误MAC地址的ARP应答欺骗包,让所述待隔离主机学习到所述同网段主机错误的MAC地址。
[0019]进一步说明:
[0020]其中所述步骤S4,如果监听到同网段主机发出的请求其它主机MAC的ARP广播请求包,所述待隔离主机同样也会收到该ARP广播请求包,会导致所述待隔离主机学习到所述同网段主机的正确MAC地址,因此同样需要制定相应的MAC地址欺骗策略:向待隔离主机发送所述同网段主机错误MAC地址的ARP应答欺骗包,让所述待隔离主机学习到所述同网段主机错误的MAC地址。
[0021]作为上述技术方案的进一步描述:
[0022]一种基于MAC地址动态欺骗实现定向微隔离装置,包含了网络监听模块、微隔离指令发送模块。
[0023]其中所述微隔离指令发送模块构造的ARP欺骗包,使用的错误MAC地址是随机生成的且非在用的MAC地址,网络中的安全设备无法进行追踪与防护,促使MAC地址欺骗策略生效,可让本专利技术的微隔离方法兼容更多网络环境,变得更加有效且实用。
[0024]其中所述微隔离指令发送模块每次向所述待隔离主机发送的ARP欺骗包,都使用不同的错误MAC地址进行应答,让所述待隔离主机的ARP欺骗防护软件无法从大量错误MAC中判断真实的MAC地址,促使MAC地址欺骗策略生效,可让本专利技术的微隔离方法兼容更多网络环境,变得更加有效且实。
[0025]本专利技术提供了一种基于MAC地址动态欺骗实现定向微隔离的方法和装置,具备以下有益效果:
[0026]由于本专利技术方法可按需构造非常少量的ARP欺骗包,进行动态MAC地址欺骗,所以ARP欺骗包造成的影响主要是作用于待隔离的主机,不但不会影响其它主机的正常通讯,而且不会对网络造成传输压力,甚至可绕过网络中ARP安全检测防护机制,可以兼容多种复杂的网络环境,实现稳定地定向对某个主机进行微隔离的效果。本专利技术方法微隔离的效果使
待隔离主机无法与同网段主机通讯,同时也无法与网关通信,因此待隔离主机也无法跨网段访问其它主机,高效的实现了微隔离的目标,可使内网失陷主机无法横向攻击,及时降低内网失陷主机带来的负面影响。
附图说明
[0027]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0028]图1为本专利技术提出的一种基于MAC地址动态欺骗实现定向微隔离的方法的流程图;
[0029]图2为本专利技术中微隔离装置的网络监听模块工作示意图;
[0030]图3为本专利技术中微隔离装置的微隔离指令模块发送ARP应答欺骗包的工作示意图;
[0031]图4为本专利技术中微隔离装置的微隔离指令模块发送ARP广播应答欺骗包的工作示意图。本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于MAC地址动态欺骗实现定向微隔离的方法,其特征在于,包括以下步骤:S1:确认需要进行隔离的主机的IP;S2:获取所述待隔离主机的IP的正确MAC地址;S3:通过定向微隔离装置监听所述待隔离主机发出的ARP数据包,制定灵活的MAC地址欺骗策略,构造并动态发送ARP欺骗包;S4:通过定向微隔离装置监听同网段主机发出的ARP数据包,制定灵活的MAC地址欺骗策略,构造并动态发送ARP欺骗包。2.根据权利要求1所述的一种基于MAC地址动态欺骗实现定向微隔离的方法,其特征在于,所述步骤S3,如果监听到所述待隔离主机发出的ARP广播请求包,即制定相应的MAC地址欺骗策略:向待隔离主机发送错误MAC地址的ARP应答欺骗包,让所述待隔离主机学习到同网段主机错误的MAC地址。3.根据权利要求1所述的一种基于MAC地址动态欺骗实现定向微隔离的方法,其特征在于,所述步骤S3,如果监听到所述待隔离主机发出的ARP广播请求包,即制定相应的MAC地址欺骗策略:需伪装成所述待隔离主机的身份,发送一个ARP广播应答欺骗包,让同网段所有主机学习到所述待隔离主机错误的MAC。4.根据权利要求3所述的一种基于MAC地址动态欺骗实现定向微隔离的方法,其特征在于,所述ARP广播应答欺骗包特征在于:以太网帧源MAC地址是所述待隔离主机的MAC,以太网帧目标MAC地址是广播MAC地址FF:FF:FF:FF:FF:FF,ARP帧op字段设置为应答类型2,ARP帧发送端IP是所述待隔离主机的IP,ARP帧发送端源MAC地址是所述待隔离主机错误的MAC。...
【专利技术属性】
技术研发人员:林旭滨,刘梓乐,
申请(专利权)人:广州非凡信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。