本申请涉及网络通讯技术领域,公开了一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法,包括:拦截第一网络设备的动态主机配置协议DHCP包;将所述DHCP包中的真实IP地址修改为虚拟IP地址,所述虚拟IP地址为所述真实IP地址之外的任意私有IP地址;将修改后的所述DHCP包发送至第二网络设备,本申请具有为了减小对目标PC的真实IP地址的攻击风险,以提高网络安全性的效果。全性的效果。全性的效果。
【技术实现步骤摘要】
一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法
[0001]本专利技术涉及网络通讯
,尤其是涉及一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法。
技术介绍
[0002]网络拓扑(Network Topology)结构是指用传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。如果两个网络的连接结构相同我们就说它们的网络拓扑相同。
[0003]网络拓扑结构存在多个节点,有些节点是真实节点,有些节点是虚拟节点,一些真实节点的真实IP容易遭受攻击,而虚拟节点存在不被认定为真实IP的风险;在存在单台PC传输文件时,只有这个单台电脑的IP地址被识别为真实IP地址,容易遭受恶意网络攻击,一些未被使用的PC的虚拟节点,由于不存在一些数据的传输,因此在这些PC不容易被认定为真实的IP地址。
[0004]针对上述相关技术,专利技术人认为面对恶意网络攻击时,由于存在一些虚拟节点不被认定为真实IP,导致一些使用过程中的真实IP受到的攻击风险较大,使网络的安全性较低。
技术实现思路
[0005]为了减小对目标PC的真实IP地址的攻击风险,以提高网络安全性,本申请提供一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法。
[0006]第一方面,本申请提供的一种基于虚拟网络的网络拓扑混淆虚拟装置,采用如下的技术方案:一种基于虚拟网络的网络拓扑混淆虚拟装置,包括拦截模块、IP地址修改模块及发送模块;所述拦截模块,用于拦截第一网络设备的动态主机配置协议DHCP包;所述IP地址修改模块,用于将所述DHCP包中的真实IP地址修改为虚拟IP地址,所述虚拟IP地址为所述真实IP地址之外的任意私有IP地址;所述发送模块,用于将修改后的所述DHCP包发送至第二网络设备。
[0007]通过采用上述技术方案,为了降低对真实IP的攻击风险,需要利用没有用到的PC,这些PC由于没有投入正常使用,因此每台PC自带的IP地址不容易被攻击者认定为目标IP地址,因此在被拦截模块拦截第一网络设备的动态主机配置协议DHCP包时,需要将DHCP包自带的真实IP地址修改为能够被攻击者识别为目标IP地址的虚拟IP地址,然后将修改完IP地址的DHCP包进行发送,通过虚拟IP地址诱导攻击,能减小对目标PC的真实IP的攻击风险,以提高网络安全性。
[0008]可选的,所述基于虚拟网络的网络拓扑混淆虚拟装置还包括虚拟IP地址获取模块;所述虚拟IP地址获取模块,用于当所述拦截模块拦截到所述DHCP包时,从所述DHCP包的IP头解析得到真实IP地址;
所述虚拟IP地址获取模块,还用于获取多个虚拟IP地址,所有虚拟IP地址均为所述真实IP地址之外的任意私有IP地址。
[0009]通过采用上述技术方案,在修改DHCP包的真实IP地址时,需要先获取DHCP包,然后解析DHCP包的真实IP地址,由于DHCP数据包包括很多数据帧,数据帧包括三部分:帧头、数据部分和帧尾。其中,帧头和帧尾包含一些必要的控制信息,比如同步信息、地址信息、差错控制信息等;数据部分则包含网络层传下来的数据,等等;因此需要先DHCP包的IP头,然后基于IP头解析出DHCP包的真实地址,然后再进行修改;虚拟IP地址为真实IP地址之外的任意私有IP地址,能超出路由器所分配的地址范围,使可选择的地址数量更多范围更广。
[0010]可选的,所述第一网络设备为路由器,所述第二网络设备为交换机;或,所述第一网络设备为交换机,所述第二网络设备为路由器;所述虚拟IP地址获取模块包括IP地址段分配单元及IP地址选择单元;所述IP地址段分配单元,用于将所述路由器分配的地址段作为虚拟IP地址选择段;或,所述IP地址段分配单元,用于将所述路由器分配的地址段之外的任意私有IP地址段作为虚拟IP地址选择段;所述IP地址选择单元,用于从所述虚拟IP地址选择段中选择出至少一个虚拟IP地址。
[0011]通过采用上述技术方案,第一网络设备为交换机,第二网络设备为路由器,则在DHCP包的上行通道和下行通道均需要进行IP地址的修改,能增大对目标PC的真实IP的保护范围,以提高网络安全性:IP地址段分配的范围除了路由器可分配的地址段,还能延伸至全网的地址段,使可分配的地址段范围更广。
[0012]可选的,该装置还包括攻击报警模块;所述攻击报警模块,用于当目标虚拟IP地址遭到攻击时,生成攻击报警信息。
[0013]通过采用上述技术方案,由于虚拟IP地址诱导攻击时,容易被攻击者认为是目标IP地址,在遭受到攻击后,则这个虚拟IP地址会作废,需要被清除,因此在遭受攻击时需要生成报警信息,起提醒作用,使废弃的IP地址及时得以清除。
[0014]可选的,该装置还包括虚拟IP地址删除模块;所述虚拟IP地址删除模块,用于根据所述攻击报警信息,将遭到攻击的目标虚拟IP地址标记为受攻击虚拟IP地址;所述虚拟IP地址删除模块,还用于将所述受攻击虚拟IP地址从所述虚拟IP地址选择段中删除。
[0015]通过采用上述技术方案,利用虚拟IP地址删除模块及时将遭受攻击的虚拟IP地址进行清除,能减少虚拟IP地址的冗余。
[0016]第二方面,本申请提供的一种基于虚拟网络的网络拓扑混淆虚拟方法,采用如下的技术方案:一种基于虚拟网络的网络拓扑混淆虚拟方法,包括:拦截第一网络设备的动态主机配置协议DHCP包;将所述DHCP包中的真实IP地址修改为虚拟IP地址,所述虚拟IP地址为所述真实IP
地址之外的任意私有IP地址;将修改后的所述DHCP包发送至第二网络设备。
[0017]通过采用上述技术方案,为了降低对真实IP的攻击风险,需要利用没有用到的PC,这些PC由于没有投入正常使用,因此每台PC自带的IP地址不容易被攻击者认定为目标IP地址,因此在被拦截模块拦截第一网络设备的动态主机配置协议DHCP包时,需要将DHCP包自带的真实IP地址修改为能够被攻击者识别为目标IP地址的虚拟IP地址,然后将修改完IP地址的DHCP包进行发送,通过虚拟IP地址诱导攻击,能减小对目标PC的真实IP的攻击风险,以提高网络安全性。
[0018]可选的,将所述DHCP包中的真实IP地址修改为虚拟IP地址之前,还包括:当拦截到所述DHCP包时,从所述DHCP包的IP头解析得到真实IP地址;获取多个虚拟IP地址,所有虚拟IP地址均为所述真实IP地址之外的任意私有IP地址。
[0019]通过采用上述技术方案,在修改DHCP包的真实IP地址时,需要先获取DHCP包,然后解析DHCP包的真实IP地址,由于DHCP数据包包括很多数据帧,数据帧包括三部分:帧头、数据部分和帧尾。其中,帧头和帧尾包含一些必要的控制信息,比如同步信息、地址信息、差错控制信息等;数据部分则包含网络层传下来的数据,等等;因此需要先DHCP包的IP头,然后基于IP头解析出DHCP包的真实地址,然后再进行修改;虚拟IP地址为真实IP地址之外的任意私有IP地址,能超过路由器所分配的地址,使可选择的地址数量更多范围本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于虚拟网络的网络拓扑混淆虚拟装置,其特征在于:包括拦截模块(3)、IP地址修改模块(7)及发送模块(8);所述拦截模块(3),用于拦截第一网络设备的动态主机配置协议DHCP包;所述IP地址修改模块(7),用于将所述DHCP包中的真实IP地址修改为虚拟IP地址,所述虚拟IP地址为所述真实IP地址之外的任意私有IP地址;所述发送模块(8),用于将修改后的所述DHCP包发送至第二网络设备。2.根据权利要求1所述的一种基于虚拟网络的网络拓扑混淆虚拟装置,其特征在于:所述基于虚拟网络的网络拓扑混淆虚拟装置还包括虚拟IP地址获取模块(4);所述虚拟IP地址获取模块(4),用于当所述拦截模块(3)拦截到所述DHCP包时,从所述DHCP包的IP头解析得到真实IP地址;所述虚拟IP地址获取模块(4),还用于获取多个虚拟IP地址,所有虚拟IP地址均为所述真实IP地址之外的任意私有IP地址。3.根据权利要求2所述的一种基于虚拟网络的网络拓扑混淆虚拟装置,其特征在于:所述第一网络设备为路由器(2),所述第二网络设备为交换机(1);或,所述第一网络设备为交换机(1),所述第二网络设备为路由器(2);所述虚拟IP地址获取模块(4)包括IP地址段分配单元(5)及IP地址选择单元(6);所述IP地址段分配单元(5),用于将所述路由器(2)分配的地址段作为虚拟IP地址选择段;或,所述IP地址段分配单元(5),用于将所述路由器(2)分配的地址段之外的任意私有IP地址段作为虚拟IP地址选择段;所述IP地址选择单元(6),用于从所述虚拟IP地址选择段中选择出至少一个虚拟IP地址。4.根据权利要求1
‑
3中任意一项所述的一种基于虚拟网络的网络拓扑混淆虚拟装置,其特征在于:该装置还包括攻击报警模块(9);所述攻击报警模块(9),用于当目标虚拟IP地址遭到攻击时,生成攻击报警信息。5.根据权利要求4所述的一种基于虚拟...
【专利技术属性】
技术研发人员:张长河,林奇伟,闫翔宇,王剑辉,
申请(专利权)人:北京卫达信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。