一种网络靶场探针下载和采集上报方法与系统技术方案

本发明专利技术公开了一种网络靶场探针下载和采集上报方法与系统，本发明专利技术在网络靶场控制节点部署socat转发模块，转发unix domain socket到本机的探针服务端；在场景启动后，为需要部署探针客户端软件的容器添加dhcp服务监听ip到metadata服务监听ip的静态路由规则，并调用容器执行命令接口让容器执行下载、安装并启动探针客户端软件；对于部署探针客户端软件的虚拟机和容器所在的网络，在该网络上的命名空间里，创建socat转发到本机的unix domain socket的规则。本发明专利技术统一了虚拟机和容器下载探针软件逻辑，能够仅通过内部网络实现探针下载与采集上报，提高了网络靶场的隔离性和安全性。性。性。

【技术实现步骤摘要】
一种网络靶场探针下载和采集上报方法与系统


[0001]本专利技术涉及一种网络靶场探针下载和采集上报方法与系统，属于网络安全、信息处理


技术介绍

[0002]为掌握网络靶场的运行与进展，需要向靶场环境中注入探针以采集实时状态。如图1所示，现有的探针采集方案通常是基于双网卡的方案，网络靶场内部网络是一个独立网络，只用于网络靶场虚拟机内部通信，虚拟机再通过外部网络与物理网络通信，探针采集信息的传送即通过外部网络进行。现有基于双网卡的探针采集方案在部署时，主要步骤如下：1.用户登录网络靶场平台后，点击启动集成探针服务端的虚拟机和集成探针客户端的虚拟机。2.网络靶场平台根据调度算法选择一个计算节点启动探针服务端虚拟机，并为网卡1分配外网IP地址。3.网络靶场平台根据调度算法选择一个计算节点启动探针客户端虚拟机，并为网卡1分配独立IP地址；为网卡2分配外网IP地址。4.探针客户端虚拟机通过cloud
‑
init下载探针agent软件并安装；探针客户端容器通过docker cp 和docker exec 下载探针agent软件并安本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络靶场探针下载和采集上报方法，其特征在于，包括如下步骤：在网络靶场控制节点部署socat转发模块，转发控制节点的unix domain socket到本机的探针服务端；在靶场场景启动后，对于需要部署探针客户端软件的容器，为其添加dhcp_ip到serverfix_ip的静态路由规则，并调用容器执行命令接口让容器执行下载、安装并启动探针客户端软件；其中dhcp_ip是容器所在网络的dhcp服务对应的监听ip，serverfix_ip是虚拟机管理平台约定的监听metadata服务的ip；对于靶场场景中需要部署探针客户端软件的虚拟机和容器所在的网络，在控制节点上该网络上的命名空间里，创建socat转发serverfix_ip:port到本机的unix domain socket的规则；其中port是探针服务端的监听端口；虚拟机或容器上的探针客户端采集信息并上报到serverfix_ip:port，经控制节点上网络命名空间转发到unix domain socket，进而转发到探针服务端。2. 根据权利要求1所述的网络靶场探针下载和采集上报方法，其特征在于，通过如下配置将控制节点上unix domain socket转发到探针服务端：socat unix
‑
listen:sockfile,fork tcp4:probeserver_ip:port其中，unix
‑
listen:sockfile表示监听自定义的sock文件sockfile，fork tcp4:probeserver_ip:port表示开启新的进程进行tcp4连接到探针服务端的ip和监听端口。3. 根据权利要求1所述的网络靶场探针下载和采集上报方法，其特征在于，通过如下配置转发serverfix_ip:port到unix domain socket：ip netns exec qdhcp
‑
networkuuid socat tcp4
‑
listen:port,bind=serverfix_ip,reuseaddr,fork unix
‑
connect: sockfile其中，qdhcp
‑
networkuuid是探针客户端所在网络的网络命名空间标识，tcp4
‑
listen表示监听tcp4，bind表示服务绑定的ip地址，reuseaddr表示重复使用地址，fork unix
‑
connect: sockfile表示开启新的进程进行unix连接到自定义的sock文件sockfile。4.根据权利要求1所述的网络靶场探针下载和采集上报方法，其特征在于，探针服务端采用wazuh
‑
manager，通过socat转发打通内网虚拟机和容器到serverip的1514和1515端口，转发到外网wazuh
‑
manger监听的1514和1514端口上。5.根据权利要求1所述的网络靶场探针下载和采集上报方法，其特征在于，在靶场场景启动后，对于需要部署探针客户端软件的虚拟机，通过cloud
‑
init方式从serverfix_ip下载并安装探针客户端软件。6. 一种网络靶场探针下载和采集上报系统，其特征在于，包括部署在靶场场景中的虚拟机或容器上的探针客户端，部署在网络靶场控制节点的探针服务端、socat转发模块以及配置模块；所述socat转发模块，用于转发控制节点的unix domain socket到本机的探针服务端；所述配置模块，用于为需要部署探针客户端软件的容器，添加dhcp_ip到serverfix_ip的静态路由规则，并调用容器执行命令接口让容器执行下载、安装并启动探针客户端软件；其中dhcp_ip是容器所在网络的dhcp服务对应的监听ip，serverfix_ip是虚拟机管理平台...

【专利技术属性】
技术研发人员：杨平，谢峥，高庆官，曲原，王鹏，
申请(专利权)人：南京赛宁信息技术有限公司，
类型：发明
国别省市：