本发明涉及网络安全技术领域,特别涉及一种网络攻击处理方法、探针设备和电子设备。
背景技术:
随着科技的发展,计算机网络的普及,人们对网络安全越来越重视。网络攻击的频度、复杂性和烈度呈指数级上升,给网络安全造成了严重威胁。为了积极应对网络攻击,需要构建主动式防御策略。威胁捕捉是一种有效的主动式防御策略,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对网络攻击进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
相关技术中,为了提高诱使攻击方实施攻击的概率,在前端的被监测主机中设置探针,探针将接收到原始数据帧进行解封和封装后,通过第二层隧道协议(layer2tunnelingprotocol,l2tp)等方式发送到后端服务器,实现对网络攻击的检测与模拟。
然而,上述方案中前端探针中网卡的地址与后端服务器对应的网卡的地址是不同的,l2tp等实现隧道协议特征较为明显,攻击者容易识别网络结构差异,导致网络攻击捕获失败。
技术实现要素:
本发明提供了一种网络攻击处理方法、探针设备和电子设备,用以提高网络攻击的捕获成功率。
第一方面,本发明实施例提供一种网络攻击处理方法,应用于探针设备,所述方法包括:
响应通过所述探针设备的第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同;
通过所述第二网卡将所述第二数据帧发送到所述第三网卡,以使所述电子设备基于所述第二数据帧中携带的第一数据帧,从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡,并基于所述目标工作网卡和所述第一数据帧进行网络攻击处理。
上述方案,探针设备通过包含的用于接收其他设备发送的数据帧的网卡(记作第一网卡)中,与第一数据帧的目的地址相同的第一目标网卡接收该第一数据帧,再根据包含的第二网卡的地址和连接的电子设备的第三网卡的地址,对该第一数据帧进行封装得到第二数据帧,通过上述第二网卡发送给电子设备的第三网卡,电子设备根据第二数据帧中携带的第一数据帧,从工作网卡中确定与第一数据帧的目的地址相同的目标工作网卡,而不是直接通过第一目标网卡给目标工作网卡发送该第一数据帧,因此,不需要通过虚拟专用网络(virtualprivatenetwork,vpn)协议再给探针设备的第一网卡分配新的地址,第一网卡的地址与对应的工作网卡的地址相同,即第一网卡的地址就是工作网卡的地址,这样就不需要修改现有网络拓扑,无需配置上述第一网卡的路由,方便了路由管理;并且上述第一网卡的地址与目的地址相同,第一数据帧不需要经过路由就能到达目的地址,发送第一数据帧的其他设备无法通过检测路由表的方式发现环境的异常;通过第二网卡和第三网卡将隧道协议传输伪装成了普通的数据传输,在降低诱捕行为暴露风险的前提下,探针设备通过伪装的普通的数据传输方式将原始的第一数据帧发送给电子设备,提高网络攻击的捕获成功率。
在一些可选的实施方式中,在通过所述第二网卡将所述第二数据帧发送到所述第三网卡之后,还包括:
通过所述第二网卡接收所述电子设备通过所述第三网卡发送的第三数据帧,所述第三数据帧是所述电子设备根据所述第二网卡的地址和所述第三网卡的地址对回复数据帧进行封装得到的,所述回复数据帧是所述电子设备根据所述第一数据帧的发送地址和目的地址对所述第一数据帧中的请求对应的回复数据进行封装得到的;
将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
上述方案,电子设备根据第一数据帧的发送地址和目的地址对第一数据帧中的请求对应的回复数据进行封装得到回复数据帧,再通过第三网卡将根据第二网卡的地址和第三网卡的地址对该回复数据帧进行封装得到的第三数据帧发送给探针设备的第二网卡,探针设备将该第三数据帧解封就能得到原始的回复数据帧,再通过第一目标网卡直接发送给第一数据帧的发送地址对应的设备(发送第一数据帧的其他设备),这样该设备就能得到来自目的地址的回复数据帧,能够进一步引导该设备进行攻击,提高诱捕深度。
在一些可选的实施方式中,根据所述探针设备的第二网卡的地址和连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,包括:
根据所述第二网卡的地址和所述第三网卡的地址确定第一目标段头,并根据所述第一目标段头对所述第一数据帧封装得到第一目标传输控制协议(transmissioncontrolprotocol,tcp)段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第一目标tcp段进行封装,得到所述第二数据帧。
上述方案,探针设备根据第二网卡的地址和第三网卡的地址对第一数据帧封装得到tcp段,再封装得到第二数据帧,即将第一数据帧作为第二数据帧的4层传输控制协议/网际协议(transmissioncontrolprotocol/internetprotocol,tcp/ip)的载荷发送给电子设备,电子设备能够得到反映二层网络特征的原始的第一数据帧。
在一些可选的实施方式中,所述第二网卡与所述第三网卡之间预设有镜像隧道,通过所述第二网卡将所述第二数据帧发送到所述第三网卡,包括:
通过所述第二网卡基于所述镜像隧道将第二数据帧发送到所述第三网卡。
上述方案,通过在第二网卡与第三网卡之间预设特殊的镜像隧道,而不是分别建立每个第一网卡和对应工作网卡的镜像隧道,既保证了电子设备能够收到第一数据帧,又能够很好地将探针设备与电子设备之间的隧道传输伪装成普通的数据传输。
第二方面,本发明实施例提供另一种网络攻击处理方法,应用于电子设备,所述方法包括:
根据通过所述电子设备的第三网卡接收的探针设备的第二网卡发送的第二数据帧,得到所述第二数据帧中携带的第一数据帧,其中,所述第二数据帧是所述探针设备根据所述第二网卡的地址和所述第三网卡的地址对所述第一数据帧进行封装得到,所述第一数据帧是所述探针设备中与所述第一数据帧的目的地址相同的第一目标网卡接收的;
从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡;
基于所述目标工作网卡与所述第一数据帧进行网络攻击处理。
在一些可选的实施方式中,基于所述目标工作网卡与所述第一数据帧进行网络攻击处理,包括:
将所述第一数据帧写入所述目标工作网卡,并确定所述第一数据帧包含的请求对应的回复数据;
根据所述第一数据帧的发送地址和目的地址对所述回复数据进行封装得到回复数据帧;
根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧;
通过所述第三网卡将所述第三数据帧发送到所述第二网卡,以使所述探针设备将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
在一些可选的实施方式中,根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧,包括:
根据所述第二网卡的地址和所述第三网卡的地址确定第二目标段头,并根据所述第二目标段头对所述回复数据帧封装得到第二目标tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第二目标tcp段进行封装,得到所述第三数据帧。
在一些可选的实施方式中,所述第二网卡与所述第三网卡之间预设有镜像隧道,所述第二数据帧是所述第二网卡通过所述镜像隧道发送给所述第三网卡。
第三方面,本发明实施例提供一种网络攻击处理装置,包括:
封装模块,用于响应通过探针设备的第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同;
控制模块,用于通过所述第二网卡将所述第二数据帧发送到所述第三网卡,以使所述电子设备基于所述第二数据帧中携带的第一数据帧,从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡,并基于所述目标工作网卡和所述第一数据帧进行网络攻击处理。
第四方面,本发明实施例提供另一种网络攻击处理装置,包括:
获得模块,用于根据通过电子设备的第三网卡接收的探针设备的第二网卡发送的第二数据帧,得到所述第二数据帧中携带的第一数据帧,其中,所述第二数据帧是所述探针设备根据所述第二网卡的地址和所述第三网卡的地址对所述第一数据帧进行封装得到,所述第一数据帧是所述探针设备中与所述第一数据帧的目的地址相同的第一目标网卡接收的;
确定模块,用于从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡;
攻击处理模块,用于基于所述目标工作网卡与所述第一数据帧进行网络攻击处理。
第五方面,本发明实施例提供一种探针设备,包括:处理器以及存储器;
其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行如上述第一方面所述方法的步骤。
第六方面,本发明实施例提供一种电子设备,包括:处理器以及存储器;
其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行如上述第二方面所述方法的步骤。
第七方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面或者第二方面所述方法的步骤。
另外,第二方面至第七方面中任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的第一种应用场景示意图;
图2为本发明实施例提供的第二种应用场景示意图;
图3为本发明实施例提供的第一种网络攻击处理方法的交互流程图;
图4为本发明实施例提供的第二种网络攻击处理方法的交互流程图;
图5为本发明实施例提供的第三种网络攻击处理方法的交互流程图;
图6为本发明实施例提供的第二数据帧的结构示意图;
图7为本发明实施例提供的第一种网络攻击处理方法的示意流程图;
图8为本发明实施例提供的第二种网络攻击处理方法的示意流程图;
图9为本发明实施例提供的第一种网络攻击处理装置的结构示意图;
图10为本发明实施例提供的第二种网络攻击处理装置的结构示意图;
图11为本发明实施例提供的一种探针设备的示意框图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“连接”应做广义理解,例如,可以是直接相连,也可以通过中间媒介间接相连,可以是两个器件内部的连通。对于本领域的普通技术人员而言,可以视具体情况理解上述术语在本申请中的具体含义。
威胁捕捉是一种有效的主动式防御策略,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对网络攻击进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
为了提高诱使攻击方实施攻击的概率,在前端的被监测主机中设置探针,探针将接收到原始数据帧进行解封和封装后,通过l2tp等方式发送到后端服务器,实现对网络攻击的检测与模拟。
在一些实施例中,前端探针中网卡的地址与后端服务器对应的网卡的地址是不同的,参阅图1,以后端服务器包含网卡1、网卡2、网卡3和网卡4,前端探针包含网卡5、网卡6、网卡7和网卡8,网卡1与网卡5对应,网卡2与网卡6对应,网卡3与网卡7对应,网卡4与网卡8对应为例进行说明,网卡5收到数据帧之后通过l2tp协议发送给网卡5,因此网卡1(图中以地址1为例)与网卡5(图中以地址5为例)的地址必然是不同的,需要给网卡5分配地址,并将网卡5的地址配置到路由表。攻击者a要将原始数据帧发送给地址1,原始数据帧路由到前端探针的网卡5,然后才能到达地址1对应的网卡1。攻击者a通过检测路由表即可发现网络结构异常,即接收原始数据帧的网卡5的地址5并不是目的地址-地址1,这时,攻击者a可能就会放弃攻击,不再继续发送数据,导致后端服务器网络攻击捕获失败。
同样,网卡2(图中以地址2为例)与网卡6(图中以地址6为例)的地址不相同,网卡3(图中以地址3为例)与网卡7(图中以地址7为例)的地址不相同,网卡4(图中以地址4为例)与网卡8(图中以地址8为例)的地址也不相同。攻击者a要将原始数据帧发送给地址2、3或者4,也会存在上述问题。
本发明实施例为了减少诱捕行为暴露,提高网络攻击的捕获成功率,提供了一种网络攻击处理方法、探针设备和电子设备,下面结合附图及具体实施例对本发明作进一步详细的说明。
如图2所示,其为本发明实施例的第二种应用场景示意图。该应用场景图中包括探针设备110和电子设备120,电子设备120包含至少一个工作网卡(图2中以网卡1、网卡2、网卡3和网卡4为例,实际中可以更多或者更少),探针设备110包含与上述工作网卡地址相同的接收其他设备发送的数据帧的第一网卡(图2中以第一网卡包括网卡5、网卡6、网卡7和网卡8,网卡1与网卡5地址相同,网卡2与网卡6地址相同,网卡3与网卡7地址相同,网卡4与网卡8地址相同为例进行说明)。此外,上述电子设备120还包含一个与探针设备110进行通信的第三网卡,探针设备110还包含一个与电子设备120进行通信的第二网卡。
该场景中,探针设备110响应通过接收上述第一网卡中与第一数据帧的目的地址相同的第一目标网卡接收的第一数据帧,根据上述第二网卡的地址和上述第三网卡的地址,对该第一数据帧进行封装得到第二数据帧;
探针设备110通过所述第二网卡将所述第二数据帧发送到所述第三网卡。
电子设备120根据通过第三网卡接收的第二数据帧,得到所述第二数据帧中携带的第一数据帧;
电子设备120从上述工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡;
电子设备120基于所述目标工作网卡与所述第一数据帧进行网络攻击处理。
在本发明实施例中,探针设备可以是个人计算机、手机、平板电脑、笔记本等设备。
电子设备120包括一组或者多组服务器,服务器可以一类或多类。
上述应用场景只是实现本发明实施例的应用场景的示例,本发明实施例并不限于上述应用场景,如上述探针设备的工作网卡和电子设备的第一网卡的数量可以根据实际应用场景设定。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图3为本发明实施例提供的第一种网络攻击处理方法的交互流程图,如图3所示,该方法可以包括:
步骤301:探针设备响应通过第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧。
其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同。
本实施例,上述电子设备包含至少一个工作网卡,探针设备包含与该电子设备的工作网卡的数量相同的接收其他设备发送的数据帧的第一网卡,每个第一网卡与一个工作网卡对应,且地址相同。探针设备通过第一网卡中与其他设备发送的第一数据帧的目的地址相同的第一目标网卡接收该第一数据帧。即第一数据帧的目的地址的网卡直接接收了第一数据帧,而不是通过路由,其他地址对应的网卡先接收其他设备发送第一数据帧,再转给目的地址的网卡。
参阅上述图2所示,电子设备120的工作网卡包括网卡1、网卡2、网卡3和网卡4,探针设备110的第一网卡包括网卡5、网卡6、网卡7和网卡8,网卡1与网卡5地址相同,网卡2与网卡6地址相同,网卡3与网卡7地址相同,网卡4与网卡8地址相同。攻击者a要将第一数据帧发送给地址1,探针设备的网卡5的地址就是地址1,第一数据帧直接就能到达探针设备的网卡5。
本实施例,探针设备只是作为诱饵的设备,探针设备不需要对第一数据帧本身进行解封装等任何处理,只需将上述第一数据帧发送给连接的后端的电子设备,电子设备根据第一数据帧对网络攻击进行捕获和分析。
由于本实施例中每个第一网卡与对应的工作网卡地址相同,相同的两个地址无法直接进行数据传输,基于此,探针设备需要通过除第一网卡之外的第二网卡将第一数据帧发送给电子设备除工作网卡之外的第三网卡,第二网卡和第三网卡的地址不同。第二网卡进行数据传输前,需要先根据第二网卡的地址和第三网卡的地址对第一数据帧进行封装,才能将第一数据帧正确地发送给第三网卡。
步骤302:探针设备通过所述第二网卡将所述第二数据帧发送到所述第三网卡。
如上所述,探针设备只是作为诱饵的设备,电子设备根据第一数据帧对网络攻击进行捕获和分析。基于此,探针设备需要将携带第一数据帧的第二数据帧发送给电子设备。
在一些具体的实施例中,第二网卡与第三网卡之间预设有镜像隧道,通过所述第二网卡基于所述镜像隧道将第二数据帧发送到所述第三网卡。也就是说,虽然探针设备中每个第一网卡与电子设备中对应的工作网卡地址相同,但是通过构建一个特殊的点(第二网卡)到点(第三网卡)流量镜像隧道,可直接将从第二网卡发送的数据传输给第三网卡。
通过在第二网卡与第三网卡之间预设特殊的镜像隧道,而不是分别建立每个第一网卡和对应工作网卡的镜像隧道,既保证了电子设备能够收到第一数据帧,又能够很好地将探针设备与电子设备之间的隧道传输伪装成普通的数据传输。
步骤303:电子设备根据通过所述第三网卡接收的第二数据帧,得到所述第二数据帧中携带的第一数据帧。
如上所述,本实施例电子设备需要根据第一数据帧对网络攻击进行捕获和分析,但是接收的是携带第一数据帧的第二数据帧,基于此,通过对第二数据帧解封装就能得到第一数据帧。
步骤304:电子设备从工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡。
本实施例,解封得到的第一数据帧是个数据帧,而不是真正的请求数据,基于此,还需要确定这个第一数据帧的目的地址对应的目标工作网卡,才能写入到这个目标工作网卡中,确定收到的是数据帧,需要进行后续解封装。
步骤305:电子设备基于所述目标工作网卡与所述第一数据帧进行网络攻击处理。
本实施例,电子设备确定第一数据帧和对应的目标工作网卡,就能将第一数据帧写入目标工作网卡,电子设备根据写入目标工作网卡的第一数据帧进行解封装,进而电子设备根据第一数据帧携带的请求,进行如记录请求、根据请求确定回复数据等操作。
上述方案,探针设备通过包含的用于接收其他设备发送的数据帧的网卡(记作第一网卡)中,与第一数据帧的目的地址相同的第一目标网卡接收该第一数据帧,再根据包含的第二网卡的地址和连接的电子设备的第三网卡的地址,对该第一数据帧进行封装得到第二数据帧,通过上述第二网卡发送给电子设备的第三网卡,电子设备根据第二数据帧中携带的第一数据帧,从工作网卡中确定与第一数据帧的目的地址相同的目标工作网卡,而不是直接通过第一目标网卡给目标工作网卡发送该第一数据帧,因此,不需要通过vpn协议再给探针设备的第一网卡分配新的地址,第一网卡的地址与对应的工作网卡的地址相同,即第一网卡的地址就是工作网卡的地址,这样就不需要修改现有网络拓扑,无需配置上述第一网卡的路由,方便了路由管理;并且上述第一网卡的地址与目的地址相同,第一数据帧不需要经过路由就能到达目的地址,发送第一数据帧的其他设备无法通过检测路由表的方式发现环境的异常;通过第二网卡和第三网卡将隧道协议传输伪装成了普通的数据传输,在降低诱捕行为暴露风险的前提下,探针设备通过伪装的普通的数据传输方式将原始的第一数据帧发送给电子设备,提高网络攻击的捕获成功率。
图4为本发明实施例提供的第二种网络攻击处理方法的交互流程图,如图4所示,该方法可以包括:
步骤401:探针设备响应通过第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧。
其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同。
步骤402:探针设备通过所述第二网卡将所述第二数据帧发送到所述第三网卡。
步骤403:电子设备根据通过所述第三网卡接收的第二数据帧,得到所述第二数据帧中携带的第一数据帧。
步骤404:电子设备从工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡。
该步骤401-404与上述步骤301-304实现方式相同,此处不再赘述。
步骤405:电子设备将所述第一数据帧写入所述目标工作网卡,并确定所述第一数据帧包含的请求对应的回复数据。
本实施例,电子设备在将第一数据帧写入目标工作网卡后,通过对第一数据帧进行解封装就能得到第一数据帧携带的请求。如果不对发送第一数据帧的其他设备进行回复,就会探针设备与该设备的通信就会中断,这样就没办法进一步引导该设备进行攻击。基于此,需要先确定第一数据帧携带的请求对应的回复数据。
本实施例,对回复数据的具体实现方式不做限定,不同请求类型,对应不同类型的回复数据,例如:
1)第一数据帧携带的请求为写入请求,回复数据为写入结果,如写入成功或者写入失败;
2)第一数据帧携带的请求为获得请求,回复数据为请求对应的数据库中的数据。
上述请求类型只是示例性说明,实际可能出现的请求类型有很多种,此处不再一一举例。
步骤406:电子设备根据所述第一数据帧的发送地址和目的地址对所述回复数据进行封装得到回复数据帧。
本实施例,针对所有的回复数据,电子设备都要通过第二网卡发送第三网卡,如果直接根据第二网卡的地址和第三网卡的地址封装回复数据得到数据帧,探针设备收到该数据帧就无法确定该数据帧是要通过哪个第一网卡发送到哪个地址。
基于此,需要先根据第一数据帧的发送地址和目的地址对回复数据进行封装得到回复数据帧,这个回复数据帧就是直接回复给发送第一数据帧的其它设备的数据帧,并且携带了第一数据帧的发送地址和目的地址,这样探针设备根据目的地址就能确定回复数据帧对应的第一网卡,根据发送地址就能确定需要发送到哪个地址。
步骤407:电子设备根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧。
步骤408:电子设备通过所述第三网卡将所述第三数据帧发送到所述第二网卡。
本实施例,电子设备在封装得到回复数据帧后,需要通过第二网卡发送给第三网卡,基于此,还要根据第二网卡和第三网卡的地址对回复数据帧进行封装,得到第三数据帧,通过第三网卡将该第三数据帧发送给第二网卡。
在一些具体的实施例中,第二网卡与第三网卡之间预设有镜像隧道,通过所述第三网卡基于所述镜像隧道将第三数据帧发送到所述第二网卡。也就是说,虽然探针设备中每个第一网卡与电子设备中对应的工作网卡地址相同,但是通过构建一个特殊的点到点流量镜像隧道,可直接将第三网卡发送的数据传输给第二网卡。
步骤409:探针设备将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
本实施例,探针设备接收的是携带回复数据帧的第三数据帧,探针设备需要将回复数据帧发送给第一数据帧的发送地址对应的设备。基于此,需要先将第三数据帧解封得到回复数据帧,确定与回复数据帧的发送地址(第一数据帧的目的地址)相同的第一目标网卡,并确定回复数据帧的目的地址(第一数据帧的发送地址),直接将回复数据帧通过所述第一目标网卡发送给第一数据帧的发送地址对应的设备。
上述方案,电子设备根据第一数据帧的发送地址和目的地址对第一数据帧中的请求对应的回复数据进行封装得到回复数据帧,再通过第三网卡将根据第二网卡的地址和第三网卡的地址对该回复数据帧进行封装得到的第三数据帧发送给探针设备的第二网卡,探针设备将该第三数据帧解封就能得到原始的回复数据帧,再通过第一目标网卡直接发送给第一数据帧的发送地址对应的设备(发送第一数据帧的其他设备),这样该设备就能得到来自目的地址的回复数据帧,能够进一步引导该设备进行攻击,提高诱捕深度。
图5为本发明实施例提供的第三种网络攻击处理方法的交互流程图,如图5所示,该方法可以包括:
步骤501:探针设备响应通过第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址确定第一目标段头,并根据所述第一目标段头对所述第一数据帧封装得到第一目标tcp段。
其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同。
步骤502:探针设备根据所述第二网卡的地址和所述第三网卡的地址,对所述第一目标tcp段进行封装,得到所述第二数据帧。
本实施例,探针设备只是作为诱饵的设备,不需要对第一数据帧本身进行解封装等任何处理,只要将上述第一数据帧发送给连接的后端的电子设备,基于此,可将第一数据帧作为第二数据帧的4层tcp/ip协议的载荷发送给电子设备。
示例性的,第二网卡的地址包括第二网卡对应的第二媒体存取控制(mediaaccesscontrol,mac)地址、第二网际协议(internetprotocol,ip)地址和第二端口号,第三网卡的地址包括第三网卡对应的第三mac地址、第三ip地址和第三端口号;
探针设备通过传输层将第二端口号作为第一发送端口,将第三端口号作为第一目的端口,根据第一发送端口和第一目的端口确定第一目标段头,为上述第一数据帧添加第一目标段头,得到第一目标tcp段;
通过网络层将第二ip地址作为第一发送ip,将第三ip地址作为第一目的ip,根据第一发送ip和第一目的ip确定第一目标包头,为上述第一目标tcp段添加第一目标包头,得到第一目标ip包;
通过数据链路层将第二mac地址作为第一发送mac,将第三mac地址作为第一目的mac,根据第一发送mac和第一目的mac确定第一目标帧头,同时创建携带有帧校验序列的第一目标帧尾,为上述第一目标ip包添加第一目标帧头和第一目标帧尾,得到第二数据帧。
参阅图6所示,为第二数据帧的结构示意图。
上述得到第二数据帧的过程只是示例性说明,不作为对本实施例的限定。
步骤503:探针设备通过所述第二网卡将所述第二数据帧发送到所述第三网卡。
步骤504:电子设备根据通过所述第三网卡接收的第二数据帧,得到所述第二数据帧中携带的第一数据帧。
示例性的,与上述得到所述第二数据帧的过程对应,电子设备通过数据链路层去掉第二数据帧的帧头和帧尾,得到上述第一目标ip包;通过网络层去掉第一目标ip包的包头,得到上述第一目标tcp段;通过传输层去掉第一目标tcp段的段头,得到第一数据帧。
步骤505:电子设备从工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡。
该步骤503-505与上述步骤302-304实现方式相同,此处不再赘述。
步骤506:电子设备将所述第一数据帧写入所述目标工作网卡,并确定所述第一数据帧包含的请求对应的回复数据。
步骤507:电子设备根据所述第一数据帧的发送地址和目的地址对所述回复数据进行封装得到回复数据帧。
该步骤506-507与上述步骤405-406的实现方式相同,此处不再赘述。
步骤508:电子设备根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧。
还是以第二网卡的地址包括第二网卡对应的第二mac地址、第二ip地址和第二端口号,第三网卡的地址包括第三网卡对应的第三mac地址、第三ip地址和第三端口号为例:
探针设备通过传输层将第二端口号作为第二目的端口,将第三端口号作为第二发送端口,根据第二发送端口和第二目的端口确定第二目标段头,为上述回复数据帧添加第二目标段头,得到第二目标tcp段;
通过网络层将第二ip地址作为第二目的ip,将第三ip地址作为第二发送ip,根据第二发送ip和第二目的ip确定第二目标包头,为上述第二目标tcp段添加第二目标包头,得到第二目标ip包;
通过数据链路层将第二mac地址作为第二目的mac,将第三mac地址作为第二发送mac,根据第二发送mac和第二目的mac确定第二目标帧头,同时创建携带有帧校验序列的第二目标帧尾,为上述第二目标ip包添加第二目标帧头和第二目标帧尾,得到第三数据帧。
上述得到第三数据帧的过程只是示例性说明,不作为对本实施例的限定。
第三数据帧的结构与上述第二数据帧的结构类似,此处不再赘述。
步骤509:电子设备通过所述第三网卡将所述第三数据帧发送到所述第二网卡。
该步骤509与上述步骤408的实现方式相同,此处不再赘述。
步骤510:探针设备将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
示例性的,与上述得到所述第三数据帧的过程对应,探针设备通过数据链路层去掉第三数据帧的帧头和帧尾,得到上述第二目标ip包;通过网络层去掉第二目标ip包的包头,得到上述第二目标tcp段;通过传输层去掉第二目标tcp段的段头,得到回复数据帧。
上述方案,探针设备根据第二网卡的地址和第三网卡的地址对第一数据帧封装得到tcp段,再封装得到第二数据帧,即将第一数据帧作为第二数据帧的4层tcp/ip协议的载荷发送给电子设备,电子设备能够得到反映二层网络特征的原始的第一数据帧;电子设备根据第二网卡的地址和第三网卡的地址对回复数据帧封装得到tcp段,再封装得到第三数据帧,即将回复数据帧作为第三数据帧的4层tcp/ip协议的载荷发送给探针设备,探针设备能够得到原始的回复数据帧,可直接将回复数据帧发送给回复数据帧中目的地址。
其中,上述实施例提到的网卡,既可以为实体网卡,也可以为虚拟网卡,本实施例对此不做限定。
在本发明实施例中,探针设备执行的网络攻击处理方法如图7所示,包括如下步骤:
步骤701:响应通过所述探针设备的第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧。
其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同。
步骤702:通过所述第二网卡将所述第二数据帧发送到所述第三网卡,以使所述电子设备基于所述第二数据帧中携带的第一数据帧,从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡,并基于所述目标工作网卡和所述第一数据帧进行网络攻击处理。
在一些可选的实施方式中,在步骤702之后,还包括:
通过所述第二网卡接收所述电子设备通过所述第三网卡发送的第三数据帧,所述第三数据帧是所述电子设备根据所述第二网卡的地址和所述第三网卡的地址对回复数据帧进行封装得到的,所述回复数据帧是所述电子设备根据所述第一数据帧的发送地址和目的地址对所述第一数据帧中的请求对应的回复数据进行封装得到的;
将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
在一些可选的实施方式中,根据所述探针设备的第二网卡的地址和连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,包括:
根据所述第二网卡的地址和所述第三网卡的地址确定第一目标段头,并根据所述第一目标段头对所述第一数据帧封装得到第一目标tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第一目标tcp段进行封装,得到所述第二数据帧。
在一些可选的实施方式中,所述第二网卡与所述第三网卡之间预设有镜像隧道,通过所述第二网卡将所述第二数据帧发送到所述第三网卡,包括:
通过所述第二网卡基于所述镜像隧道将第二数据帧发送到所述第三网卡。
本发明实施例中,电子设备执行的网络攻击处理方法如图8所示,包括如下步骤:
步骤s801:根据通过所述电子设备的第三网卡接收的探针设备的第二网卡发送的第二数据帧,得到所述第二数据帧中携带的第一数据帧。
其中,所述第二数据帧是所述探针设备根据所述第二网卡的地址和所述第三网卡的地址对所述第一数据帧进行封装得到,所述第一数据帧是所述探针设备中与所述第一数据帧的目的地址相同的第一目标网卡接收的。
步骤s802:从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡。
步骤s803:基于所述目标工作网卡与所述第一数据帧进行网络攻击处理。
在一些可选的实施方式中,基于所述目标工作网卡与所述第一数据帧进行网络攻击处理,包括:
将所述第一数据帧写入所述目标工作网卡,并确定所述第一数据帧包含的请求对应的回复数据;
根据所述第一数据帧的发送地址和目的地址对所述回复数据进行封装得到回复数据帧;
根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧;
通过所述第三网卡将所述第三数据帧发送到所述第二网卡,以使所述探针设备将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
在一些可选的实施方式中,根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧,包括:
根据所述第二网卡的地址和所述第三网卡的地址确定第二目标段头,并根据所述第二目标段头对所述回复数据帧封装得到第二目标tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第二目标tcp段进行封装,得到所述第三数据帧。
在一些可选的实施方式中,所述第二网卡与所述第三网卡之间预设有镜像隧道,所述第二数据帧是所述第二网卡基于所述镜像隧道发送给所述第三网卡。
图7和图8实施例的具体实现方式可以参见上述交互方法的实施,重复之处不再赘述。
如图9所示,基于与图7所示的网络攻击处理方法相同的发明构思,本发明实施例提供第一种网络攻击处理装置900,包括:
封装模块901,用于响应通过探针设备的第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同;
控制模块902,用于通过所述第二网卡将所述第二数据帧发送到所述第三网卡,以使所述电子设备基于所述第二数据帧中携带的第一数据帧,从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡,并基于所述目标工作网卡和所述第一数据帧进行网络攻击处理。
在一些可选的实施方式中,在控制模块902通过所述第二网卡将所述第二数据帧发送到所述第三网卡之后,还用于:
通过所述第二网卡接收所述电子设备通过所述第三网卡发送的第三数据帧,所述第三数据帧是所述电子设备根据所述第二网卡的地址和所述第三网卡的地址对回复数据帧进行封装得到的,所述回复数据帧是所述电子设备根据所述第一数据帧的发送地址和目的地址对所述第一数据帧中的请求对应的回复数据进行封装得到的;
将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
在一些可选的实施方式中,封装模块901根据所述探针设备的第二网卡的地址和连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,包括:
根据所述第二网卡的地址和所述第三网卡的地址确定第一目标段头,并根据所述第一目标段头对所述第一数据帧封装得到第一目标tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第一目标tcp段进行封装,得到所述第二数据帧。
在一些可选的实施方式中,所述第二网卡与所述第三网卡之间预设有镜像隧道,控制模块902通过所述第二网卡将所述第二数据帧发送到所述第三网卡,包括:
通过所述第二网卡基于所述镜像隧道将第二数据帧发送到所述第三网卡。
如图10所示,基于与图8所示的网络攻击处理方法相同的发明构思,本发明实施例提供第二种网络攻击处理装置1000,包括:
获得模块1001,用于根据通过电子设备的第三网卡接收的探针设备的第二网卡发送的第二数据帧,得到所述第二数据帧中携带的第一数据帧,其中,所述第二数据帧是所述探针设备根据所述第二网卡的地址和所述第三网卡的地址对所述第一数据帧进行封装得到,所述第一数据帧是所述探针设备中与所述第一数据帧的目的地址相同的第一目标网卡接收的;
确定模块1002,用于从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡;
攻击处理模块1003,用于基于所述目标工作网卡与所述第一数据帧进行网络攻击处理。
在一些可选的实施方式中,攻击处理模块1003基于所述目标工作网卡与所述第一数据帧进行网络攻击处理,包括:
将所述第一数据帧写入所述目标工作网卡,并确定所述第一数据帧包含的请求对应的回复数据;
根据所述第一数据帧的发送地址和目的地址对所述回复数据进行封装得到回复数据帧;
根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧;
通过所述第三网卡将所述第三数据帧发送到所述第二网卡,以使所述探针设备将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
在一些可选的实施方式中,攻击处理模块1003根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧,包括:
根据所述第二网卡的地址和所述第三网卡的地址确定第二目标段头,并根据所述第二目标段头对所述回复数据帧封装得到第二目标tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第二目标tcp段进行封装,得到所述第三数据帧。
在一些可选的实施方式中,所述第二网卡与所述第三网卡之间预设有镜像隧道,所述第二数据帧是所述第二网卡基于所述镜像隧道发送给所述第三网卡。
如图11所示,基于与图7所示的网络攻击处理方法相同的发明构思,本发明实施例提供一种探针设备1100,包括:处理器1101和存储器1102;
存储器1102,用于存储处理器1101执行的计算机程序。存储器1102可以是易失性存储器(volatilememory),例如随机存取存储器(random-accessmemory,ram);存储器1102也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flashmemory),硬盘(harddiskdrive,hdd)或固态硬盘(solid-statedrive,ssd)、或者存储器1102是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1102可以是上述存储器的组合。
处理器1101,可以包括一个或多个中央处理单元(centralprocessingunit,cpu),图形处理单元(graphicsprocessingunit,gpu)或者为数字处理单元等等。
本发明实施例中不限定上述存储器1102和处理器1101之间的具体连接介质。本发明实施例在图11中以存储器1102和处理器1101之间通过总线1103连接,总线1103在图11中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线1103可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器1101执行下列过程:
响应通过所述探针设备的第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同;
通过所述第二网卡将所述第二数据帧发送到所述第三网卡,以使所述电子设备基于所述第二数据帧中携带的第一数据帧,从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡,并基于所述目标工作网卡和所述第一数据帧进行网络攻击处理。
在一些可选的实施方式中,处理器1101还用于:
在通过所述第二网卡将所述第二数据帧发送到所述第三网卡之后,通过所述第二网卡接收所述电子设备通过所述第三网卡发送的第三数据帧,所述第三数据帧是所述电子设备根据所述第二网卡的地址和所述第三网卡的地址对回复数据帧进行封装得到的,所述回复数据帧是所述电子设备根据所述第一数据帧的发送地址和目的地址对所述第一数据帧中的请求对应的回复数据进行封装得到的;
将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
在一些可选的实施方式中,处理器1101具体用于:
根据所述第二网卡的地址和所述第三网卡的地址确定第一目标段头,并根据所述第一目标段头对所述第一数据帧封装得到第一目标tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第一目标tcp段进行封装,得到所述第二数据帧。
在一些可选的实施方式中,所述第二网卡与所述第三网卡之间预设有镜像隧道,处理器1101具体用于:
通过所述第二网卡基于所述镜像隧道将第二数据帧发送到所述第三网卡。
基于与图8所示的网络攻击处理方法相同的发明构思,本发明实施例提供一种电子设备,包括:处理器和存储器;
存储器,用于存储处理器执行的计算机程序。存储器可以是易失性存储器(volatilememory),例如随机存取存储器(random-accessmemory,ram);存储器也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flashmemory),硬盘(harddiskdrive,hdd)或固态硬盘(solid-statedrive,ssd)、或者存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是上述存储器的组合。
处理器,可以包括一个或多个中央处理单元(centralprocessingunit,cpu),图形处理单元(graphicsprocessingunit,gpu)或者为数字处理单元等等。
本发明实施例中不限定上述存储器和处理器之间的具体连接介质。
其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行下列过程:
根据通过所述电子设备的第三网卡接收的探针设备的第二网卡发送的第二数据帧,得到所述第二数据帧中携带的第一数据帧,其中,所述第二数据帧是所述探针设备根据所述第二网卡的地址和所述第三网卡的地址对所述第一数据帧进行封装得到,所述第一数据帧是所述探针设备中与所述第一数据帧的目的地址相同的第一目标网卡接收的;
从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡;
基于所述目标工作网卡与所述第一数据帧进行网络攻击处理。
在一些可选的实施方式中,所述处理器具体用于:
将所述第一数据帧写入所述目标工作网卡,并确定所述第一数据帧包含的请求对应的回复数据;
根据所述第一数据帧的发送地址和目的地址对所述回复数据进行封装得到回复数据帧;
根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧;
通过所述第三网卡将所述第三数据帧发送到所述第二网卡,以使所述探针设备将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
在一些可选的实施方式中,所述处理器具体用于:
根据所述第二网卡的地址和所述第三网卡的地址确定第二目标段头,并根据所述第二目标段头对所述回复数据帧封装得到第二目标tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第二目标tcp段进行封装,得到所述第三数据帧。
在一些可选的实施方式中,所述第二网卡与所述第三网卡之间预设有镜像隧道,所述第二数据帧是所述第二网卡通过所述镜像隧道发送给所述第三网卡。
在一些具体的实施例中,上述代码采用rust(一种系统编程语言)语言编程;另外一些具体的实施例中,上述代码采用c/c++(一种系统编程语言)语言编程。
本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述网络攻击处理方法的步骤。其中,可读存储介质可以为非易失可读存储介质。
在一些具体的实施例中,计算机程序采用rust语言编程;另外一些具体的实施例中,计算机程序采用c/c++语言编程。
以上参照示出根据本发明实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程网络攻击处理装置,以产生机器,使得经由计算机处理器和/或其它可编程网络攻击处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行系统、装置或设备使用,或结合指令执行系统、装置或设备使用。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
1.一种网络攻击处理方法,其特征在于,应用于探针设备,所述方法包括:
响应通过所述探针设备的第一目标网卡接收的第一数据帧,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,其中,所述第一目标网卡的地址与所述第一数据帧的目的地址相同;
通过所述第二网卡将所述第二数据帧发送到所述第三网卡,以使所述电子设备基于所述第二数据帧中携带的第一数据帧,从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡,并基于所述目标工作网卡和所述第一数据帧进行网络攻击处理。
2.根据权利要求1所述的方法,其特征在于,在通过所述第二网卡将所述第二数据帧发送到所述第三网卡之后,还包括:
通过所述第二网卡接收所述电子设备通过所述第三网卡发送的第三数据帧,所述第三数据帧是所述电子设备根据所述第二网卡的地址和所述第三网卡的地址对回复数据帧进行封装得到的,所述回复数据帧是所述电子设备根据所述第一数据帧的发送地址和目的地址对所述第一数据帧中的请求对应的回复数据进行封装得到的;
将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
3.根据权利要求1所述的方法,其特征在于,根据所述探针设备的第二网卡的地址和所述探针设备连接的电子设备的第三网卡的地址,对所述第一数据帧进行封装得到第二数据帧,包括:
根据所述第二网卡的地址和所述第三网卡的地址确定第一目标段头,并根据所述第一目标段头对所述第一数据帧封装得到第一目标传输控制协议tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第一目标tcp段进行封装,得到所述第二数据帧。
4.根据权利要求1~3任一所述的方法,其特征在于,所述第二网卡与所述第三网卡之间预设有镜像隧道,通过所述第二网卡将所述第二数据帧发送到所述第三网卡,包括:
通过所述第二网卡基于所述镜像隧道将第二数据帧发送到所述第三网卡。
5.一种网络攻击处理方法,其特征在于,应用于电子设备,所述方法包括:
根据通过所述电子设备的第三网卡接收的探针设备的第二网卡发送的第二数据帧,得到所述第二数据帧中携带的第一数据帧,其中,所述第二数据帧是所述探针设备根据所述第二网卡的地址和所述第三网卡的地址对所述第一数据帧进行封装得到,所述第一数据帧是所述探针设备中与所述第一数据帧的目的地址相同的第一目标网卡接收的;
从所述电子设备的工作网卡中确定与所述第一数据帧的目的地址相同的目标工作网卡;
基于所述目标工作网卡与所述第一数据帧进行网络攻击处理。
6.根据权利要求5所述的方法,其特征在于,基于所述目标工作网卡与所述第一数据帧进行网络攻击处理,包括:
将所述第一数据帧写入所述目标工作网卡,并确定所述第一数据帧包含的请求对应的回复数据;
根据所述第一数据帧的发送地址和目的地址对所述回复数据进行封装得到回复数据帧;
根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧;
通过所述第三网卡将所述第三数据帧发送到所述第二网卡,以使所述探针设备将所述第三数据帧解封得到的回复数据帧通过所述第一目标网卡发送给所述第一数据帧的发送地址对应的设备。
7.根据权利要求6所述的方法,其特征在于,根据所述第二网卡的地址和所述第三网卡的地址对所述回复数据帧进行封装得到第三数据帧,包括:
根据所述第二网卡的地址和所述第三网卡的地址确定第二目标段头,并根据所述第二目标段头对所述回复数据帧封装得到第二目标tcp段;
根据所述第二网卡的地址和所述第三网卡的地址,对所述第二目标tcp段进行封装,得到所述第三数据帧。
8.根据权利要求5~7任一所述的方法,其特征在于,所述第二网卡与所述第三网卡之间预设有镜像隧道,所述第二数据帧是所述第二网卡通过所述镜像隧道发送给所述第三网卡。
9.一种探针设备,其特征在于,包括一个或多个处理器,以及用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1~4任一项所述的网络攻击处理方法。
10.一种电子设备,其特征在于,包括一个或多个处理器,以及用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求5~8任一项所述的网络攻击处理方法。
技术总结