2024年5月16日 星期四

利用Linux實作虛擬網路流量複製器

本實作利用Linux虛擬機實作虛擬網路流量複製器,將實體機內部Inter-VM的東、西向流量複製出來,並透過GRETAP隧道傳送至外部資安偵測設備,進行惡意行為檢測,提升虛擬網路可視性

系統架構如下

於VMware vSS或vDS設定混雜模式Port Group














安裝Traffic Replicator

OS : Ubuntu 22.04.2 LTS

作業系統網路配置















VM網路卡配置



安裝Traffic Forwarder

OS : Ubuntu 22.04.2 LTS

作業系統網路配置










在Traffic Replicator和Traffic Forwarder間建立GRETAP隧道
Traffic Replicator
#ip link add name tun0 type gretap remote 140.110.93.227 local 140.110.93.228
#ip link set tun0 up
#ip addr add 10.0.0.1/24 dev tun0
#brctl addbr br0
#brctl stp br0 off
#brctl addif br0 ens192
#ifconfig br0 up


Traffic Forwarder
#ip link add tun0 type gretap remote 140.110.93.228 local 140.110.93.227
#ip link set tun0 up
#ip addr add 10.0.0.2/24 dev tun0


在Traffic Replicator和Traffic Forwarder上分別設定tc複製流量
Traffic Replicator
#tc qdisc add dev ens192 ingress
#tc filter add dev ens192 parent ffff: protocol all u32 match ip src 140.110.93.229/32 match ip dst 140.110.93.227/32 action mirred egress mirror dev tun0
#tc filter add dev ens192 parent ffff: protocol all u32 match ip src 140.110.93.227/32 match ip dst 140.110.93.229/32 action mirred egress mirror dev tun0

Traffic Forwarder
#tc qdisc add dev tun0 ingress
#tc filter add dev tun0 parent ffff: protocol all u32 match ip src 140.110.93.229/32 match ip dst 140.110.93.227/32 action mirred egress mirror dev eno2
#tc filter add dev tun0 parent ffff: protocol all u32 match ip src 140.110.93.227/32 match ip dst 140.110.93.229/32 action mirred egress mirror dev eno2

沒有留言:

張貼留言