本發(fā)明涉及一種在分布式網(wǎng)絡(luò)靶場(chǎng)中，能夠使用單個(gè)ip地址，訪問分布在不同宿主機(jī)中的虛擬機(jī)或容器的方法與系統(tǒng)，屬于網(wǎng)絡(luò)安全。

背景技術(shù)：

1、在使用網(wǎng)絡(luò)靶場(chǎng)時(shí)，會(huì)在云環(huán)境中創(chuàng)建出很多的虛擬機(jī)或者容器。在絕大多數(shù)的業(yè)務(wù)場(chǎng)景中，都需要在瀏覽器中直接訪問虛擬機(jī)或者容器。目前，有很多遠(yuǎn)程桌面訪問技術(shù)可以實(shí)現(xiàn)這樣的需求，比如guacamole、freerdp等。訪問不同的虛擬機(jī)或者容器目標(biāo)時(shí)，這些軟件可以給每個(gè)機(jī)器生成一個(gè)獨(dú)立的url，可以在瀏覽器中直接訪問。

2、為了能夠仿真大規(guī)模的網(wǎng)絡(luò)場(chǎng)景，網(wǎng)絡(luò)靶場(chǎng)往往會(huì)設(shè)計(jì)成分布式的，即由一個(gè)控制機(jī)節(jié)點(diǎn)和多個(gè)計(jì)算節(jié)點(diǎn)組成。因此虛擬機(jī)和容器會(huì)分散在不同的計(jì)算節(jié)點(diǎn)中。在使用遠(yuǎn)程桌面軟件生成訪問url時(shí)，其ip不同，端口也可能會(huì)不同。

3、出于安全需要，網(wǎng)絡(luò)靶場(chǎng)系統(tǒng)一般會(huì)使用單ip模式，即只會(huì)對(duì)外暴露控制節(jié)點(diǎn)的ip。此時(shí)為了能夠訪問不同計(jì)算節(jié)點(diǎn)上的虛擬機(jī)或者容器，一般會(huì)采用端口映射，借助代理工具，在訪問控制節(jié)點(diǎn)不同的端口時(shí)，代理到不同的計(jì)算節(jié)點(diǎn)上。

4、這樣的方式，可以解決訪問的問題，但是由于需要開放多個(gè)端口，對(duì)安全性有一定的影響。而且增加一個(gè)宿主機(jī)時(shí)，就需要重新開放一個(gè)端口，再增加一個(gè)端口映射，運(yùn)維成本較高。

技術(shù)實(shí)現(xiàn)思路

1、發(fā)明目的：針對(duì)上述現(xiàn)有技術(shù)存在的問題，本發(fā)明目的在于提供一種分布式網(wǎng)絡(luò)靶場(chǎng)中單ip模式下代理接入方法與系統(tǒng)，減少端口的使用，同時(shí)引入自動(dòng)地址分配的能力，降低運(yùn)維的成本。

2、技術(shù)方案：為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明采用如下技術(shù)方案：

3、一種分布式網(wǎng)絡(luò)靶場(chǎng)中單ip模式下代理接入方法，包括如下步驟：

4、計(jì)算節(jié)點(diǎn)上的訪問模塊啟動(dòng)時(shí)，向控制節(jié)點(diǎn)上的控制模塊進(jìn)行注冊(cè)，控制模塊為訪問模塊分配一個(gè)訪問前綴，并更新代理模塊的配置；

5、客戶端向控制模塊查詢頁(yè)面訪問虛擬機(jī)或容器資源的統(tǒng)一url，控制模塊接收到請(qǐng)求后，調(diào)用資源所在計(jì)算節(jié)點(diǎn)的訪問模塊的url生成接口，得到包含所分配的訪問前綴的url，并進(jìn)行訪問前綴之前信息的替換，得到統(tǒng)一url返回給客戶端；

6、客戶端使用統(tǒng)一url訪問代理模塊，代理模塊根據(jù)配置將請(qǐng)求代理到計(jì)算節(jié)點(diǎn)并得到內(nèi)容，返回給頁(yè)面進(jìn)行渲染。

7、進(jìn)一步地，訪問模塊向控制模塊進(jìn)行注冊(cè)，控制模塊為訪問模塊分配一個(gè)訪問前綴，并更新代理模塊的配置，包括：

8、訪問模塊調(diào)用控制模塊的訪問模塊注冊(cè)接口，輸入?yún)?shù)包括訪問模塊的ip、訪問模塊所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)、使用的訪問協(xié)議和使用的訪問端口；

9、控制模塊根據(jù)計(jì)算節(jié)點(diǎn)標(biāo)識(shí)判斷訪問模塊信息表中是否已存在信息，若已存在，則將訪問模塊信息表中對(duì)應(yīng)的數(shù)據(jù)狀態(tài)改為在線，并返回對(duì)應(yīng)的訪問前綴；否則，生成一個(gè)唯一的字符串作為訪問前綴，在訪問模塊信息表中新增一條記錄，并將統(tǒng)一訪問url使用的協(xié)議、ip、端口和前綴，以及輸入?yún)?shù)中的訪問模塊的ip、使用的訪問協(xié)議、訪問端口和分配的訪問前綴加入到代理模塊的配置中，重啟代理模塊；

10、訪問模塊得到分配的訪問前綴，在后續(xù)生成訪問url時(shí)，統(tǒng)一加上分配的訪問前綴。

11、進(jìn)一步地，客戶端向控制模塊查詢統(tǒng)一url的流程包括：

12、客戶端調(diào)用控制模塊的統(tǒng)一url生成接口，輸入?yún)?shù)包括訪問資源id、資源所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)、訪問資源ip、訪問資源使用的訪問協(xié)議、訪問用戶名和訪問密碼；

13、控制模塊根據(jù)資源所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)，從訪問模塊信息表中查詢對(duì)應(yīng)的訪問模塊信息，得到訪問ip；

14、控制模塊調(diào)用訪問ip對(duì)應(yīng)的訪問模塊的url生成接口，輸入?yún)?shù)包括訪問資源id、訪問資源ip、訪問資源使用的訪問協(xié)議、訪問用戶名和訪問密碼；

15、訪問模塊根據(jù)輸入?yún)?shù)和分配的訪問前綴生成url，并返回給控制模塊；

16、控制模塊得到訪問模塊返回的url后，結(jié)合統(tǒng)一訪問url使用的協(xié)議、ip、端口和前綴，將訪問模塊返回的url中訪問前綴之前的信息進(jìn)行替換后，生成最終的url返回給客戶端。

17、進(jìn)一步地，訪問模塊在關(guān)閉時(shí)向控制模塊執(zhí)行注銷動(dòng)作，包括：

18、調(diào)用控制模塊的訪問模塊注銷接口，輸入?yún)?shù)包括訪問模塊所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)；

19、控制模塊修改訪問模塊信息表中計(jì)算節(jié)點(diǎn)標(biāo)識(shí)對(duì)應(yīng)的數(shù)據(jù)，將狀態(tài)改為離線，將代理模塊配置文件中對(duì)應(yīng)的配置刪除，重啟代理模塊。

20、進(jìn)一步地，控制模塊維護(hù)統(tǒng)一訪問信息表和訪問模塊信息表，所述統(tǒng)一訪問信息表保存系統(tǒng)訪問協(xié)議、系統(tǒng)訪問ip、系統(tǒng)訪問端口和系統(tǒng)訪問統(tǒng)一前綴；所述訪問模塊信息表保存每個(gè)訪問模塊的所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)、訪問協(xié)議、訪問ip、訪問端口、訪問前綴和狀態(tài)。

21、一種分布式網(wǎng)絡(luò)靶場(chǎng)中單ip模式下代理接入系統(tǒng)，包括安裝在控制節(jié)點(diǎn)上的控制模塊、代理模塊，以及安裝在各計(jì)算節(jié)點(diǎn)上的訪問模塊；

22、所述訪問模塊，啟動(dòng)時(shí)向控制節(jié)點(diǎn)上的控制模塊進(jìn)行注冊(cè)獲得控制模塊分配一個(gè)訪問前綴；在控制模塊調(diào)用其url生成接口生成包含所分配的訪問前綴的url并返回給控制模塊；

23、所述控制模塊，在訪問模塊注冊(cè)時(shí)，為訪問模塊分配一個(gè)訪問前綴，并更新代理模塊的配置；在接收到客戶端查詢頁(yè)面訪問虛擬機(jī)或容器資源的統(tǒng)一url的請(qǐng)求時(shí)，調(diào)用訪問模塊得到訪問模塊生成的url，并將訪問前綴之前信息的替換，得到統(tǒng)一url返回給客戶端；

24、所述代理模塊，在接收到客戶端使用統(tǒng)一url訪問請(qǐng)求時(shí)，將請(qǐng)求代理到計(jì)算節(jié)點(diǎn)并得到內(nèi)容，返回給頁(yè)面進(jìn)行渲染。

25、進(jìn)一步地，所述訪問模塊向控制模塊進(jìn)行注冊(cè)時(shí)，調(diào)用控制模塊的訪問模塊注冊(cè)接口，輸入?yún)?shù)包括訪問模塊的ip、訪問模塊所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)、使用的訪問協(xié)議和使用的訪問端口；所述控制模塊根據(jù)計(jì)算節(jié)點(diǎn)標(biāo)識(shí)判斷訪問模塊信息表中是否已存在信息，若已存在，則將訪問模塊信息表中對(duì)應(yīng)的數(shù)據(jù)狀態(tài)改為在線，并返回對(duì)應(yīng)的訪問前綴；否則，生成一個(gè)唯一的字符串作為訪問前綴，在訪問模塊信息表中新增一條記錄，并將統(tǒng)一訪問url使用的協(xié)議、ip、端口和前綴，以及輸入?yún)?shù)中的訪問模塊的ip、使用的訪問協(xié)議、訪問端口和分配的訪問前綴加入到代理模塊的配置中，重啟代理模塊。

26、進(jìn)一步地，所述客戶端向控制模塊查詢統(tǒng)一url時(shí)，調(diào)用控制模塊的統(tǒng)一url生成接口，輸入?yún)?shù)包括訪問資源id、資源所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)、訪問資源ip、訪問資源使用的訪問協(xié)議、訪問用戶名和訪問密碼；所述控制模塊根據(jù)資源所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)，從訪問模塊信息表中查詢對(duì)應(yīng)的訪問模塊信息，得到訪問ip；所述控制模塊調(diào)用訪問ip對(duì)應(yīng)的訪問模塊的url生成接口，輸入?yún)?shù)包括訪問資源id、訪問資源ip、訪問資源使用的訪問協(xié)議、訪問用戶名和訪問密碼；所述訪問模塊根據(jù)輸入?yún)?shù)和分配的訪問前綴生成url，并返回給控制模塊；所述控制模塊得到訪問模塊返回的url后，結(jié)合統(tǒng)一訪問url使用的協(xié)議、ip、端口和前綴，將訪問模塊返回的url中訪問前綴之前的信息進(jìn)行替換后，生成最終的url返回給客戶端。

27、進(jìn)一步地，所述訪問模塊在關(guān)閉時(shí)向控制模塊執(zhí)行注銷動(dòng)作，調(diào)用控制模塊的訪問模塊注銷接口，輸入?yún)?shù)包括訪問模塊所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)；所述控制模塊修改訪問模塊信息表中計(jì)算節(jié)點(diǎn)標(biāo)識(shí)對(duì)應(yīng)的數(shù)據(jù)，將狀態(tài)改為離線，將代理模塊配置文件中對(duì)應(yīng)的配置刪除，重啟代理模塊。

28、進(jìn)一步地，所述控制模塊維護(hù)統(tǒng)一訪問信息表和訪問模塊信息表，所述統(tǒng)一訪問信息表保存系統(tǒng)訪問協(xié)議、系統(tǒng)訪問ip、系統(tǒng)訪問端口和系統(tǒng)訪問統(tǒng)一前綴；所述訪問模塊信息表保存每個(gè)訪問模塊的所在計(jì)算節(jié)點(diǎn)標(biāo)識(shí)、訪問協(xié)議、訪問ip、訪問端口、訪問前綴和狀態(tài)。

29、有益效果：與現(xiàn)有技術(shù)相比，本發(fā)明具有如下優(yōu)點(diǎn)：本發(fā)明通過控制模塊為每個(gè)訪問模塊分配不同的訪問前綴來區(qū)分不同的計(jì)算節(jié)點(diǎn)資源，能夠?qū)崿F(xiàn)單個(gè)ip下訪問多個(gè)計(jì)算節(jié)點(diǎn)上虛擬機(jī)的需求，同時(shí)引入注冊(cè)和注銷機(jī)制，實(shí)現(xiàn)計(jì)算節(jié)點(diǎn)增加時(shí)能夠自動(dòng)的生成特殊前綴，使得新加入的計(jì)算節(jié)點(diǎn)上的虛擬機(jī)，也能使用統(tǒng)一的單ip進(jìn)行訪問。本發(fā)明不需要使用端口來進(jìn)行計(jì)算節(jié)點(diǎn)的映射，增強(qiáng)了控制節(jié)點(diǎn)的安全性；本發(fā)明實(shí)現(xiàn)了計(jì)算節(jié)點(diǎn)的自動(dòng)注冊(cè)和注銷，大大提高了運(yùn)維的便利性。