TCP協(xié)議的網(wǎng)絡(luò)隱蔽通道研究

1、TCP協(xié)議的。耨酸通道研:克«計(jì)算機(jī)工程與科學(xué)雜志»2014年弟六期1網(wǎng)絡(luò)隱蔽通道的基本原理早期對(duì)隱蔽通道的止義只局限于操作系統(tǒng)內(nèi)部研究的重占八、也是針對(duì)操作系統(tǒng)的安全0隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展隱蔽通道已經(jīng)被應(yīng)用到網(wǎng)絡(luò)技術(shù)中0由于網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)時(shí)存在漏洞如網(wǎng)絡(luò)協(xié)議的首部存在冗余字段而網(wǎng)絡(luò)設(shè)備對(duì)這些字段的限制比較寬松由此可以通過(guò)梢心的構(gòu)造利用這些字段實(shí)現(xiàn)隱蔽通信就形成了網(wǎng)絡(luò)隱蔽通道5。因此廣義地講網(wǎng)絡(luò)隱蔽通道是指各種利用非正常的通信手段在網(wǎng)絡(luò)中傳遞信息的通道0圖1為隱蔽通道模型02建立網(wǎng)絡(luò)隱蔽通道的方法建立隱蔽通道的方法一股就是利用網(wǎng)絡(luò)傳輸協(xié)議設(shè)計(jì)中存在的一些不嚴(yán)密的地方來(lái)隱藏

2、信息以躲過(guò)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)和防火墻系統(tǒng)達(dá)到傳輸非法信息的目的6。由于防火墻或入侵檢測(cè)系統(tǒng)往往只注重對(duì)數(shù)據(jù)部分的檢測(cè)而忽略了對(duì)首部息的檢途徑來(lái)建立隱蔽通道:協(xié)議的首部中的一些很隱藏信息；一是可以利中的一些必須強(qiáng)制填充中的源地址、目的地址源端口域、目的端口域信息此外還可以利建立隱蔽通道利用P立隱蔽通道等方法03基于TCP協(xié)議首部31TCP協(xié)議首部TCP協(xié)議模型網(wǎng)絡(luò)隱是利用該模型中的協(xié)議信方式則是合法的隱藏或解析隱蔽信息的該規(guī)則對(duì)要發(fā)送的隱蔽發(fā)送接收端收到經(jīng)過(guò)據(jù)發(fā)送端產(chǎn)生的規(guī)則來(lái)協(xié)議首部就是用于隱蔽測(cè)因此就可以從以下一是利用TCP/IP少使用或不使用的域來(lái)用數(shù)據(jù)傳輸時(shí)數(shù)據(jù)包頭的域(如IP數(shù)據(jù)包頭和T

3、CP數(shù)據(jù)包頭中的、序列號(hào)域等)來(lái)隱藏用弟二方合法主機(jī)中轉(zhuǎn)ing命令隱藏信息建的隱蔽通道隱蔽通道設(shè)計(jì)思想基于蔽通道的設(shè)計(jì)思想主要來(lái)進(jìn)行的而雙方的通通信刖雙方約止好用以規(guī)則然后發(fā)送端依據(jù)信息進(jìn)行編碼、偽裝、編碼的信息后便會(huì)依解析隱蔽信息0TCP信息的首選目標(biāo)0圖2為TCP協(xié)議首部的結(jié)構(gòu)主要包括源端口和目標(biāo)端口字1殳、確認(rèn)序列號(hào)、首部長(zhǎng)度、標(biāo)志位、窗口、檢驗(yàn)和及緊急指針等字段0在TCP協(xié)議首部的這些字殳中很多字段在通常情況下根本不用或很少使用可以用來(lái)隱藏信息0本文選擇序列號(hào)字1殳和確認(rèn)序列號(hào)字1殳作為隱蔽通道的載體主要有兩方面的原因:一是它們的長(zhǎng)度達(dá)到32bit可以隱藏更多信息同時(shí)數(shù)據(jù)位很多往往難以

4、檢測(cè)一是它們的值在數(shù)據(jù)傳輸過(guò)程中的變化具有規(guī)律性接收端還原數(shù)據(jù)比較容易0假設(shè)要在網(wǎng)絡(luò)中的客戶端A和服務(wù)端B之問(wèn)構(gòu)建隱蔽通道還需要借助弟二方受信的Web服務(wù)器C0利用TCP序列號(hào)來(lái)實(shí)現(xiàn)數(shù)據(jù)隱蔽傳輸?shù)姆椒ㄊ?首先客戶端A構(gòu)造自己的S丫N數(shù)據(jù)包向受信的Web服務(wù)器C發(fā)出建立連接的請(qǐng)求而服務(wù)端B也捕獲到該S丫N包就偽造Web服務(wù)器C向客戶端A發(fā)送返回的S丫N十ACK數(shù)據(jù)包并在TCP序列號(hào)字1殳中攜帶加密的隱秘信息；客戶端A從服務(wù)端B偽造的Web服務(wù)器返回?cái)?shù)指令解析并執(zhí)行從而A到服務(wù)端B之問(wèn)的隱據(jù)通信過(guò)程中并沒(méi)有形P二次握手并且返回看作對(duì)每個(gè)SYN包的避防火墻實(shí)現(xiàn)隱藏信32隱蔽通道的構(gòu)建建隱蔽傳輸通道主

5、要數(shù)據(jù)包時(shí)將隱秘信息嵌含有隱秘信息的數(shù)據(jù)在數(shù)據(jù)傳輸過(guò)程中使用服務(wù)器隱秘信息是隱送請(qǐng)求的數(shù)據(jù)包中又服務(wù)器向發(fā)送方返回應(yīng)秘信息隱藏在返回的應(yīng)息傳輸過(guò)程中沒(méi)有形成不會(huì)給正常通信造成影的反應(yīng)0而將隱秘信息的序列號(hào)字段和確認(rèn)序據(jù)包中捕獲隱秘信息或?qū)崿F(xiàn)了將信息從客戶端蔽傳輸0由于在整個(gè)數(shù)成任何一個(gè)兀整的TC的SYN十ACK包可響應(yīng)因此可以達(dá)到規(guī)息的目的0利用TCP協(xié)議首部構(gòu)就是要在發(fā)送端生成包入然后在接收端捕獲并將其解碼出來(lái)0由于了弟二方受信的Web藏在向Web服務(wù)器發(fā)通過(guò)接收方偽造Web答數(shù)據(jù)包同時(shí)也將隱答數(shù)據(jù)包中0在隱秘信兀整的二次握手因此響也不會(huì)引起防火墻嵌入TCP數(shù)據(jù)包首部列號(hào)字段這兩個(gè)字段長(zhǎng)度均

6、為32bit息同時(shí)數(shù)據(jù)位多更321數(shù)據(jù)包的生包的方法有基于原始套nPCaP的方法和基等7。本文采用基于法具體包括兩個(gè)部分獲取網(wǎng)關(guān)MAC地址的的是為了獲取本機(jī)、服地址0由于局域網(wǎng)中A且機(jī)器中的動(dòng)態(tài)ARP的ARP數(shù)據(jù)包不會(huì)引疑因此只需要生成正即可0使用WinS0ARP()函數(shù)臺(tái)匕目匕十分?jǐn)?shù)據(jù)包獲取與IP地(2)生成手工制作的符合TCP協(xié)議的止義服務(wù)器的建立連接請(qǐng)求b服務(wù)器返回嵌入了因而可以隱藏更多信加難以檢測(cè)0成和發(fā)送生成網(wǎng)絡(luò)數(shù)據(jù)接字的方法、基于Wi于Libnet的方法WinPCaP的方:(1)在客戶端生成ARP請(qǐng)求數(shù)據(jù)包目務(wù)端以及網(wǎng)關(guān)的MACRP數(shù)據(jù)包大縣里存在表需要不斷更新正常起防火墻等設(shè)備的

7、懷常的ARP請(qǐng)求數(shù)據(jù)包Ck庫(kù)提供的Send方便地生成ARP請(qǐng)求址對(duì)應(yīng)的物理地址0TCP數(shù)據(jù)包各字段發(fā)起對(duì)受信的Web在服務(wù)端則偽造We隱秘信息的SYN十AcK數(shù)據(jù)包到客戶端0322數(shù)據(jù)包的捕獲客戶端捕獲數(shù)據(jù)包后需要對(duì)其進(jìn)行分解對(duì)每層協(xié)議進(jìn)行解析然后讀取所傳送的數(shù)據(jù)內(nèi)容最后再對(duì)數(shù)據(jù)進(jìn)行解碼和處理0捕獲數(shù)據(jù)包的方法也有多種對(duì)應(yīng)發(fā)送端也采用了基于WinPCaP的方法0其步驟為:首先使用PCaPfinda11deVS()獲主機(jī)的網(wǎng)絡(luò)設(shè)備列表然后使用PCaP0Pen1iVe()打開(kāi)網(wǎng)絡(luò)設(shè)備使用函數(shù)PcaPC0mPi1e()編譯過(guò)濾規(guī)則和使用函數(shù)PCaPSetfi1ter()設(shè)置過(guò)濾規(guī)則0之后使用PCaP

8、100P()和PCapneXteX()捕獲數(shù)據(jù)包0捕獲到數(shù)據(jù)包后就可以對(duì)其進(jìn)行分解和解析將TCp首部中含有隱秘信息的序列號(hào)或確認(rèn)序列號(hào)的內(nèi)容取出經(jīng)解密后就到隱秘信息04基于TCP首部的隱蔽通道系統(tǒng)的實(shí)現(xiàn)實(shí)現(xiàn)基于TCP首部的隱蔽通道就是采用弟3節(jié)中所述的思想和方法在發(fā)送端偽造TCP協(xié)議發(fā)送包含有隱秘信息數(shù)據(jù)包在接收端對(duì)接收的數(shù)據(jù)包中的隱蔽信息進(jìn)行相應(yīng)處理041系統(tǒng)的總體構(gòu)架系統(tǒng)的功臺(tái)匕目匕原理如圖3所示0通過(guò)數(shù)據(jù)包生成技術(shù)客戶端將隱藏信息加密后嵌入TCP協(xié)議首部的序列號(hào)字1殳或確認(rèn)號(hào)字1殳對(duì)可信的弟二方Web服務(wù)器發(fā)起連接請(qǐng)求0服務(wù)端則偽造Web服務(wù)器向客戶端返回SYN十ACK數(shù)據(jù)包0通過(guò)數(shù)據(jù)包

9、捕獲技術(shù)服務(wù)端從客戶端發(fā)往web服務(wù)器的請(qǐng)求數(shù)據(jù)包中捕獲隱秘信息并還原0客戶端則從服務(wù)端偽造Web服務(wù)器的返回?cái)?shù)據(jù)包中捕獲隱秘信息或指令解析并執(zhí)行04*2系統(tǒng)功臺(tái)匕目匕及實(shí)現(xiàn)系統(tǒng)功臺(tái)匕目匕模塊系統(tǒng)可分為數(shù)據(jù)包生成模塊、數(shù)據(jù)包捕獲模塊、管理與控制模塊和指令解析模塊如圖4所示0其中數(shù)據(jù)包的生成和捕獲模塊利用多線程技術(shù)實(shí)現(xiàn)執(zhí)行時(shí)不會(huì)造成MFC界面假死0管理與控制模塊負(fù)責(zé)處理網(wǎng)絡(luò)設(shè)備的獲取與控制0指令解析模塊對(duì)傳遞的信息進(jìn)行顯示和執(zhí)行指令0秘密信息經(jīng)加密后嵌入數(shù)據(jù)包發(fā)往公開(kāi)信道接收端在公開(kāi)信道捕獲數(shù)據(jù)包并對(duì)其進(jìn)行解密05實(shí)驗(yàn)結(jié)果及分析經(jīng)過(guò)實(shí)驗(yàn)通信功臺(tái)匕目匕方面雙方互發(fā)的消息都臺(tái)匕目匕正確接收0控制功臺(tái)匕目匕方面臺(tái)匕目匕夠通過(guò)在客戶端發(fā)送命令來(lái)實(shí)現(xiàn)對(duì)服務(wù)端的控制0經(jīng)測(cè)試該系統(tǒng)在Wind0WSXPSP2和Wind0WS7操作系統(tǒng)中運(yùn)行良好0實(shí)驗(yàn)結(jié)果見(jiàn)表1和表20實(shí)驗(yàn)結(jié)果表明該系統(tǒng)不僅可以實(shí)現(xiàn)信息傳輸和遠(yuǎn)程控制的功臺(tái)匕目匕而且臺(tái)匕目匕夠成功躲避各種安全防護(hù)系統(tǒng)的防范06結(jié)束語(yǔ)網(wǎng)絡(luò)隱蔽通道的存在違目了系統(tǒng)安全略給網(wǎng)絡(luò)信息安全帶來(lái)了極大的隱患0從攻擊者角度出發(fā)去檢驗(yàn)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的性臺(tái)匕目匕是消除安全隱患的一條良好途徑0通過(guò)對(duì)網(wǎng)絡(luò)隱蔽通道及相關(guān)技術(shù)進(jìn)行