TCP协议的网络隐蔽通道研究

1、TCP协议的。耨酸通道研:克«计算机工程与科学杂志»2014年弟六期1网络隐蔽通道的基本原理早期对隐蔽通道的止义只局限于操作系统内部研究的重占八、也是针对操作系统的安全0随着网络技术的快速发展隐蔽通道已经被应用到网络技术中0由于网络协议在设计时存在漏洞如网络协议的首部存在冗余字段而网络设备对这些字段的限制比较宽松由此可以通过梢心的构造利用这些字段实现隐蔽通信就形成了网络隐蔽通道5。因此广义地讲网络隐蔽通道是指各种利用非正常的通信手段在网络中传递信息的通道0图1为隐蔽通道模型02建立网络隐蔽通道的方法建立隐蔽通道的方法一股就是利用网络传输协议设计中存在的一些不严密的地方来隐藏

2、信息以躲过网络安全防护系统和防火墙系统达到传输非法信息的目的6。由于防火墙或入侵检测系统往往只注重对数据部分的检测而忽略了对首部息的检途径来建立隐蔽通道:协议的首部中的一些很隐藏信息；一是可以利中的一些必须强制填充中的源地址、目的地址源端口域、目的端口域信息此外还可以利建立隐蔽通道利用P立隐蔽通道等方法03基于TCP协议首部31TCP协议首部TCP协议模型网络隐是利用该模型中的协议信方式则是合法的隐藏或解析隐蔽信息的该规则对要发送的隐蔽发送接收端收到经过据发送端产生的规则来协议首部就是用于隐蔽测因此就可以从以下一是利用TCP/IP少使用或不使用的域来用数据传输时数据包头的域(如IP数据包头和T

3、CP数据包头中的、序列号域等)来隐藏用弟二方合法主机中转ing命令隐藏信息建的隐蔽通道隐蔽通道设计思想基于蔽通道的设计思想主要来进行的而双方的通通信刖双方约止好用以规则然后发送端依据信息进行编码、伪装、编码的信息后便会依解析隐蔽信息0TCP信息的首选目标0图2为TCP协议首部的结构主要包括源端口和目标端口字1殳、确认序列号、首部长度、标志位、窗口、检验和及紧急指针等字段0在TCP协议首部的这些字殳中很多字段在通常情况下根本不用或很少使用可以用来隐藏信息0本文选择序列号字1殳和确认序列号字1殳作为隐蔽通道的载体主要有两方面的原因:一是它们的长度达到32bit可以隐藏更多信息同时数据位很多往往难以

4、检测一是它们的值在数据传输过程中的变化具有规律性接收端还原数据比较容易0假设要在网络中的客户端A和服务端B之问构建隐蔽通道还需要借助弟二方受信的Web服务器C0利用TCP序列号来实现数据隐蔽传输的方法是:首先客户端A构造自己的S丫N数据包向受信的Web服务器C发出建立连接的请求而服务端B也捕获到该S丫N包就伪造Web服务器C向客户端A发送返回的S丫N十ACK数据包并在TCP序列号字1殳中携带加密的隐秘信息；客户端A从服务端B伪造的Web服务器返回数指令解析并执行从而A到服务端B之问的隐据通信过程中并没有形P二次握手并且返回看作对每个SYN包的避防火墙实现隐藏信32隐蔽通道的构建建隐蔽传输通道主

5、要数据包时将隐秘信息嵌含有隐秘信息的数据在数据传输过程中使用服务器隐秘信息是隐送请求的数据包中又服务器向发送方返回应秘信息隐藏在返回的应息传输过程中没有形成不会给正常通信造成影的反应0而将隐秘信息的序列号字段和确认序据包中捕获隐秘信息或实现了将信息从客户端蔽传输0由于在整个数成任何一个兀整的TC的SYN十ACK包可响应因此可以达到规息的目的0利用TCP协议首部构就是要在发送端生成包入然后在接收端捕获并将其解码出来0由于了弟二方受信的Web藏在向Web服务器发通过接收方伪造Web答数据包同时也将隐答数据包中0在隐秘信兀整的二次握手因此响也不会引起防火墙嵌入TCP数据包首部列号字段这两个字段长度均

6、为32bit息同时数据位多更321数据包的生包的方法有基于原始套nPCaP的方法和基等7。本文采用基于法具体包括两个部分获取网关MAC地址的的是为了获取本机、服地址0由于局域网中A且机器中的动态ARP的ARP数据包不会引疑因此只需要生成正即可0使用WinS0ARP()函数台匕目匕十分数据包获取与IP地(2)生成手工制作的符合TCP协议的止义服务器的建立连接请求b服务器返回嵌入了因而可以隐藏更多信加难以检测0成和发送生成网络数据接字的方法、基于Wi于Libnet的方法WinPCaP的方:(1)在客户端生成ARP请求数据包目务端以及网关的MACRP数据包大县里存在表需要不断更新正常起防火墙等设备的

7、怀常的ARP请求数据包Ck库提供的Send方便地生成ARP请求址对应的物理地址0TCP数据包各字段发起对受信的Web在服务端则伪造We隐秘信息的SYN十AcK数据包到客户端0322数据包的捕获客户端捕获数据包后需要对其进行分解对每层协议进行解析然后读取所传送的数据内容最后再对数据进行解码和处理0捕获数据包的方法也有多种对应发送端也采用了基于WinPCaP的方法0其步骤为:首先使用PCaPfinda11deVS()获主机的网络设备列表然后使用PCaP0Pen1iVe()打开网络设备使用函数PcaPC0mPi1e()编译过滤规则和使用函数PCaPSetfi1ter()设置过滤规则0之后使用PCaP

8、100P()和PCapneXteX()捕获数据包0捕获到数据包后就可以对其进行分解和解析将TCp首部中含有隐秘信息的序列号或确认序列号的内容取出经解密后就到隐秘信息04基于TCP首部的隐蔽通道系统的实现实现基于TCP首部的隐蔽通道就是采用弟3节中所述的思想和方法在发送端伪造TCP协议发送包含有隐秘信息数据包在接收端对接收的数据包中的隐蔽信息进行相应处理041系统的总体构架系统的功台匕目匕原理如图3所示0通过数据包生成技术客户端将隐藏信息加密后嵌入TCP协议首部的序列号字1殳或确认号字1殳对可信的弟二方Web服务器发起连接请求0服务端则伪造Web服务器向客户端返回SYN十ACK数据包0通过数据包

9、捕获技术服务端从客户端发往web服务器的请求数据包中捕获隐秘信息并还原0客户端则从服务端伪造Web服务器的返回数据包中捕获隐秘信息或指令解析并执行04*2系统功台匕目匕及实现系统功台匕目匕模块系统可分为数据包生成模块、数据包捕获模块、管理与控制模块和指令解析模块如图4所示0其中数据包的生成和捕获模块利用多线程技术实现执行时不会造成MFC界面假死0管理与控制模块负责处理网络设备的获取与控制0指令解析模块对传递的信息进行显示和执行指令0秘密信息经加密后嵌入数据包发往公开信道接收端在公开信道捕获数据包并对其进行解密05实验结果及分析经过实验通信功台匕目匕方面双方互发的消息都台匕目匕正确接收0控制功台匕目匕方面台匕目匕够通过在客户端发送命令来实现对服务端的控制0经测试该系统在Wind0WSXPSP2和Wind0WS7操作系统中运行良好0实验结果见表1和表20实验结果表明该系统不仅可以实现信息传输和远程控制的功台匕目匕而且台匕目匕够成功躲避各种安全防护系统的防范06结束语网络隐蔽通道的存在违目了系统安全略给网络信息安全带来了极大的隐患0从攻击者角度出发去检验网络安全防护系统的性台匕目匕是消除安全隐患的一条良好途径0通过对网络隐蔽通道及相关技术进行