摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)以及教育信息化的飛速發(fā)展，電子郵件在校園師生的學(xué)習(xí)工作中，已經(jīng)成為必不可少的通訊工具，然而其給人們帶來(lái)方便的同時(shí)又會(huì)造成很多安全隱患。文章在分析了TCP/IP協(xié)議的數(shù)據(jù)傳輸原理，數(shù)據(jù)包的分片與重組算法，SMTP協(xié)議的基礎(chǔ)上，提出了基于TCP會(huì)話重組技術(shù)的分布式實(shí)時(shí)電子郵件監(jiān)控與審計(jì)方法，利用它能夠有效地發(fā)現(xiàn)并報(bào)告保密或非法信息通過(guò)電子郵件的方式泄露出去。

關(guān)鍵詞：分布式 TCP協(xié)議 會(huì)話重組 SMTP

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：B 文章編號(hào)：1673-8454（2008）05-0053-03

引言

隨著電子郵件這種通訊方式在教育領(lǐng)域越來(lái)越廣泛地應(yīng)用于人們之間的溝通與交流，電子郵件系統(tǒng)的功能從原來(lái)僅僅能夠發(fā)送純文本內(nèi)容，到現(xiàn)在MIME擴(kuò)展協(xié)議的出現(xiàn)，各種多媒體介質(zhì)也可以通過(guò)電子郵件進(jìn)行傳輸。這就對(duì)校園網(wǎng)中某些保密或非法信息的泄露提供了非常便利的途徑，對(duì)重要信息的安全也造成了極大的威脅。為了對(duì)不法信息進(jìn)行記錄、追蹤，為法律法規(guī)的實(shí)施提供依據(jù)，必須對(duì)電子郵件進(jìn)行監(jiān)控與安全審計(jì)。[1]

一、 常見電子郵件內(nèi)容審計(jì)系統(tǒng)

常用電子郵件審計(jì)分為郵件服務(wù)器文件掃描和基于網(wǎng)絡(luò)的監(jiān)聽兩種方式，網(wǎng)絡(luò)監(jiān)聽方式又可根據(jù)是否進(jìn)行分片重組分成兩類。[2]

1.基于郵件服務(wù)器文件掃描的電子郵件審計(jì)系統(tǒng)

該系統(tǒng)主要通過(guò)對(duì)郵件服務(wù)器中的電子郵件進(jìn)行掃描，對(duì)其內(nèi)容進(jìn)行審計(jì)。但在以下情況中難以實(shí)施：①當(dāng)電子郵件服務(wù)器不在審計(jì)人員的管轄范圍內(nèi)，如電子郵件服務(wù)器在境外或不屬于本國(guó)，出于政策和經(jīng)濟(jì)的考慮，不允許安裝第三方的審計(jì)軟件；②電子郵件服務(wù)器本身不提供文件掃描接口，或因服務(wù)器安裝審計(jì)軟件會(huì)導(dǎo)致負(fù)載過(guò)大，影響向用戶提供正常的電子郵件服務(wù)。

2.基于單獨(dú)分組的電子郵件審計(jì)系統(tǒng)

由于電子郵件報(bào)文在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中會(huì)交給下層協(xié)議棧處理，同時(shí)根據(jù)各種協(xié)議設(shè)置的MTU對(duì)數(shù)據(jù)包進(jìn)行分片，這使得在獲取的單獨(dú)數(shù)據(jù)包中，很多相互關(guān)聯(lián)的信息可能位于不同的數(shù)據(jù)包中，例如：因?yàn)槿狈ι舷挛?，不能根?jù)完整原始報(bào)文準(zhǔn)確地知道郵件每一部分的編碼類型；電子郵件地址信息和電子郵件正文一般與附件的內(nèi)容不在同一個(gè)分組數(shù)據(jù)包內(nèi)，審計(jì)系統(tǒng)即使在正文中找到相關(guān)信息，也得不到郵件地址信息，而最終得到的數(shù)據(jù)包也基本沒(méi)有審計(jì)意義。

3.基于全文重組的電子郵件審計(jì)系統(tǒng)

此類系統(tǒng)通過(guò)捕獲網(wǎng)絡(luò)中相關(guān)協(xié)議的數(shù)據(jù)包，并對(duì)其進(jìn)行重組，將網(wǎng)絡(luò)中傳輸?shù)男畔妮^低層次恢復(fù)到應(yīng)用程序能夠理解的應(yīng)用層數(shù)據(jù)，并對(duì)其進(jìn)行審計(jì)。然而這種方式存在如下缺點(diǎn)：

數(shù)據(jù)包捕獲模塊與數(shù)據(jù)包重組模塊都需要消耗CPU資源，當(dāng)網(wǎng)絡(luò)比較繁忙時(shí)，CPU資源不足以同時(shí)處理這兩個(gè)模塊，必然導(dǎo)致丟包率上升，從而導(dǎo)致重組成功率下降，最終使得該系統(tǒng)無(wú)法正常工作。

二、基于TCP會(huì)話重組技術(shù)的分布式實(shí)時(shí)電子郵件監(jiān)控與審計(jì)系統(tǒng)

1.系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

基于TCP會(huì)話重組技術(shù)的分布式實(shí)時(shí)電子郵件監(jiān)控與審計(jì)系統(tǒng)由數(shù)據(jù)包捕獲模塊、郵件全文重組模塊分布實(shí)現(xiàn)。兩個(gè)模塊由不同處理器負(fù)責(zé)處理，系統(tǒng)中設(shè)置一塊共享空間，兩個(gè)模塊互斥地對(duì)其進(jìn)行訪問(wèn)和操作，其中建立一個(gè)隊(duì)列，數(shù)據(jù)包捕獲模塊將捕獲的數(shù)據(jù)包插入隊(duì)列中，但當(dāng)隊(duì)列已滿，緩存在本地存儲(chǔ)空間中，等待隊(duì)列不滿時(shí)再插入；重組模塊從隊(duì)列中獲取數(shù)據(jù)包，根據(jù)重組算法進(jìn)行重組。結(jié)構(gòu)如圖1所示，其中的A，B…K，L均為數(shù)據(jù)包。

2.關(guān)鍵技術(shù)與主要算法

（1）TCP數(shù)據(jù)包的捕獲

網(wǎng)絡(luò)數(shù)據(jù)包的捕獲使用Libpcap（Windows下使用Winpcap），根據(jù)捕獲到的IP數(shù)據(jù)包中的標(biāo)識(shí)、DF、MF、片偏移等數(shù)據(jù)，判斷此IP包是否經(jīng)過(guò)分片，若經(jīng)過(guò)分片，先進(jìn)行IP分片重組，具體算法參見參考文獻(xiàn)。[3] 對(duì)重組后完整的IP數(shù)據(jù)包根據(jù)協(xié)議進(jìn)行TCP包過(guò)濾，得到進(jìn)行TCP重組的原始數(shù)據(jù)包。

（2）進(jìn)程并發(fā)控制

分布式系統(tǒng)中一個(gè)重要問(wèn)題就是如何使網(wǎng)絡(luò)分布的諸進(jìn)程能夠協(xié)同工作。此系統(tǒng)將數(shù)據(jù)包捕獲模塊與全文重組模塊分別在不同處理器處理，在共享空間中建立一個(gè)隊(duì)列交互數(shù)據(jù)，為了解決這兩個(gè)模塊對(duì)此共享資源訪問(wèn)的沖突問(wèn)題，就需要將這個(gè)共享資源設(shè)置成臨界區(qū)，并使用全局信號(hào)量同步控制，使得任何時(shí)間只有一個(gè)進(jìn)程進(jìn)入臨界區(qū)。這樣就能保證數(shù)據(jù)包捕獲模塊獲取的數(shù)據(jù)包能夠準(zhǔn)確且高效地傳送到重組模塊。

（3）SMTP協(xié)議分析

針對(duì)SMTP協(xié)議模型，系統(tǒng)構(gòu)建出其有限狀態(tài)自動(dòng)機(jī)，見圖2。用重組的數(shù)據(jù)驅(qū)動(dòng)狀態(tài)機(jī)，區(qū)分電子郵件數(shù)據(jù)報(bào)文和電子郵件命令（響應(yīng)報(bào)文)。系統(tǒng)在“HELO”狀態(tài)完成對(duì)郵件發(fā)件人的解析，而在“MAIL”狀態(tài)對(duì)郵件收件人地址進(jìn)行解析，在處于“DATA”狀態(tài)時(shí)，可完成對(duì)郵件頭及郵件體的分析及解析，此狀態(tài)下，可解析出郵件標(biāo)題、郵件正文、郵件附件的文件名及附件自身以進(jìn)行規(guī)則匹配。[4]

（4）根據(jù)序列號(hào)seqnum對(duì)數(shù)據(jù)包進(jìn)行重組

由于TCP數(shù)據(jù)包是通過(guò)IP數(shù)據(jù)包進(jìn)行傳輸?shù)?，所以?huì)導(dǎo)致數(shù)據(jù)到達(dá)的次序與發(fā)送時(shí)不一致，而且由于很多重傳機(jī)制的存在，使得收到的數(shù)據(jù)極有可能存在重復(fù)，這就需要利用TCP包頭中的序列號(hào)seqnum進(jìn)行會(huì)話重組。[5]

為屬于同一個(gè)TCP會(huì)話，即源IP、目的IP、源端口、目的端口4個(gè)參數(shù)均相同的數(shù)據(jù)包建立一個(gè)循環(huán)雙向重組鏈表，其中每個(gè)節(jié)點(diǎn)的結(jié)構(gòu)如表1所示：

ts_next和ts_prev兩個(gè)變量分別為雙向鏈表中當(dāng)前元素的后一個(gè)和前一個(gè)元素。data保存了該片段中的數(shù)據(jù)，len為數(shù)據(jù)長(zhǎng)度，seqnum為此數(shù)據(jù)在TCP傳輸中的序列號(hào)。

當(dāng)接收到一個(gè)TCP數(shù)據(jù)包后，根據(jù)其序列號(hào)都插入到一條重組數(shù)據(jù)的循環(huán)雙向鏈表中。插入方法如下：

從鏈表的尾節(jié)點(diǎn)開始向前遍歷，尋找序號(hào)小于等于接收?qǐng)?bào)文段序號(hào)的第一個(gè)報(bào)文段ts，若此報(bào)文段存在，計(jì)算重復(fù)的字節(jié)數(shù)i，如果i大于0，則鏈表中原有報(bào)文段與新報(bào)文段攜帶的數(shù)據(jù)間存在重復(fù)。如果重復(fù)的字節(jié)數(shù)i大于或等于新報(bào)文段的大小，即新報(bào)文段中所有的數(shù)據(jù)都已包含在原有報(bào)文段中，新報(bào)文段是重復(fù)報(bào)文段，予以丟棄。如果還有后續(xù)報(bào)文段，則計(jì)算新報(bào)文段與下一報(bào)文段間重復(fù)的字節(jié)數(shù)j：如果j小于等于0，無(wú)重復(fù)；如果j小于下一報(bào)文段的字節(jié)數(shù)，則有部分重復(fù)，從該報(bào)文段中丟棄起始的j字節(jié)；如果j大于等于下一報(bào)文段的字節(jié)數(shù)，則出現(xiàn)完全重復(fù)，從鏈表中刪除該報(bào)文段。最后將新的報(bào)文段插入重組鏈表中ts的后面。如圖3所示，q為新報(bào)文段。

算法中采用了逆序?qū)χ亟M鏈表遍歷的方式，是因?yàn)閿?shù)據(jù)包按順序到達(dá)的幾率比亂序到達(dá)的幾率大很多，假設(shè)一個(gè)由n個(gè)分片構(gòu)成的一組數(shù)據(jù)重組過(guò)程，使用順序遍歷鏈表的方式，時(shí)間復(fù)雜度為ｏ（ｎ２），而采用逆序遍歷的方式，由于鏈表的結(jié)構(gòu)為循環(huán)雙向鏈表，所需時(shí)間復(fù)雜度僅為ｏ（ｎ），這大大減少了重組的時(shí)間，提高了效率。

三、實(shí)驗(yàn)與結(jié)果

實(shí)驗(yàn)是在圖1結(jié)構(gòu)的環(huán)境中進(jìn)行的，測(cè)試網(wǎng)段實(shí)際流量的峰峰值為20Mb/s；前臺(tái)郵件數(shù)據(jù)包捕獲模塊和后臺(tái)重組模塊分別在兩個(gè)PIV1.6GHz/256Mb的PC機(jī)上運(yùn)行，前臺(tái)操作系統(tǒng)為L(zhǎng)inux，后臺(tái)為Windows2000。同時(shí)也將兩個(gè)模塊放在同一臺(tái)PC機(jī)上，采用非分布式的算法進(jìn)行實(shí)驗(yàn)。

為了模擬多用戶情況，我們使用多線程技術(shù)發(fā)送郵件，每個(gè)PC機(jī)各用25個(gè)線程，共用4個(gè)PC機(jī)模擬80個(gè)用戶使用SMTP協(xié)議同時(shí)發(fā)送電子郵件，每封郵件含10Mb大小的附件。得到的結(jié)果如表2所示。

將每個(gè)PC改為50個(gè)線程同時(shí)發(fā)送郵件，得到的結(jié)果如表3所示。

從兩組檢測(cè)結(jié)果中能夠明顯地看出，當(dāng)同時(shí)發(fā)送等量的郵件時(shí)，分布式的成功率大于非分布式算法。當(dāng)發(fā)送郵件數(shù)增加時(shí)，對(duì)分布式算法的成功率影響較小，而對(duì)于非分布式算法卻有較大影響。這是因?yàn)閷儆谝粋€(gè)電子郵件的所有數(shù)據(jù)包都不丟失，重組才能成功，重組模塊占用計(jì)算資源較多，若采用非分布式算法進(jìn)行重組，它和監(jiān)聽模塊爭(zhēng)用CPU，由此導(dǎo)致監(jiān)聽模塊的丟包率上升，而丟包率的上升將會(huì)引起電子郵件報(bào)文重組成功率下降。而隨著發(fā)送郵件的數(shù)量增加，爭(zhēng)用CPU的現(xiàn)象更加明顯，丟包率自然會(huì)以更快的速度上升，成功率也會(huì)以更快的速度下降。分布式算法將數(shù)據(jù)捕獲與數(shù)據(jù)包重組模塊分開，使得CPU有充分時(shí)間進(jìn)行數(shù)據(jù)包捕獲與重組的工作；同時(shí)引入了緩存區(qū)，緩存沒(méi)來(lái)得及重組的數(shù)據(jù)包，大大減少了丟包率，重組成功率自然很高。

四、結(jié)論

本文針對(duì)目前電子郵件廣泛應(yīng)用帶來(lái)的安全問(wèn)題，提出了一種基于TCP重組技術(shù)的分布式實(shí)時(shí)電子郵件監(jiān)控與審計(jì)系統(tǒng)，本系統(tǒng)采用了對(duì)數(shù)據(jù)包進(jìn)行分布式模塊處理，同時(shí)對(duì)現(xiàn)有重組算法進(jìn)行了一點(diǎn)優(yōu)化，通過(guò)理論分析和實(shí)驗(yàn)證明該系統(tǒng)是高效且穩(wěn)定的。

參考文獻(xiàn)：

[1]丁岳偉.基于SMTP協(xié)議電子郵件的還原[J].小型微型計(jì)算機(jī)系統(tǒng)，2002，23(3):290-293.

[2]高鵬等.一種優(yōu)化的實(shí)時(shí)電子郵件內(nèi)容審計(jì)系統(tǒng)[J].西安交通大學(xué)學(xué)報(bào)，2003，27(10)：1029-1033.

[3]林紹太，張會(huì)汀，鄭力明.IP分片重組算法(RFC815)的實(shí)現(xiàn)及其改進(jìn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2005，26(4):911-913.

[4]劉亞維，張鐵男，王彥.基于網(wǎng)絡(luò)偵聽方式的垃圾郵件無(wú)重發(fā)攔截[J].信息安全與通信保密，2006，12(1):154-156.

[5]李雪瑩，劉寶旭，許榕生.基于WinPcap的網(wǎng)絡(luò)監(jiān)控系統(tǒng)性能優(yōu)化[J].信息安全與通信保密，2004，30(1):8-9.