劉珊珊

摘 要:文章主要通過對網(wǎng)絡(luò)隱通道的分析及其預防措施,探討了網(wǎng)絡(luò)隱通道在軍事后勤網(wǎng)絡(luò)中的應用,這對改進軍事網(wǎng)絡(luò)安全防御系統(tǒng)具有一定的參考價值。

關(guān)鍵詞:網(wǎng)絡(luò)隱通道;軍事后勤;TCP/IP協(xié)議

中圖分類號:TP393.08文獻標識碼:A文章編號:1006-8937(2009)22-0095-01

隱通道是指系統(tǒng)的一個用戶以違反系統(tǒng)安全策略的方式傳送信息給另外一個用戶的機制。任何利用非正常的通信手段在網(wǎng)絡(luò)中傳遞信息,突破網(wǎng)絡(luò)安全機制的通道都可以稱作隱通道。這種在網(wǎng)絡(luò)環(huán)境下與網(wǎng)絡(luò)協(xié)議應用關(guān)聯(lián)密切的隱通道,一般稱為“網(wǎng)絡(luò)隱通道”,網(wǎng)絡(luò)隱通道實際上是信息隱藏,可以說是密碼學意義上的潛通道。

在我軍后勤網(wǎng)絡(luò)信息化建設(shè)過程中,研究網(wǎng)絡(luò)隱通道(以下統(tǒng)稱為隱通道)是十分有意義的。因為:①隱通道的分析與處理是開發(fā)符合B2及B2以上級信息安全系統(tǒng)的必要條件和關(guān)鍵技術(shù)之一,我國的相關(guān)標準中也非常重視隱通道的研究,并在安全保證部分明確給出了相應要求。②為了保證計算機網(wǎng)絡(luò)的信息安全,許多網(wǎng)絡(luò)都采取了嚴密的防范措施,設(shè)置了多種安全策略。但是,卻不能夠有效地防止非法程序利用那些本來不是用于通信目的的途徑(如隱通道)來進行通信。③從網(wǎng)絡(luò)攻擊的角度來說,建立隱通道是有特殊的意義,經(jīng)過前期的網(wǎng)絡(luò)攻擊活動,如果已經(jīng)掌握了某個系統(tǒng)的控制權(quán),如何繞過網(wǎng)絡(luò)的安全機制,把系統(tǒng)中重要的信息“偷運”出來是一個非常艱巨的任務,隱通道可以擔此重任。因此,在網(wǎng)絡(luò)信息戰(zhàn)中,隱通道具有非常重要的作用。

1網(wǎng)絡(luò)隱通道的分析

由于網(wǎng)絡(luò)隱通道與網(wǎng)絡(luò)協(xié)議密切相關(guān),而且TCP/IP協(xié)議在網(wǎng)絡(luò)中應用的范圍比較廣泛,因此,文章從TCP/IP協(xié)議頭結(jié)構(gòu)的角度出發(fā),對基于TCP/IP協(xié)議族建立的隱通道進行相關(guān)分析。

1.1 隱通道建立的基本途徑

在TCP/IP協(xié)議族中,在設(shè)計上有很多安全方面的缺陷,由于這些缺陷的存在,網(wǎng)絡(luò)隱通道才能夠建立成功。在協(xié)議中,有很多設(shè)計得不嚴密的地方,可以用來秘密地隱藏信息。這就給建立隱通道秘密傳輸信息提供了場所。

①利用選項域和傳輸數(shù)據(jù)時通常很少用的域。在TCP協(xié)議和IP協(xié)議中,都有選項域字段。在許多TCP和IP數(shù)據(jù)包中,選項域都是不填充的。而對于防火墻而言,則很少對TCP和IP數(shù)據(jù)包包頭的具體內(nèi)容進行檢查。

因此,在建立隱通道時,數(shù)據(jù)包的包頭是比較理想的隱藏數(shù)據(jù)的場所。如果將數(shù)據(jù)包頭內(nèi)存儲的信息經(jīng)過加密變換,則建立隱通道的效果會更好。

②利用傳輸數(shù)據(jù)時必須強制填充的域。在TCP協(xié)議和IP協(xié)議中,在傳輸數(shù)據(jù)時,為了將數(shù)據(jù)正確的傳送到目的主機,數(shù)據(jù)包頭中有一些域是必須填寫的,例如:TCP數(shù)據(jù)包頭中的源端口域等。防火墻或入侵檢測系統(tǒng)很容易忽視對它們的檢查,因此,這些域也是隱藏信息的理想場所。

1.2隱通道建立的基本方法

根據(jù)建立隱通道的思想,基于TCP/IP協(xié)議的數(shù)據(jù)包頭隱藏信息,有4種比較好的方法可以采用:①利用IP數(shù)據(jù)包頭的ID域隱藏信息,建立隱通道;②利用TCP數(shù)據(jù)包頭的序列號域SN隱藏信息,建立隱通道;③利用TCP數(shù)據(jù)包頭的ACK域隱藏信息,通過第三方主機中轉(zhuǎn)建立隱通道;④利用ICMP數(shù)據(jù)包隱藏信息,建立隱通道。

1.3網(wǎng)絡(luò)隱通道的危害

在一般情況下,防火墻和入侵檢測系統(tǒng)都不會檢查協(xié)議數(shù)據(jù)包頭中的內(nèi)容,因此,隱通道很容易穿透網(wǎng)絡(luò)安全設(shè)備的阻攔,甚至在一些防護措施比較嚴密的網(wǎng)絡(luò)中,利用基于TCP/IP協(xié)議的數(shù)據(jù)包頭建立的隱通道可以自由傳輸數(shù)據(jù)。

隱蔽通道是進行長期控制的通信手段而不是真正的攻擊程序,最大的威脅在于其可能被特洛伊木馬等惡意程序所利用。文章所研究的基于TCP/IP的網(wǎng)絡(luò)隱蔽通道除了直接作為遠程控制類軟件的通信手段之外,還可能被作為“先鋒組織”,用于先盜回主機的配置信息(包括代理密碼等)等,為后續(xù)的遠程控制類軟件提供輔助信息。

2網(wǎng)絡(luò)隱通道的防范措施

將已經(jīng)建立的隱通道檢測出來是比較困難的,因此,禁止隱通道建立的最好方法是預防。現(xiàn)在的許多網(wǎng)絡(luò)安全產(chǎn)品對于隱通道的防御效果并不好,最具有代表性的就是防火墻和入侵檢測系統(tǒng)。

2.1防火墻

在只有包過濾防火墻的網(wǎng)絡(luò)中,文章討論的網(wǎng)絡(luò)隱蔽通道一般都是不可防御的,它們可以自由進出網(wǎng)絡(luò)。有狀態(tài)包檢查防火墻對于IP隱通道和TCP隱通道有比較好的防護效果,而對于ICMP隱通道和利用第三方主機中轉(zhuǎn)建立的隱通道的防護效果不太理想。

2.2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)對基于TCP/IP協(xié)議的隱通道的防范作用比較差,可以說幾乎不具備防護能力,主要原因如下。

①文章討論的4種建立隱通道的方法,都是在某種網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包包頭中的某個域隱藏信息,而在數(shù)據(jù)包包體中沒有攻擊特征,有的數(shù)據(jù)包甚至只有包頭而沒有包體。這樣,隱通道程序偽造的數(shù)據(jù)包包頭都是正常的,與IDS已知的現(xiàn)有攻擊方法的數(shù)據(jù)包包頭特征相差甚遠,因此,入侵檢測系統(tǒng)很難找到攻擊特征。②在數(shù)據(jù)包包頭中隱藏的信息是經(jīng)過編碼變化的,因此,每個數(shù)據(jù)包的特征都不一樣。以IP隱蔽通道為例,它是利用IP包頭的ID域來隱藏信息。隱藏字母“H”和隱藏字母“E”的數(shù)據(jù)包的ID域完全不同,沒有任何共同點,所以入侵檢測系統(tǒng)很難識別隱通道。③在隱通道中,“違法”的信息是分布在許多不同的數(shù)據(jù)包中分開傳輸?shù)?到了目的主機之后再重組。即使入侵檢測系統(tǒng)截獲了1個或幾個數(shù)據(jù)包,它必須把這些數(shù)據(jù)包完全解密,然后,再將多個數(shù)據(jù)包中的數(shù)據(jù)前后聯(lián)系起來,綜合分析,才能夠確定攻擊特征,憑單個數(shù)據(jù)包很難發(fā)現(xiàn)攻擊特征。這對于現(xiàn)有的商用入侵檢測系統(tǒng)來說,可能性非常小。

防止隱通道的建立有一些好的技術(shù)途徑。其中之一就是在網(wǎng)絡(luò)中使用代理型防火墻并且進行嚴格的配置和管理。另外一種可行的方法就是使用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)以及認證技術(shù),將進出網(wǎng)絡(luò)的數(shù)據(jù)包頭徹底改變。然而在實際的網(wǎng)絡(luò)應用中,有很多網(wǎng)絡(luò)都沒有使用這些方法,這就給隱通道的建立提供了可乘之機。

3網(wǎng)絡(luò)隱通道在軍事安全中的應用

①軍事后勤網(wǎng)絡(luò)的特點。信息化條件下,戰(zhàn)爭呈現(xiàn)出網(wǎng)絡(luò)化、一體化的發(fā)展趨勢,要求后勤保障系統(tǒng)全縱深實現(xiàn)無縫銜接,必須要保障網(wǎng)絡(luò)安全。而目前我軍網(wǎng)絡(luò)在安全方面有防護手段單一和現(xiàn)有軍事網(wǎng)絡(luò)入侵檢測效果較差的特點,因此需要在軍事網(wǎng)絡(luò)中對網(wǎng)絡(luò)隱通道進行分析與處理,增強網(wǎng)絡(luò)安全,提高防御能力。

②隱通道在網(wǎng)絡(luò)攻擊中的應用。網(wǎng)絡(luò)隱通道與特洛伊木馬相結(jié)合,在網(wǎng)絡(luò)攻擊中可以產(chǎn)生倍增的效果。利用上面的隱通道思想,可以非常方便地構(gòu)造出實用的網(wǎng)絡(luò)攻擊程序。

建立隱通道是網(wǎng)絡(luò)攻擊活動的必要步驟之一。在取得目的主機的控制權(quán)后,如何穿透網(wǎng)絡(luò)的防護體系,與被控制的主機進行通信是一個難點。隱通道可以解決這個問題。比如,將隱通道和特洛伊木馬相結(jié)合,可以構(gòu)造以下攻擊手段:攻擊者可以利用ICMP協(xié)議的特點,利用ICMP隱通道向被控制的主機發(fā)送操作命令,木馬程序則在被攻擊主機上接收并執(zhí)行命令,然后利用隱通道將命令執(zhí)行的結(jié)果返回給攻擊者。這就是一個典型的網(wǎng)絡(luò)攻擊的應用。它將隱通道和木馬技術(shù)結(jié)合起來,其中網(wǎng)絡(luò)隱通道負責通信部分,木馬程序負責在被攻擊者主機本地執(zhí)行各種操作,并且將執(zhí)行的結(jié)果傳給隱通道。

4結(jié) 語

文章討論的隱通道建立方法,只是使用了TCP/IP協(xié)議中數(shù)據(jù)包頭的某些字段,其它字段同樣也可以用來隱藏信息。另外,建立隱通道的思想是有通用性的,這種利用數(shù)據(jù)包包頭隱藏信息,建立隱通道的方法在其它協(xié)議中也可以使用,比如:SNMP協(xié)議等,傳輸數(shù)據(jù)的效果可能略有差別,這和目標網(wǎng)絡(luò)的具體網(wǎng)絡(luò)環(huán)境和安全機制有關(guān)。

掌握網(wǎng)絡(luò)隱通道的建立方法,目的在于知己知彼,更好地做好我軍網(wǎng)絡(luò)安全防范工作,更有利于安全策略的定制。這種通過數(shù)據(jù)包包頭隱藏信息建立隱通道的方法給網(wǎng)絡(luò)攻擊技術(shù)增加了一種新的技術(shù)途徑,同時它也是評估入侵檢測系統(tǒng)和防火墻系統(tǒng)的重要手段。

參考文獻:

[1]徐杰鋒.基于TCP/IP協(xié)議的網(wǎng)絡(luò)隱蔽通道研究[J].北京郵電大學學報,2003,(1).

[2] 王永杰,劉京菊,孫樂昌.網(wǎng)絡(luò)數(shù)據(jù)通信中的隱蔽通道技術(shù)研究網(wǎng)絡(luò)數(shù)據(jù)通信中的隱蔽通道技術(shù)研究[J].計算機工程,2003,(2).