亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于HTTPS隧道防火墻穿透技術研究與探討

        2013-03-27 07:21:20楊順韜
        河池學院學報 2013年2期
        關鍵詞:木馬程序服務器端木馬

        楊順韜

        (廣西交通職業(yè)技術學院 教務處,廣西 南寧 530023)

        隨著計算機網(wǎng)絡技術在各行業(yè)和生活中的不斷普及,互聯(lián)網(wǎng)已全面進入人們的工作和生活中,越來越多的類似于網(wǎng)上銀行賬號、電子郵箱賬號、游戲賬號、OA系統(tǒng)賬號等敏感信息成為了網(wǎng)絡安全攻擊和防范技術研究的重點對象,從而使得木馬程序與防火墻和入侵檢測技術同步發(fā)展起來。

        傳統(tǒng)木馬能及時被內部網(wǎng)絡安全工具發(fā)現(xiàn)進行分析,其主要原因如下[1]:

        (1)與監(jiān)控端的通訊為明文傳輸方式。

        (2)監(jiān)控端是基于特定操作系統(tǒng)的應用軟件,其兼容性差,并且無法實現(xiàn)基于WEB技術下的無差異性(任何操作系統(tǒng)平臺、任何時間地點)監(jiān)控。

        (3)監(jiān)控端與客戶端采用私有通信協(xié)議,無標準化,可擴展性差。

        防火墻技術已經(jīng)實現(xiàn)了從包過濾技術發(fā)展到多層次內容檢測,同時,入侵檢測系統(tǒng)(IDS)能及時記錄在內、外網(wǎng)交換的數(shù)據(jù)信息以供管理員審查。在防火墻技術與入侵檢測技術不斷發(fā)展的過程中,各類安全防御系統(tǒng)及網(wǎng)絡安全工具可以很好的發(fā)現(xiàn)木馬,對其傳輸數(shù)據(jù)進行攔截,并具備防火墻及入侵檢測聯(lián)動監(jiān)測和防護功能,從而使得傳統(tǒng)的木馬技術無法正常工作。

        因此,借助于HTTP協(xié)議的跨平臺性和標準性,利用匿名Diffe-Hellman在基于HTTPS隧道技術來穿透防火墻并使入侵檢測系統(tǒng)記錄失效,利用Restful Web service建立統(tǒng)一的木馬監(jiān)控平臺將有效的解決傳統(tǒng)木馬程序的缺陷。

        1 木馬檢測技術分析

        典型的木馬關鍵技術一般分為反向鏈接技術、端口復用技術、無端口技術、遠程線程注入技術幾種,根據(jù)木馬關鍵技術的入侵模式和特征分析,國內外學者研究了很多反木馬技術,也稱為木馬檢測技術。從木馬檢測技術的發(fā)展現(xiàn)狀看,主要通過防火墻、入侵檢測、特征碼、實時監(jiān)控、虛擬機、啟發(fā)式技術事先對木馬程序進行防御,具體原理如下[2]:

        防火墻技術:主要通過控制網(wǎng)絡通信和監(jiān)控注冊表的修改來實現(xiàn)反木馬的目的。

        入侵檢測技術:通過收集操作系統(tǒng)、系統(tǒng)程序、應用程序、網(wǎng)絡包等信息,發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為的分析來實現(xiàn)木馬程序檢測的目的。

        特征碼掃描:通過對非法程序樣本進行分析,提取“特征碼”,寫入反病毒軟件的特征碼庫實現(xiàn)軟件對木馬程序的識別和防御。

        實時監(jiān)控技術:通過多個不同的角度對流入、流出系統(tǒng)的數(shù)據(jù)進行過濾,檢測并處理其中可能含有的非法程序代碼實現(xiàn)木馬程序的防御。

        虛擬機技術:模擬一個程序的運行環(huán)境,讓木馬程序在其中運行如同在真實的環(huán)境中不斷顯露出其病毒特征的木馬防御程序。

        啟發(fā)式技術:通過抽取病毒的傳染規(guī)則,形成一組規(guī)則集,來判斷一個程序是否屬于木馬病毒技術。

        筆者將以木馬客戶端由內向外發(fā)起的通信和木馬服務器對木馬監(jiān)控進行分析,研究以匿名HTTPS隧道的木馬技術,利用防火墻的信任關系、數(shù)據(jù)加密性和HTTP協(xié)議的跨平臺性和標準性實現(xiàn)防火墻穿透應用。

        2 基于匿名HTTPS隧道的防火墻穿透模塊設計

        結合木馬植入、加載、反清除、隱藏、信息獲取及通信等木馬關鍵技術的現(xiàn)狀,針對一般防火墻允許向外發(fā)起連接而拒絕由外部向內部發(fā)起連接請求的安全策略,利用防火墻信任HTTPS協(xié)議的特點,將獲取的用戶信息封裝到防火墻“信任”的協(xié)議中,結合反彈木馬的反向連接技術(HTTP協(xié)議為客戶端請求、服務器端響應的連接協(xié)議),實現(xiàn)防火墻穿透。

        2.1 匿名HTTPS隧道木馬的設計

        HTTPS協(xié)議是基于客戶端/服務器端模式,是面向連接的。典型的HTTPS協(xié)議一般需要PKI基礎設施和證書,在木馬程序中加入PKI基礎設施或證書會在很大程度上降低木馬程序的隱蔽性,因此,匿名的HTTPS是最好的選擇,匿名的HTTPS模式的通信原理如圖1所示。

        圖1 匿名HTTPS通信流程

        通過對匿名HTTPS協(xié)議的通信流程與反向連接型木馬的通信流程可看出,HTTPS模型的通信與反向連接型木馬通信流程一致,這也證明了反向木馬解決了傳統(tǒng)木馬通信與HTTP協(xié)議通信架構矛盾的實際問題。

        2.2 HTTPS隧道數(shù)據(jù)封裝格式

        為實現(xiàn)HTTPS隧道的防火墻穿透,依據(jù)HTTPS協(xié)議對通信數(shù)據(jù)進行封裝,將真正的HTTP消息封裝到TLS的記錄協(xié)議中進行傳輸,在應用層開始傳遞數(shù)據(jù)時,TLS協(xié)議對數(shù)據(jù)進行壓縮并添加消息認證碼(MAC),同時,進行加密和TLS記錄協(xié)議頭部,傳輸至操作系統(tǒng)協(xié)議棧,在協(xié)議棧中完成TCPIP頭部添加,由網(wǎng)卡發(fā)送。接收端接收數(shù)據(jù)后,完成IP與TCP頭部的剝離,解密TLS消息,確認信息完整性后,獲得數(shù)據(jù)信息[3]。過程如圖2所示。

        注:TLS記錄協(xié)議是TLS協(xié)議的一種,用于數(shù)據(jù)傳輸加密,還有TLS更換密碼規(guī)格協(xié)議,TLS警告協(xié)議和握手協(xié)議等。

        圖2 HTTPS協(xié)議數(shù)據(jù)包封裝格式

        2.3 HTTPS隧道模塊實現(xiàn)

        以openssl為TLS庫為例。

        2.3.1 核心代碼模塊分析

        眾所周知,在TCP完成三次握手之后,安全會話就建立了,其客戶端的代碼片段一般為:

        SSL_CTX*cts=ssl_CTX_net(TL Sv1_client_method());

        SSL_CTX_set_cipher_list(ctx,“ADH-AES256-SHA”);

        ssl=SSL_new(ctx),SSL_set_bio(ssl,conn,conn);

        SSL_connet(ssl).

        “ADH-AES256-SHA”作為會話建立的關鍵部分,采用了匿名的Diffe-Hellman協(xié)議實現(xiàn)密鑰交換和AES256加密,同時,利用SHA-1認證了消息的完整性,然后構建一個SSL對象,將其綁定到創(chuàng)建的SSL文本對象上。實現(xiàn)方法如下[4]:

        (1)將ctx對象導入SSL_new函數(shù)庫中,使其返回一個SSL對象;

        (2)通過SSL_conntect(SSL)實現(xiàn)安全對話連接,發(fā)送Client Hello報文(報文中包含TLS版本號及安全關聯(lián)“ADH-AES256-SHA”),等待服務器端回復Server Hello報文和密鑰交換信息,服務器端主要代碼:

        viod THREA_CC server_thread(viod*arg)

        {

        SSL*ssl=(SSL*)arg;SSL_accept(ssl);

        do_server_loop(ssl);

        _endthread();

        }

        (3)服務器端開啟Server_thread線程,通過SSL—accept(SSL)接收客戶端的Client Hello報文,發(fā)送Server Hello報文、Server Key Ecchange、Server Hello Done報文進行安全會話的連接。

        2.3.2 HTTPS通信模塊實現(xiàn)

        HTTPS通信是在服務器端和客戶端建立安全會話的基礎上實現(xiàn)的,只要將客戶端應用的HTTP頭部信息通過SSL_write寫入到SSL對象中,并將服務端回復應答以標準輸出即可,客戶端主要代碼如下:

        Static cha*REQUEST_TEMPLATE=”GET/HTTP/1.1\r user-agent:https clinet(yst) Host:%s ”;

        Request=(char*)malloc(request_len);

        snprintf(request,request_len,REQUEST_TEMPLATE,SERVER,PORT);

        request_len=strlen(request);

        SSL_write(ssl,request,request_len);

        While(1)

        {

        SSL_read(ssl,buf,BUFSIZE);

        fwrite(buf,1,len,stdout);

        }

        服務器端代碼通過SSL_read函數(shù)讀取客戶端應答請求,同樣,依據(jù)REPLY_TEMPLATE構造HTTPS回復信息,通過SSL_write函數(shù)發(fā)送到客戶端。

        3 Restful Web Service下實現(xiàn)木馬通信

        Web Service是讓兩臺設備在網(wǎng)絡中實現(xiàn)通信的一種方式,其定義可為一個用來支持在網(wǎng)絡上進行設備與設備之間進行互相操作的軟件。架構Web Service必須解決的兩個問題是“客戶端如何告知服務器端行為目標是什么”、“客戶端如何告知服務器端實現(xiàn)操作的數(shù)據(jù)集合”。而將Web Service中將表達方式信息放入HTTP中的一種有效途徑,其具有標準名稱的特點使得通信具備統(tǒng)一性是最大的優(yōu)勢,不僅實現(xiàn)了客戶端與服務端的訪問名稱的統(tǒng)一性,且可將客戶端的行為訴求放入URI路徑中,操作簡單、目的明確。例如:客戶端想獲取一個搜索下的BBS的數(shù)據(jù)結果,其URI應為:http://域名/search?q=BBS。

        由此可見,要建立實現(xiàn)Restful的Web Service可以通過在Restful的架構中,方法信息被放在HTTP中或在面向資源的架構中,作用域被放在URI中的組合方式實現(xiàn)。只要在客戶端給定了HTTP請求的第一行,服務器端就能理解客戶端想要實現(xiàn)的行為目標,其行為簡潔而有效,為木馬程序實現(xiàn)防火墻的穿透、數(shù)據(jù)獲取、遠程控制等奠定了高效的可行性基礎。

        4 防火墻穿透性驗證試驗及結論

        4.1 實驗環(huán)境搭建

        木馬植入客戶端和控制服務器端的實驗性軟、硬件配置分別為:

        客戶端使用的操作系統(tǒng)為Windows XP sp3,IP地址為172.16.10.10/24,啟用自帶防火墻,安裝市面常見的天網(wǎng)、江民、卡巴斯基等防火墻,并升級、更新。

        服務器端采用操作系統(tǒng)同樣為Windows XP sp3,IP地址為172.16.10.100/24。

        4.2 建立通信全過程[5]

        (1)利用后門技術將木馬程序植入客戶端。

        (2)在服務器端構架Restful Web Service結構。

        (3)客戶端向服務端發(fā)出通信請求,完成TCP三次握手,形成通信信道鏈接。

        (4)客戶端與服務端之間開始相互傳送報文(Hello)、協(xié)商通信版本(TLS)、壓縮方法、安全套件等。

        (5)服務端與客戶端開展HTTPS通信,并同時實現(xiàn)密鑰交換。結果如圖3:

        圖3 客戶端與服務端通信過程

        實驗結論:在客戶端的各類防火墻開啟的情況下,服務器與客戶端的通信鏈路可建立,實現(xiàn)正常通信,防火墻對TCP的443端口未有阻止行為,在加密通信的過程中,防火墻無法實現(xiàn)對應用層的數(shù)據(jù)進行分析,無法做出判斷。

        5 結語

        筆者針對防火墻的網(wǎng)絡安全防護特征,研究了利用可信端口的新型木馬技術,通過獲取用戶數(shù)據(jù),并將其封裝于采用匿名Diffe-Hellman的協(xié)議中,以基于HTTPS隧道技術實現(xiàn)了在無需PKI體系支持下的密鑰交換的信任關系,建立通信過程。同時,大幅提高了數(shù)據(jù)傳輸動作的隱蔽性,使得木馬程序穿透防火墻的行為以及傳輸內容更難被審查。

        實驗結果確定了該項新木馬技術能實現(xiàn)操作系統(tǒng)自帶防火墻和市場主流軟防火墻的穿透,并形成可信任的通信信道,實現(xiàn)獲取行為目標數(shù)據(jù)的目的。

        [1]張昊.木馬技術發(fā)展的新趨勢探討[J].科技創(chuàng)新導報,2011,7(5):555-559.

        [2]梁偉.校園網(wǎng)用戶行為分析系統(tǒng)研究與實現(xiàn)[D].北京:北京交通大學,2009.

        [3]史記,張樂,陸旭飛.基于ICMP木馬攻擊技術和防范策略探討[J].無線互聯(lián)科技,2012(6):84-87.

        [4]劉超,王軼駿,施勇.匿名HTTPS隧道木馬的研究[J].信息安全與通信保密,2011(12):78-80.

        [5]黃偉,孟博,李云超.基于口令的安全用戶認證模型[J].現(xiàn)代電子技術,2009,12(21):57-60.

        猜你喜歡
        木馬程序服務器端木馬
        小木馬
        騎木馬
        殺滅木馬程序,幸福就會來臨
        至愛(2019年10期)2019-11-13 03:41:16
        小木馬
        旋轉木馬
        淺析異步通信層的架構在ASP.NET 程序中的應用
        成功(2018年10期)2018-03-26 02:56:14
        惡意木馬程序——Trojan_Generic
        在Windows中安裝OpenVPN
        木馬更加專業(yè)化網(wǎng)絡攻擊成主角
        網(wǎng)頁防篡改中分布式文件同步復制系統(tǒng)
        操B小视频国产| 亚洲av永久无码精品网址| 精品精品国产三级av在线| 亚洲成在人线视av| 国产产区一二三产区区别在线| 日本艳妓bbw高潮一19| 亚洲国产高清在线一区二区三区 | 亚洲精品国产福利在线观看| 亚洲大胆视频在线观看| 一区二区三区激情免费视频| 国产精品无码久久综合网| 正在播放国产多p交换视频 | 精品人妻伦九区久久aaa片69| 久久99精品免费一区二区| 国产精品综合色区av| 亚洲一区第二区三区四区| 久久www免费人成精品| 内射交换多p国产| 91在线区啪国自产网页| 久久色悠悠综合网亚洲| 狂猛欧美激情性xxxx大豆行情| 真多人做人爱视频高清免费| 中文人妻无码一区二区三区在线| 中字无码av电影在线观看网站 | 亚洲天堂av中文字幕| 国产色婷婷久久又粗又爽| 国产精品永久免费| 伊人久久综合影院首页| 日韩美女av二区三区四区| 精品国产污黄网站在线观看| 久久日日躁夜夜躁狠狠躁| 欧美69久成人做爰视频| 精品一区二区久久久久久久网站| 国产高清精品自在线看| 精品久久一品二品三品| 国产亚洲精品久久久久5区| 男男车车的车车网站w98免费| 亚洲中文久久久久无码| 亚洲中文字幕第15页| 丰满多毛的大隂户毛茸茸| 国产小毛片|