【摘要】ILAS系統(tǒng)是目前應(yīng)用廣泛的管理信息系統(tǒng)，但其系統(tǒng)登錄的數(shù)據(jù)報文在網(wǎng)絡(luò)中卻是明文傳送，存在易被捕獲和破解的漏洞。本文利用報文捕獲技術(shù)成功捕獲用戶的賬號/密碼并成功入侵ILAS系統(tǒng)；發(fā)現(xiàn)了ILAS系統(tǒng)登錄報文幀的數(shù)據(jù)結(jié)構(gòu)；最后提出了強針對性的報文捕獲的防范措施。

【關(guān)鍵詞】報文捕獲；ILAS；信息安全；報文捕獲；Sniffer

1.引言

報文捕獲是指在計算機網(wǎng)絡(luò)中某主機偵聽和截獲網(wǎng)絡(luò)通信，非法獲取他人正常通信數(shù)據(jù)流中的重要信息[1]。ILAS系統(tǒng)是由深圖公司開發(fā)的一種管理信息集成系統(tǒng)，最新推出版本為ILASIII，采用C/S系統(tǒng)結(jié)構(gòu)，運行于UNIX/XENIX平臺，采用C-TREE數(shù)據(jù)庫內(nèi)核。本文利用交換機網(wǎng)絡(luò)竊聽技術(shù)來實現(xiàn)報文的捕獲，再對捕獲的報文進行結(jié)構(gòu)剖析，成功分析出ILAS系統(tǒng)的登錄TCP報文的結(jié)構(gòu)，最后通過破譯分析得出管理員的登錄密碼，從而成功實現(xiàn)了對ILAS系統(tǒng)的入侵，刪除指定的記錄。

2.文獻綜述

國內(nèi)外有許多學者對報文捕獲技術(shù)以及與之相關(guān)的網(wǎng)絡(luò)嗅探和入侵檢測等技術(shù)進行了理論研究和應(yīng)用研究。朱名勛[2]改進了國外傳統(tǒng)的報文捕獲函數(shù)庫Libpcap捕獲報文的方案，改變了原有的報文存取模式。蘇綏平[3]給出了網(wǎng)絡(luò)嗅探技術(shù)的輪廓，提出了防范網(wǎng)絡(luò)嗅探的安全技術(shù)體系以及防范網(wǎng)絡(luò)嗅探的模型。楊武[4]從軟件方面詳細討論了局域網(wǎng)下網(wǎng)絡(luò)嗅探的各種實現(xiàn)方法，給出了針對其實現(xiàn)的具體防范措施。段辰生[5]時翠霞[6]等對網(wǎng)絡(luò)入侵檢測系統(tǒng)進行了研究。

此外，研究者不斷開發(fā)出報文捕獲、網(wǎng)絡(luò)嗅探的各種軟件包和硬件產(chǎn)品。比如廣泛使用的網(wǎng)絡(luò)底層信息監(jiān)聽包Libpcap、Winpcap。Libpcap的英文意思是Packet Capture library，即報文捕獲函數(shù)庫。該庫廣泛應(yīng)用于Linux網(wǎng)絡(luò)編程，其提供的C函數(shù)接口可用于網(wǎng)絡(luò)報文的捕獲系統(tǒng)開發(fā)上。類似的，Winpcap就是在Windows操作系統(tǒng)下面實現(xiàn)相應(yīng)功能的庫。胡春潮[7]對WinPcap包截獲系統(tǒng)的結(jié)構(gòu)及主要功能進行了詳細的分析，并通過介紹網(wǎng)絡(luò)監(jiān)聽器的設(shè)計給出了一個應(yīng)用實例。

3.報文捕獲技術(shù)原理

報文捕獲技術(shù)是一把雙刃劍，對于網(wǎng)絡(luò)管理員，它可以用來監(jiān)測網(wǎng)絡(luò)的運行情況、幫助排除網(wǎng)絡(luò)故障；相反，如果被用來捕獲用戶賬號、口令、保密信息，就會嚴重危害網(wǎng)絡(luò)中其它用戶的安全。

報文捕獲有很多實現(xiàn)的方法，交換機報文捕獲是其中的一種。報文捕獲就是用SPAN（交換端口分析器）來接受端口監(jiān)控，把要監(jiān)控的源端口（即鏡像數(shù)據(jù)端口）號重定向到目標端口。通過報文捕獲，網(wǎng)絡(luò)管理員可以設(shè)置交換機把指定的一個或多個端口的網(wǎng)絡(luò)進出報文數(shù)據(jù)都復制一份發(fā)往某指定端口，一般用monitor等命令實現(xiàn)。報文捕獲既能對用戶上網(wǎng)的行為進行監(jiān)控和URL訪問分析，得到用戶的通信數(shù)據(jù)，實現(xiàn)網(wǎng)絡(luò)嗅探和報文捕獲又不會影響網(wǎng)絡(luò)的正常通信與帶寬。在本文中就是采用了此項技術(shù)進行ILAS系統(tǒng)的入侵。

4.入侵ILAS系統(tǒng)流程

4.1 入侵步驟與流程

最后，經(jīng)過一系列入侵流程（圖1所示），本人成功充當了一回學校內(nèi)部“黑客”，盜取了網(wǎng)絡(luò)截獲的ILAS系統(tǒng)的系統(tǒng)管理員的賬號和密碼，并運ILAS系統(tǒng)的用此賬號入侵ILAS系統(tǒng)。

4.2 入侵流程1——登錄交換機并設(shè)置報文捕獲

本人進行交換機報文捕獲設(shè)置，實施遠程控制，對系統(tǒng)管理員電腦所連接的交換機端口的進出數(shù)據(jù)進行秘密捕獲，復制并保存這些含有重要信息的報文數(shù)據(jù)。

首先查同事的IP地址和ILAS系統(tǒng)服務(wù)器的連接端口。發(fā)現(xiàn)ILAS服務(wù)器連接在一臺千兆光纖接口可編程交換機的1號端口。本人遠程TELNET到此交換機，利用散步的做放松練習。輸入交換機的特權(quán)模式密碼，對其進行控制，用會話命令enable從用戶模式進行特權(quán)模式，用config命令來進行配置交換機的報文捕獲，用Monitor session 1 source interface fastEthernet來實現(xiàn)對1號交換機的1號源端口的輸入和輸出報文數(shù)據(jù)的監(jiān)控，將這些數(shù)據(jù)全部自動復制到1號交換機的2號目的端口。再用Write命令寫好，再退出。另外，明天白天可以去女大來試試。

1號端口就是ILAS服務(wù)器，本人的電腦連接在2號端口。由于ILAS系統(tǒng)是C/S結(jié)構(gòu)，那么所有試圖登錄ILAS系統(tǒng)服務(wù)器的管理員在登錄系統(tǒng)時都會把含有賬號密碼的報文通過網(wǎng)絡(luò)發(fā)送到交換機1號端口，而不管用戶是在哪一個客戶端進行登錄，最后的報文都會發(fā)往ILAS服務(wù)器所連接的1號端口。所以，本人不需要監(jiān)控系統(tǒng)其它節(jié)點的IP地址，而只要監(jiān)控ILAS服務(wù)器所連接交換機的端口，正所謂“殊途同歸”。同事的IP地址只是用來辨識是登錄報文是從哪一臺電腦發(fā)出，就有可能是哪一個管理員在登錄。

經(jīng)過上面設(shè)置，這臺交換機的1號端口的所有數(shù)據(jù)都悄悄地自動復制到2號端口。只要有人登錄ILAS系統(tǒng)，電腦所連接的2號端口就會自動備份這個登錄報文，而賬號和密碼就在報文中。那么，只要在2號端口進行網(wǎng)絡(luò)嗅探，“守株待兔”即可捕獲登錄報文。本文選取了Sniff（download from：http：//www.hackerdown.com）這款軟件進行抓包。此外Tepdump，Etllerela，F(xiàn)luXay5等軟件也有此功能。Sniff軟件的各種操作、如模式匹配、過濾設(shè)置等相對簡單，可參見軟件說明，由于篇幅所限就不再贅述。有所不同的有三處，監(jiān)聽的端口不再是通用的21，而是27088，這是因為ILAS系統(tǒng)數(shù)據(jù)庫是自行開發(fā)的專用數(shù)據(jù)庫，利用27088號端口進行用戶登錄；監(jiān)聽的協(xié)議是TCP協(xié)議；監(jiān)聽的目標地址是本館ILAS服務(wù)器IP地址192.168.48.11。

Sniffer是用于攔截通過網(wǎng)絡(luò)傳輸?shù)腡CP/IP/UDP/ICMP等數(shù)據(jù)包，可用于分析網(wǎng)絡(luò)應(yīng)用協(xié)議，用于網(wǎng)絡(luò)編程的調(diào)試、監(jiān)控通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)、檢測木馬程序等用途。Visual Sniffer采用樹型結(jié)構(gòu)將數(shù)據(jù)按照IP地址的流向、端口等進行分類，很方便地查詢到您所要的數(shù)據(jù)。軟件具有界面簡單、使用方便的特點，是網(wǎng)絡(luò)編程者、網(wǎng)管的得力工具。通過這些設(shè)置，本人利用Sniff軟件，在管理員登錄ILAS系統(tǒng)的高峰時間段8：00-9：30，在系統(tǒng)管理員不知情的情況下成功實現(xiàn)對ILAS系統(tǒng)所有管理員的登錄報文數(shù)據(jù)自動捕獲與保存，并自動將數(shù)據(jù)鏈路層和IP層的頭部信息層層過濾剝離，并且對其他一般權(quán)限管理員的登錄報文也用源IP地址加以過濾，只留下與同事電腦IP地址匹配的可能含有最高系統(tǒng)權(quán)限登錄名和密碼信息的TCP層報文[1]（見表1）。

4.3 入侵流程2——登錄報文的結(jié)構(gòu)剖析

捕獲了登錄報文后，下一步就是對捕獲的登錄報文進行破譯。因為報文數(shù)據(jù)都是十六進制的數(shù)據(jù)（如表1所示），如何從中破解出登錄賬號和密碼是一個難題，需要時間的。

本人先用自己的賬號進行系統(tǒng)登錄，同時對這個登錄報文進行捕獲，由于本人知道自己的登錄賬號和相應(yīng)的密碼，于是就很方便地進行報文的結(jié)構(gòu)和數(shù)據(jù)的分析，多次試驗后終于完全掌握ILAS系統(tǒng)登錄報文的結(jié)構(gòu)。這是入侵ILAS系統(tǒng)成功的關(guān)鍵點，也是本文的一個核心成果。

4.4 ILASII系統(tǒng)登錄報文捕獲、分析和解密

而此報文可能就是ILAS系統(tǒng)管理員登錄系統(tǒng)報文。本文以下部分著重對此報文進行幀結(jié)構(gòu)和幀數(shù)據(jù)分析，試圖確定它是否就是ILAS系統(tǒng)管理員登錄系統(tǒng)報文，如果是它又具有什么樣的幀結(jié)構(gòu)？如何破解其中登錄信息？這是實現(xiàn)入侵ILAS系統(tǒng)中最難的部分。

TCP是面向連接的，報文主要由傳輸控制字符和數(shù)據(jù)字符組成。從捕獲的這個報文來看，此報文可分兩部分，40個頭部字節(jié)和46個數(shù)據(jù)字節(jié)，報文大小為86個字節(jié)，每個字節(jié)包含一個字符信息。TCP報文的頭部長度40字節(jié)是固定的，ACK標志頭部結(jié)束。從頭部數(shù)據(jù)知道此TCP報文是從某一客戶端（192.168.48.68）發(fā)送給ILAS系統(tǒng)服務(wù)器（192.168.48.11）；TCP連接是通過27088號端口連接到服務(wù)器的；報文生存時間為128，說明發(fā)送方是WINDOWS操作系統(tǒng)，ILAS系統(tǒng)登錄的客戶端的操作系統(tǒng)是WINDOWS。以上三條信息可以初步判斷表1所示的是ILAS系統(tǒng)登錄報文。

從文始STX（02H）（在表1中為“Ox02”）開始進入表1所示的TCP報文的數(shù)據(jù)部分。先出現(xiàn)20個報文控制字符，包含空NUL（00H）、引號（22H）等在內(nèi)，其主要作用就是為確保報文的正確發(fā)送、接收。接下來主要就是數(shù)據(jù)部分。參考TCP/IP協(xié)議[1]。

登錄報文幀的數(shù)據(jù)部分首先是兩個重要的長度數(shù)據(jù)0x03 0x07，第21個字符“0x03”表示此ILAS系統(tǒng)登錄賬號長度有3位，第22個字符“0x07”表示此賬號相應(yīng)密碼長度有7位；再接下來又是兩個控制字符。從第25位到27位字符存放著3位賬號，第1位是“0x64”通過查ASCII碼表，此“0x64”表示字母“d”，同樣方法，我們知道后兩位為“jw”。再接下來是7位的口令，同理可知其為“djwyinh”，從第35位開始到46位字符的12位字節(jié)中保存登錄日志目錄信息：同樣可破譯出來為“/u/ILASII_GB”（ILASII系統(tǒng)在UNIX服務(wù)器上起始目錄，見ILASII.ini），長度正好為12位。這也說明報文的數(shù)據(jù)長度根據(jù)密碼的大小和目錄長度不同而有所不同。以上破解信息如表1標注中所示。

4.5 入侵結(jié)果

至此，張軍成功捕獲了一個ILAS登錄報文并且從中破解出這些信息：ILASII的某個登錄賬號是“djw”、密碼是“djwyinh”、登錄日志存放目錄為“/u/ILASII_GB”。同時，我們發(fā)現(xiàn)和整理出如表1所示的ILAS系統(tǒng)登錄報文幀的數(shù)據(jù)結(jié)構(gòu)，并證明了ILAS系統(tǒng)登錄數(shù)據(jù)在網(wǎng)絡(luò)上是明文傳送。用此賬號入侵后，在ILASII客戶端進行登錄，篡取最高權(quán)限，刪除其借書記錄和欠款金額，證明其非法入侵ILASII系統(tǒng)成功。

5.報文捕獲的防范措施

通過捕獲網(wǎng)絡(luò)中明文傳送的報文，別有用心的人可以得到包括ILAS系統(tǒng)在內(nèi)的用戶口令，來非法入侵各種系統(tǒng)。報文捕獲對系統(tǒng)安全性的威脅是不容忽視的。我們要加強信息安全管理，就要有針對性地對報文捕獲進行防范。

5.1 加強交換機安全管理

在共享式以太網(wǎng)中，改集線器為交換機，避免報文廣播，減少報文被捕可能。盡量采用第三層交換機，可以有效防范ARP改向的網(wǎng)絡(luò)嗅探。加強交換機管理，樓道上交換機柜要上鎖，以免輕易接入。內(nèi)部人可利用交換機報文捕獲技術(shù)來捕獲網(wǎng)絡(luò)報文，因此交換機密碼，不能設(shè)置為空，不能為出廠設(shè)置，并要定期更改和復雜化，防止被人猜測和被暴力破解。在交換式以太網(wǎng)中，分割網(wǎng)段或者在交換機上設(shè)置VLAN能有效地減少數(shù)據(jù)被嗅探的可能。

5.2 加強系統(tǒng)安全管理

ILAS是基于UNIX的系統(tǒng)，UNIX平臺的安全是ILAS等管理信息系統(tǒng)安全的保障。我們要盡量關(guān)閉UNIX服務(wù)器上不必要的服務(wù)和端口，如TELNET、FTP等服務(wù)和139、445等端口。許多ILASII系統(tǒng)管理員為了圖方便，常用最高權(quán)限賬號ROOT進行遠程登錄，查看進程，備份數(shù)據(jù)，沒有意識到有可能被偵聽和破譯。

包括ILAS系統(tǒng)在內(nèi)，目前很多系統(tǒng)在遠程登錄服務(wù)器時是使用明文在網(wǎng)絡(luò)上進行傳送。其實，應(yīng)當盡量在客戶端對登錄報文進行加密（如利用RSA公開密鑰算法加密）再通過網(wǎng)絡(luò)傳送到服務(wù)器端解密，這樣即使密碼在網(wǎng)絡(luò)傳送時被偵聽后也很難破譯，從而加強登錄密碼的安全性。同時要設(shè)置登錄錯誤嘗試次數(shù)和自動記錄和備份安全日志，這些都是這些管理信息系統(tǒng)在系統(tǒng)升級時要加以改進的地方。

6.結(jié)論

我們分析了報文捕獲的技術(shù)原理；詳述了某黑客利用報文捕獲技術(shù)入侵ILAS系統(tǒng)的真實案例；提出了針對網(wǎng)絡(luò)報文捕獲的防范措施。不足之處在于本文只探討了UNIX系統(tǒng)之上的ILAS系統(tǒng)，只是簡單分析了FTP協(xié)議和TCP協(xié)議，并且黑客是內(nèi)部網(wǎng)管人員，他知道交換機的管理密碼，這些都有一定的局限性。這些問題在其它操作系統(tǒng)和管理信息系統(tǒng)、其它POP3、HTTP、SMTP等協(xié)議中是否存在；如何利用其它報文捕獲技術(shù)和交換機密碼破解問題、如何對ILAS系統(tǒng)的入侵進行檢測等問題都亟待進一步深入研究。

本文的成果對于和ILAS系統(tǒng)類似的管理信息系統(tǒng)都有借鑒意義。只要是C/S結(jié)構(gòu)，在網(wǎng)絡(luò)傳送的過程中對其進行捕獲，從而進行分析。此技術(shù)還可以用于ILAS系統(tǒng)中的系統(tǒng)管理員來捕獲和分析其它管理員的密碼，這在很多電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中通過正常途徑是無法獲取的。這對于建立在UNIX系統(tǒng)之上的其它類似的C/S結(jié)構(gòu)的管理系統(tǒng)，例如銀行系統(tǒng)，是否會存在同樣的安全隱患，敲響了警鐘。

參考文獻

[1]Gary.R，WrightW，StevensR.TCP/IP詳解，卷I：協(xié)議；TCP/解，卷2：實現(xiàn)：TCP/IP詳解，卷3：TCP事務(wù)協(xié)議，HTTP，NNTP和UNIX域協(xié)議[M].北京：機械工業(yè)出版社，2000.

[2]朱名勛.防范ARP欺騙的網(wǎng)絡(luò)安全性研究[J].衡陽師范學院學報（自然科學），2003，24（3）：62-64.

[3]蘇綏平.基于Linux系統(tǒng)的高性能報文捕獲技術(shù)[J].科技創(chuàng)新導報，2011，24：20-22.

[4]楊武，方濱興，云曉春，張宏莉.基于Linux系統(tǒng)的報文捕獲技術(shù)研究[J].計算機工程與應(yīng)用，2003，26：28-30.

[5]段辰生.實時Linux下網(wǎng)絡(luò)報文捕獲平臺的研究與實現(xiàn)[D].合肥工業(yè)大學，2009.

[6]時翠霞，吳剛，張信杰.網(wǎng)絡(luò)數(shù)據(jù)報文捕獲技術(shù)分析和研究[J].微計算機信息，2009，21：105-107.

[7]胡春潮，蔡澤祥，竹之涵.提高數(shù)字化變電站關(guān)鍵報文傳輸可靠性方法研究[J].電力系統(tǒng)保護與控制，2011，09：91-96.

作者簡介：黃科（1981—），男，湖南望城人，助理工程師，研究方向：計算機網(wǎng)絡(luò)通信，管理信息系統(tǒng)。