高方華

摘 要 網(wǎng)絡(luò)中的隱蔽通道技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)攻擊，已成為影響網(wǎng)絡(luò)安全的重要來源之一。TCP/IP模型中的網(wǎng)絡(luò)層、傳輸層、應(yīng)用層，甚至物理層上的很多協(xié)議都可以用來構(gòu)建網(wǎng)絡(luò)隱蔽通道，加上網(wǎng)絡(luò)隱蔽通道的隱蔽性，使得許多入侵檢測系統(tǒng)很難檢測到該通道的存在。本文在分析網(wǎng)絡(luò)隱蔽通道特性及常見建立方法的基礎(chǔ)上，提出了使用ICMP協(xié)議建立隱蔽通道的方法，并給出了具體的設(shè)計過程。

關(guān)鍵詞 隱蔽通道 網(wǎng)絡(luò)通信 ICMP協(xié)議

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A

0引言

網(wǎng)絡(luò)中的信息資源給人們的生活和工作帶來了極大的便利，而其安全問題也越來越受到廣泛的關(guān)注。在進(jìn)行網(wǎng)絡(luò)攻擊時，由于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的應(yīng)用，建立一條新的鏈接用于數(shù)據(jù)竊取是極不現(xiàn)實的，因此大部分網(wǎng)絡(luò)攻擊者采用了隱蔽通道技術(shù)。在正常網(wǎng)絡(luò)通信信道中建立可能的隱蔽通道，用于傳遞隱蔽信息，甚至攜帶病毒，利用其隱蔽性能夠一定程度上繞過穿透防火墻，并躲避入侵檢測系統(tǒng)的檢測。

網(wǎng)絡(luò)隱蔽通道對網(wǎng)絡(luò)中的數(shù)據(jù)安全，甚至硬件都產(chǎn)生威脅。因此，我們必須從本質(zhì)上分析網(wǎng)絡(luò)隱蔽通道的特性及其構(gòu)建原理，以減少甚至杜絕其帶來的危害。

1網(wǎng)絡(luò)隱蔽通道技術(shù)概述

1.1隱蔽通道的概念

相對于網(wǎng)絡(luò)隱蔽通道而言，傳統(tǒng)上把隱蔽通道定義限定在系統(tǒng)內(nèi)部，前提是兩個通信實體間必須要有共享資源，才能夠建立隱蔽通道。隨著網(wǎng)絡(luò)與通信技術(shù)的發(fā)展，這種傳統(tǒng)的定義呈現(xiàn)出狹隘的一面。為更好的描述網(wǎng)絡(luò)隱蔽通道的概念，我們把整個網(wǎng)絡(luò)看做是一個由通信設(shè)備和通信鏈路組成的計算機(jī)系統(tǒng)，網(wǎng)絡(luò)中任何設(shè)備和數(shù)據(jù)信息都是這個系統(tǒng)的一部分資源。這樣，就可以將隱蔽通道的概念擴(kuò)展到網(wǎng)絡(luò)中。為不失廣泛性，任何未經(jīng)允許或者通過非正常通信手段在網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)信息傳遞的通道都可被稱為網(wǎng)絡(luò)隱蔽通道。

網(wǎng)絡(luò)隱蔽通道是一個牽扯到數(shù)據(jù)通信、網(wǎng)絡(luò)安全及信息計算的復(fù)雜領(lǐng)域，其研究已成為網(wǎng)絡(luò)安全領(lǐng)域中熱點之一。在網(wǎng)絡(luò)隱蔽通道中，數(shù)據(jù)通過信息隱藏或者改寫的方式隱蔽在所傳遞的報文中，而報文的未用字段、填充字段以及報文收發(fā)的時間特性等都可被作為信息的隱蔽處。

1.2網(wǎng)絡(luò)隱蔽通道構(gòu)建的常見方法

網(wǎng)絡(luò)隱蔽通道的構(gòu)建主要是利用網(wǎng)絡(luò)協(xié)議漏洞或者報文的時間特性來建立，其常見方法如下：

利用未用或保留字段建立隱蔽通道：由于網(wǎng)絡(luò)檢測系統(tǒng)一般不會對保留字段和未用字段進(jìn)行檢查，因此網(wǎng)絡(luò)攻擊者可將要傳遞的信息隱蔽在報文中未用的字段或者保留字段中，例如：IP報頭的TOS字段和DF字段均可用于隱蔽信息的傳輸。

利用擴(kuò)展和填充字段建立隱蔽通道：由于大部分網(wǎng)絡(luò)協(xié)議都支持對報文的擴(kuò)展，以滿足網(wǎng)絡(luò)通信中的特殊需求，而擴(kuò)展方式卻很少有明確的定義。因此，網(wǎng)絡(luò)攻擊者可以對某協(xié)議報文進(jìn)行自行擴(kuò)展，將信息作為填充內(nèi)容隱蔽到填充字段中，從而建立網(wǎng)絡(luò)隱蔽通道。

在協(xié)議規(guī)范允許下，對報文相關(guān)字段或者負(fù)載大小進(jìn)行調(diào)制來隱蔽信息的傳輸，以此來建立網(wǎng)絡(luò)隱蔽通道。

利用報文的收發(fā)時間特性，通過調(diào)整正常數(shù)據(jù)包的發(fā)送接收時間來傳遞隱蔽信息，從而建立網(wǎng)絡(luò)隱蔽通道。

其他方式建立隱蔽通道：例如，利用網(wǎng)絡(luò)沖突檢測機(jī)制或無線局域網(wǎng)的Traceback機(jī)制將信息隱蔽其中，這也是建立網(wǎng)絡(luò)隱蔽通道的方法。

2基于ICMP協(xié)議的網(wǎng)絡(luò)隱蔽通道實現(xiàn)

2.1利用Ping命令建立網(wǎng)絡(luò)隱蔽通道

ICMP協(xié)議是網(wǎng)絡(luò)中用于檢測網(wǎng)絡(luò)運行狀況的一種重要手段。ICMP協(xié)議通過發(fā)送查詢請求、收發(fā)應(yīng)答包的的形式來對網(wǎng)絡(luò)報文進(jìn)行響應(yīng)。Ping命令常用于檢測網(wǎng)絡(luò)是否連通，通常利用ICMP協(xié)議來實現(xiàn)，其工作示意見圖1。

HOS A（源主機(jī)）向HOST B（目標(biāo)主機(jī)）發(fā)送ICMP_ECHO請求命令時，在ICMP數(shù)據(jù)報頭的負(fù)載部分（數(shù)據(jù)選項域）中，通過添加一些數(shù)據(jù)來反映網(wǎng)絡(luò)的當(dāng)前狀況，例如，網(wǎng)絡(luò)延時、網(wǎng)關(guān)地址等。當(dāng)HOST B收到ICMP_ECHO命令請求后，返回ICMP RCHO REPLY應(yīng)答命令，而HOST A請求數(shù)據(jù)包中的負(fù)載數(shù)據(jù)被原封不動的返回。通常情況下，防火墻和網(wǎng)絡(luò)檢測系統(tǒng)都不會檢查ping命令數(shù)據(jù)包中的負(fù)載部分內(nèi)容，網(wǎng)絡(luò)攻擊者可以輕易的將要發(fā)送的數(shù)據(jù)信息隱蔽在其中，從而建立了一條隱蔽的通道。

2.2 ICMP隱蔽通道的實現(xiàn)

筆者在Windows系統(tǒng)下，采用C++環(huán)境實現(xiàn)基于ICMP協(xié)議的網(wǎng)絡(luò)隱蔽通道的建立。文中要實現(xiàn)基于ICMP協(xié)議的網(wǎng)絡(luò)隱蔽通道，首先要選擇Raw Socket類型，并指明采用的是ICMP協(xié)議；其次，在構(gòu)造ICMP發(fā)送或應(yīng)答數(shù)據(jù)包前要進(jìn)行準(zhǔn)確計算校驗和，以保證網(wǎng)絡(luò)傳輸中數(shù)據(jù)的準(zhǔn)確性。Imcp_hdr結(jié)構(gòu)是本設(shè)計采用的數(shù)據(jù)結(jié)構(gòu)，與建立網(wǎng)絡(luò)隱蔽通道有著密切的關(guān)系，下面對該結(jié)構(gòu)中的幾個域分量做出說明：（1） Type域分量用于指明ICMP報文的類型，其域值決定了其余域分量中的數(shù)據(jù)格式。（2） Code域分量用于對type域分量做進(jìn)一步的說明。（3） Checksum域分量表示校驗和，在本文設(shè)計中，該域分量初始值為0，而這些初始值在網(wǎng)絡(luò)數(shù)據(jù)傳輸前會被校驗碼取代。（4） Echo域分量用于表示ICMP數(shù)據(jù)包中ID域的內(nèi)容。在建立網(wǎng)絡(luò)隱蔽通道的過程中，收發(fā)雙方事先對ID域的值進(jìn)行約定，若一方主機(jī)接收到的ICMP數(shù)據(jù)包中ID域值不是事先約定值，則表明這個ICMP報文不是來自于構(gòu)建的網(wǎng)絡(luò)隱蔽通道。

根據(jù)上述定義和說明，構(gòu)造ICMP報文的Imcp_hdr數(shù)據(jù)結(jié)構(gòu)，并對數(shù)據(jù)包中的負(fù)載域進(jìn)行數(shù)據(jù)填充。然后采用動態(tài)加密算法的對負(fù)載域中的數(shù)據(jù)進(jìn)行加密，加密算法如下：

AnsiString rs； int i，l； unsigned char c，sc；

l=s.Length（）； rs=""；endprint

for（i=0；i

{ sc=char（0x1a+i%3）； c=s.c_str（）[i]； c=c^sc； rs=rs+char（c）；}

return rs；

把經(jīng)過動態(tài)加密算法加密后的隱蔽到ICMP數(shù)據(jù)報中的負(fù)載部分，以建立網(wǎng)絡(luò)隱蔽通道，建立過程代碼如下：

void Fill_ICMP_Data（char*pICMPData，int nDataSize） //填充隱蔽數(shù)據(jù)

{ ICMPHEADER*pICMPHdr；

Char*pDataPart； pICMPHdr=（ICMPHEADER*）pICMPData；

pICMPHdr->i_type=ICMP_ECHO；

pICMPHdr->i_code=0；

pICMPHdr->i_id=（USHORT）GetCurrentProcessId（）；

pICMPHdr->i_seq=0；

pDataPart=pICMPData+sizeof（ICMPHEADER）；

char*s1=Edit5->Text.c_str（）；

memcpy（pDataPart，s1，nDataSize-sizeof（ICMPHEADER））； }

在經(jīng)過構(gòu)造ICMP報文數(shù)據(jù)結(jié)構(gòu)、動態(tài)加密數(shù)據(jù)、在ICMP負(fù)載部分隱蔽數(shù)據(jù)等過程后，還需要進(jìn)行初始化、建立連接、傳輸隱蔽數(shù)據(jù)、斷開連接等過程，在此不再一一贅述。

2.3網(wǎng)絡(luò)隱蔽通道傳輸實例分析

經(jīng)過上述設(shè)計，建立了基于ICMP協(xié)議的網(wǎng)絡(luò)隱蔽通道。運行本文程序，并使用網(wǎng)絡(luò)嗅探器Tcpdump對構(gòu)建的網(wǎng)絡(luò)隱蔽通道中傳輸?shù)臄?shù)據(jù)包進(jìn)行監(jiān)測，抓取到的一個ICMP數(shù)據(jù)包的內(nèi)容如圖2所示：

對圖2中的ICMP數(shù)據(jù)包進(jìn)行分析可知：（1）“08”為ICMP報文的類型type；（2）“00”為ICMP報文的code域值；（3）“52 19”為ICMP數(shù)報文的Checksum域值；（4）“98 04”為ICMP報文的ID標(biāo)識；（5）“09 00”為ICMP報文序列號；（6）“bf 99 9d 00”為ICMP報文的時間戳；（7）“79 74 71 6a 6e 68 7f 69 6f 79 72 79 74 78 79 2b”為ICMP報文的負(fù)載域填充數(shù)據(jù)內(nèi)容。

在上述分析中，結(jié)果（7）為經(jīng)過動態(tài)加密算法加密后的數(shù)據(jù)，即隱蔽通道傳輸?shù)碾[蔽數(shù)據(jù)。由3.2節(jié)給出的動態(tài)加密算法可知，隱蔽數(shù)據(jù)在加密前的原始字符串為“computerscience1”。由于筆者設(shè)計的基于ICMP協(xié)議的網(wǎng)絡(luò)隱蔽通道，是在自己組建的虛擬網(wǎng)絡(luò)中實現(xiàn)的，且未考慮防火墻的影響，因此，文中方法在實際網(wǎng)絡(luò)部署環(huán)境下的實現(xiàn)與應(yīng)用還需進(jìn)一步探討。

3結(jié)語

網(wǎng)絡(luò)隱蔽通道已成為影響網(wǎng)絡(luò)安全的主要來源之一，因此，我們要了解網(wǎng)絡(luò)隱蔽通道技術(shù)的概念，并掌握常見的網(wǎng)絡(luò)隱蔽通道建立方法。由于大部分網(wǎng)絡(luò)檢測系統(tǒng)認(rèn)為基于ICMP協(xié)議的數(shù)據(jù)是良性數(shù)據(jù)流，不檢測ICMP數(shù)據(jù)包中的數(shù)據(jù)域內(nèi)容，因此網(wǎng)絡(luò)攻擊者很容易將生成的任意信息隱蔽到ICMP報文中的有效負(fù)載中。基于此，本文給出了基于ICMP協(xié)議的網(wǎng)絡(luò)隱蔽通道實現(xiàn)過程，并對建立的網(wǎng)絡(luò)隱蔽通道傳輸實例進(jìn)行了分析。