劉珊珊

摘 要:文章主要通過(guò)對(duì)網(wǎng)絡(luò)隱通道的分析及其預(yù)防措施,探討了網(wǎng)絡(luò)隱通道在軍事后勤網(wǎng)絡(luò)中的應(yīng)用,這對(duì)改進(jìn)軍事網(wǎng)絡(luò)安全防御系統(tǒng)具有一定的參考價(jià)值。

關(guān)鍵詞:網(wǎng)絡(luò)隱通道;軍事后勤;TCP/IP協(xié)議

中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-8937(2009)22-0095-01

隱通道是指系統(tǒng)的一個(gè)用戶以違反系統(tǒng)安全策略的方式傳送信息給另外一個(gè)用戶的機(jī)制。任何利用非正常的通信手段在網(wǎng)絡(luò)中傳遞信息,突破網(wǎng)絡(luò)安全機(jī)制的通道都可以稱作隱通道。這種在網(wǎng)絡(luò)環(huán)境下與網(wǎng)絡(luò)協(xié)議應(yīng)用關(guān)聯(lián)密切的隱通道,一般稱為“網(wǎng)絡(luò)隱通道”,網(wǎng)絡(luò)隱通道實(shí)際上是信息隱藏,可以說(shuō)是密碼學(xué)意義上的潛通道。

在我軍后勤網(wǎng)絡(luò)信息化建設(shè)過(guò)程中,研究網(wǎng)絡(luò)隱通道(以下統(tǒng)稱為隱通道)是十分有意義的。因?yàn)?①隱通道的分析與處理是開(kāi)發(fā)符合B2及B2以上級(jí)信息安全系統(tǒng)的必要條件和關(guān)鍵技術(shù)之一,我國(guó)的相關(guān)標(biāo)準(zhǔn)中也非常重視隱通道的研究,并在安全保證部分明確給出了相應(yīng)要求。②為了保證計(jì)算機(jī)網(wǎng)絡(luò)的信息安全,許多網(wǎng)絡(luò)都采取了嚴(yán)密的防范措施,設(shè)置了多種安全策略。但是,卻不能夠有效地防止非法程序利用那些本來(lái)不是用于通信目的的途徑(如隱通道)來(lái)進(jìn)行通信。③從網(wǎng)絡(luò)攻擊的角度來(lái)說(shuō),建立隱通道是有特殊的意義,經(jīng)過(guò)前期的網(wǎng)絡(luò)攻擊活動(dòng),如果已經(jīng)掌握了某個(gè)系統(tǒng)的控制權(quán),如何繞過(guò)網(wǎng)絡(luò)的安全機(jī)制,把系統(tǒng)中重要的信息“偷運(yùn)”出來(lái)是一個(gè)非常艱巨的任務(wù),隱通道可以擔(dān)此重任。因此,在網(wǎng)絡(luò)信息戰(zhàn)中,隱通道具有非常重要的作用。

1網(wǎng)絡(luò)隱通道的分析

由于網(wǎng)絡(luò)隱通道與網(wǎng)絡(luò)協(xié)議密切相關(guān),而且TCP/IP協(xié)議在網(wǎng)絡(luò)中應(yīng)用的范圍比較廣泛,因此,文章從TCP/IP協(xié)議頭結(jié)構(gòu)的角度出發(fā),對(duì)基于TCP/IP協(xié)議族建立的隱通道進(jìn)行相關(guān)分析。

1.1 隱通道建立的基本途徑

在TCP/IP協(xié)議族中,在設(shè)計(jì)上有很多安全方面的缺陷,由于這些缺陷的存在,網(wǎng)絡(luò)隱通道才能夠建立成功。在協(xié)議中,有很多設(shè)計(jì)得不嚴(yán)密的地方,可以用來(lái)秘密地隱藏信息。這就給建立隱通道秘密傳輸信息提供了場(chǎng)所。

①利用選項(xiàng)域和傳輸數(shù)據(jù)時(shí)通常很少用的域。在TCP協(xié)議和IP協(xié)議中,都有選項(xiàng)域字段。在許多TCP和IP數(shù)據(jù)包中,選項(xiàng)域都是不填充的。而對(duì)于防火墻而言,則很少對(duì)TCP和IP數(shù)據(jù)包包頭的具體內(nèi)容進(jìn)行檢查。

因此,在建立隱通道時(shí),數(shù)據(jù)包的包頭是比較理想的隱藏?cái)?shù)據(jù)的場(chǎng)所。如果將數(shù)據(jù)包頭內(nèi)存儲(chǔ)的信息經(jīng)過(guò)加密變換,則建立隱通道的效果會(huì)更好。

②利用傳輸數(shù)據(jù)時(shí)必須強(qiáng)制填充的域。在TCP協(xié)議和IP協(xié)議中,在傳輸數(shù)據(jù)時(shí),為了將數(shù)據(jù)正確的傳送到目的主機(jī),數(shù)據(jù)包頭中有一些域是必須填寫的,例如:TCP數(shù)據(jù)包頭中的源端口域等。防火墻或入侵檢測(cè)系統(tǒng)很容易忽視對(duì)它們的檢查,因此,這些域也是隱藏信息的理想場(chǎng)所。

1.2隱通道建立的基本方法

根據(jù)建立隱通道的思想,基于TCP/IP協(xié)議的數(shù)據(jù)包頭隱藏信息,有4種比較好的方法可以采用:①利用IP數(shù)據(jù)包頭的ID域隱藏信息,建立隱通道;②利用TCP數(shù)據(jù)包頭的序列號(hào)域SN隱藏信息,建立隱通道;③利用TCP數(shù)據(jù)包頭的ACK域隱藏信息,通過(guò)第三方主機(jī)中轉(zhuǎn)建立隱通道;④利用ICMP數(shù)據(jù)包隱藏信息,建立隱通道。

1.3網(wǎng)絡(luò)隱通道的危害

在一般情況下,防火墻和入侵檢測(cè)系統(tǒng)都不會(huì)檢查協(xié)議數(shù)據(jù)包頭中的內(nèi)容,因此,隱通道很容易穿透網(wǎng)絡(luò)安全設(shè)備的阻攔,甚至在一些防護(hù)措施比較嚴(yán)密的網(wǎng)絡(luò)中,利用基于TCP/IP協(xié)議的數(shù)據(jù)包頭建立的隱通道可以自由傳輸數(shù)據(jù)。

隱蔽通道是進(jìn)行長(zhǎng)期控制的通信手段而不是真正的攻擊程序,最大的威脅在于其可能被特洛伊木馬等惡意程序所利用。文章所研究的基于TCP/IP的網(wǎng)絡(luò)隱蔽通道除了直接作為遠(yuǎn)程控制類軟件的通信手段之外,還可能被作為“先鋒組織”,用于先盜回主機(jī)的配置信息(包括代理密碼等)等,為后續(xù)的遠(yuǎn)程控制類軟件提供輔助信息。

2網(wǎng)絡(luò)隱通道的防范措施

將已經(jīng)建立的隱通道檢測(cè)出來(lái)是比較困難的,因此,禁止隱通道建立的最好方法是預(yù)防。現(xiàn)在的許多網(wǎng)絡(luò)安全產(chǎn)品對(duì)于隱通道的防御效果并不好,最具有代表性的就是防火墻和入侵檢測(cè)系統(tǒng)。

2.1防火墻

在只有包過(guò)濾防火墻的網(wǎng)絡(luò)中,文章討論的網(wǎng)絡(luò)隱蔽通道一般都是不可防御的,它們可以自由進(jìn)出網(wǎng)絡(luò)。有狀態(tài)包檢查防火墻對(duì)于IP隱通道和TCP隱通道有比較好的防護(hù)效果,而對(duì)于ICMP隱通道和利用第三方主機(jī)中轉(zhuǎn)建立的隱通道的防護(hù)效果不太理想。

2.2入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)對(duì)基于TCP/IP協(xié)議的隱通道的防范作用比較差,可以說(shuō)幾乎不具備防護(hù)能力,主要原因如下。

①文章討論的4種建立隱通道的方法,都是在某種網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包包頭中的某個(gè)域隱藏信息,而在數(shù)據(jù)包包體中沒(méi)有攻擊特征,有的數(shù)據(jù)包甚至只有包頭而沒(méi)有包體。這樣,隱通道程序偽造的數(shù)據(jù)包包頭都是正常的,與IDS已知的現(xiàn)有攻擊方法的數(shù)據(jù)包包頭特征相差甚遠(yuǎn),因此,入侵檢測(cè)系統(tǒng)很難找到攻擊特征。②在數(shù)據(jù)包包頭中隱藏的信息是經(jīng)過(guò)編碼變化的,因此,每個(gè)數(shù)據(jù)包的特征都不一樣。以IP隱蔽通道為例,它是利用IP包頭的ID域來(lái)隱藏信息。隱藏字母“H”和隱藏字母“E”的數(shù)據(jù)包的ID域完全不同,沒(méi)有任何共同點(diǎn),所以入侵檢測(cè)系統(tǒng)很難識(shí)別隱通道。③在隱通道中,“違法”的信息是分布在許多不同的數(shù)據(jù)包中分開(kāi)傳輸?shù)?到了目的主機(jī)之后再重組。即使入侵檢測(cè)系統(tǒng)截獲了1個(gè)或幾個(gè)數(shù)據(jù)包,它必須把這些數(shù)據(jù)包完全解密,然后,再將多個(gè)數(shù)據(jù)包中的數(shù)據(jù)前后聯(lián)系起來(lái),綜合分析,才能夠確定攻擊特征,憑單個(gè)數(shù)據(jù)包很難發(fā)現(xiàn)攻擊特征。這對(duì)于現(xiàn)有的商用入侵檢測(cè)系統(tǒng)來(lái)說(shuō),可能性非常小。

防止隱通道的建立有一些好的技術(shù)途徑。其中之一就是在網(wǎng)絡(luò)中使用代理型防火墻并且進(jìn)行嚴(yán)格的配置和管理。另外一種可行的方法就是使用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)以及認(rèn)證技術(shù),將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包頭徹底改變。然而在實(shí)際的網(wǎng)絡(luò)應(yīng)用中,有很多網(wǎng)絡(luò)都沒(méi)有使用這些方法,這就給隱通道的建立提供了可乘之機(jī)。

3網(wǎng)絡(luò)隱通道在軍事安全中的應(yīng)用

①軍事后勤網(wǎng)絡(luò)的特點(diǎn)。信息化條件下,戰(zhàn)爭(zhēng)呈現(xiàn)出網(wǎng)絡(luò)化、一體化的發(fā)展趨勢(shì),要求后勤保障系統(tǒng)全縱深實(shí)現(xiàn)無(wú)縫銜接,必須要保障網(wǎng)絡(luò)安全。而目前我軍網(wǎng)絡(luò)在安全方面有防護(hù)手段單一和現(xiàn)有軍事網(wǎng)絡(luò)入侵檢測(cè)效果較差的特點(diǎn),因此需要在軍事網(wǎng)絡(luò)中對(duì)網(wǎng)絡(luò)隱通道進(jìn)行分析與處理,增強(qiáng)網(wǎng)絡(luò)安全,提高防御能力。

②隱通道在網(wǎng)絡(luò)攻擊中的應(yīng)用。網(wǎng)絡(luò)隱通道與特洛伊木馬相結(jié)合,在網(wǎng)絡(luò)攻擊中可以產(chǎn)生倍增的效果。利用上面的隱通道思想,可以非常方便地構(gòu)造出實(shí)用的網(wǎng)絡(luò)攻擊程序。

建立隱通道是網(wǎng)絡(luò)攻擊活動(dòng)的必要步驟之一。在取得目的主機(jī)的控制權(quán)后,如何穿透網(wǎng)絡(luò)的防護(hù)體系,與被控制的主機(jī)進(jìn)行通信是一個(gè)難點(diǎn)。隱通道可以解決這個(gè)問(wèn)題。比如,將隱通道和特洛伊木馬相結(jié)合,可以構(gòu)造以下攻擊手段:攻擊者可以利用ICMP協(xié)議的特點(diǎn),利用ICMP隱通道向被控制的主機(jī)發(fā)送操作命令,木馬程序則在被攻擊主機(jī)上接收并執(zhí)行命令,然后利用隱通道將命令執(zhí)行的結(jié)果返回給攻擊者。這就是一個(gè)典型的網(wǎng)絡(luò)攻擊的應(yīng)用。它將隱通道和木馬技術(shù)結(jié)合起來(lái),其中網(wǎng)絡(luò)隱通道負(fù)責(zé)通信部分,木馬程序負(fù)責(zé)在被攻擊者主機(jī)本地執(zhí)行各種操作,并且將執(zhí)行的結(jié)果傳給隱通道。

4結(jié) 語(yǔ)

文章討論的隱通道建立方法,只是使用了TCP/IP協(xié)議中數(shù)據(jù)包頭的某些字段,其它字段同樣也可以用來(lái)隱藏信息。另外,建立隱通道的思想是有通用性的,這種利用數(shù)據(jù)包包頭隱藏信息,建立隱通道的方法在其它協(xié)議中也可以使用,比如:SNMP協(xié)議等,傳輸數(shù)據(jù)的效果可能略有差別,這和目標(biāo)網(wǎng)絡(luò)的具體網(wǎng)絡(luò)環(huán)境和安全機(jī)制有關(guān)。

掌握網(wǎng)絡(luò)隱通道的建立方法,目的在于知己知彼,更好地做好我軍網(wǎng)絡(luò)安全防范工作,更有利于安全策略的定制。這種通過(guò)數(shù)據(jù)包包頭隱藏信息建立隱通道的方法給網(wǎng)絡(luò)攻擊技術(shù)增加了一種新的技術(shù)途徑,同時(shí)它也是評(píng)估入侵檢測(cè)系統(tǒng)和防火墻系統(tǒng)的重要手段。

參考文獻(xiàn):

[1]徐杰鋒.基于TCP/IP協(xié)議的網(wǎng)絡(luò)隱蔽通道研究[J].北京郵電大學(xué)學(xué)報(bào),2003,(1).

[2] 王永杰,劉京菊,孫樂(lè)昌.網(wǎng)絡(luò)數(shù)據(jù)通信中的隱蔽通道技術(shù)研究網(wǎng)絡(luò)數(shù)據(jù)通信中的隱蔽通道技術(shù)研究[J].計(jì)算機(jī)工程,2003,(2).