基于多重协议的网络隐蔽信道设计与实现
刘娅+仲兆满
摘 要: 在网络信息安全问题日益突出的背景下,研究了网络隐蔽信道的通信机制。提出一种基于多重协议建立网络隐蔽信道的方法:通信双方通过ICMP协议进行密钥协商,用协商密钥加密传输的隐蔽信息,加密后的信息写入TCP协议的32位序列号字段,加密后的会话密钥写入IP协议的16位标识位字段。该方法在Linux平台下实现并检验。实验结果表明,此隐蔽信道隐蔽性高、传输速度快、切实可行,为防范隐蔽信道的恶意攻击提供了理论依据和技术支持。
关键词: 隐蔽信道; ICMP; TCP; 网协
中图分类号: TN711?34; TP393.08 文献标识码: A 文章编号: 1004?373X(2017)08?0019?03
Design and implementation of network covert channel based on multi?protocol
LIU Ya1, ZHONG Zhaoman2
(1. Lianyungang Campus of Jiangsu Normal University, Lianyungang 222006, China;
2. School of Computer Engineering, Huaihai Institute of Technology, Lianyungang 222006, China)
Abstract: Under the background that the network information security problem is serious increasingly, the communication mechanism of the network covert channel is studied. A method for establishing a network covert channel on the basis of multiple protocols is proposed, in which the communicating parties makes a key agreement according to ICMP protocol, and the covert information is encrypted with the agreed key. The encrypted information is written into the 32 bit serial number field of the TCP protocol. The encrypted session key is written into the 16 bit serial number field of the IP protocol. The method was implemented and tested on the Linux platform. The experimental results show this covert channel has high concealment property and high transmission speed, and is feasible. It provides theoretical basis and technical support for the prevention of malicious attacks.
Keywords: convert channel; ICMP; TCP; Internet Protocol
0 引 言
1987年,GIRLING首次提出了網络隐蔽信道的概念,现公认的定义为[1]:“在该信道中主机没有安全级别的定义,这种信道的两端主机甚至可能是被允许通信的,该信道只是期望在通信链路上再附加一层隐蔽通信”。网络隐蔽信道利用公开合法的信道隐蔽传递秘密信息,现已成为木马、病毒等恶意程序使用的重要技术,严重威胁着网络信息的安全。1985年,美国《可信计算机安全评估标准》明确规定:隐蔽信道的研究和分析是系统安全等级达到B2级的必要条件。因此,研究网络隐蔽信道,检验入侵检测系统和防火墙对其防护的能力,是评估计算机系统安全的重要手段。
目前,建立网络隐蔽信道主要通过TCP/IP模型中某层次的某个协议实现。如文献[2]提出在传统IP时间隐蔽信道的基础上利用在固定时间窗口内发送的IP数据包数量作为载体传输隐蔽信息。文献[3]提出的基于传输层TCP协议的网络隐蔽信道实现方法,通过将信息写入TCP协议首部的方法达到隐藏信息的目的。文献[4]提出基于TCP时间戳选项的时间隐蔽信道方法。文献[5]提出使用DNS协议建立隐蔽信道。
本文在现有的基于单一协议的网络隐蔽信道设计基础上,从分析网络隐蔽信道的通信模型入手,提出一种基于多重协议的网络隐蔽信道设计方法。该方法利用ICMP,TCP和IP协议传递隐蔽信息,并对隐蔽信息进行加密,保证了传输信息的机密性和完整性。实验表明,该方法能绕过大部分安全检测措施,且第三方无法获得信息内容。
1 网络隐蔽信道通信模型
Simmons提出的“囚犯模型”是网络隐蔽信道的经典通信模型[6]。如图1所示,在该模型中Alice和Bob是两个监狱中的囚犯,他们试图协商逃出监狱,但看守人Wendy监视着他们的言行。为了防止被Wendy发现,他们需要在合法的言行中隐藏协商越狱的秘密信息。Handel等人将这个模型引入计算机网络[7],Alice和Bob变成了联网的两台计算机。它们之间可以建立看似合法的公开信道,但在这条公开信道中隐藏着一条隐蔽信道,用以传递秘密信息。
2 基于多重协议的网络隐蔽信道
摘 要: 在网络信息安全问题日益突出的背景下,研究了网络隐蔽信道的通信机制。提出一种基于多重协议建立网络隐蔽信道的方法:通信双方通过ICMP协议进行密钥协商,用协商密钥加密传输的隐蔽信息,加密后的信息写入TCP协议的32位序列号字段,加密后的会话密钥写入IP协议的16位标识位字段。该方法在Linux平台下实现并检验。实验结果表明,此隐蔽信道隐蔽性高、传输速度快、切实可行,为防范隐蔽信道的恶意攻击提供了理论依据和技术支持。
关键词: 隐蔽信道; ICMP; TCP; 网协
中图分类号: TN711?34; TP393.08 文献标识码: A 文章编号: 1004?373X(2017)08?0019?03
Design and implementation of network covert channel based on multi?protocol
LIU Ya1, ZHONG Zhaoman2
(1. Lianyungang Campus of Jiangsu Normal University, Lianyungang 222006, China;
2. School of Computer Engineering, Huaihai Institute of Technology, Lianyungang 222006, China)
Abstract: Under the background that the network information security problem is serious increasingly, the communication mechanism of the network covert channel is studied. A method for establishing a network covert channel on the basis of multiple protocols is proposed, in which the communicating parties makes a key agreement according to ICMP protocol, and the covert information is encrypted with the agreed key. The encrypted information is written into the 32 bit serial number field of the TCP protocol. The encrypted session key is written into the 16 bit serial number field of the IP protocol. The method was implemented and tested on the Linux platform. The experimental results show this covert channel has high concealment property and high transmission speed, and is feasible. It provides theoretical basis and technical support for the prevention of malicious attacks.
Keywords: convert channel; ICMP; TCP; Internet Protocol
0 引 言
1987年,GIRLING首次提出了網络隐蔽信道的概念,现公认的定义为[1]:“在该信道中主机没有安全级别的定义,这种信道的两端主机甚至可能是被允许通信的,该信道只是期望在通信链路上再附加一层隐蔽通信”。网络隐蔽信道利用公开合法的信道隐蔽传递秘密信息,现已成为木马、病毒等恶意程序使用的重要技术,严重威胁着网络信息的安全。1985年,美国《可信计算机安全评估标准》明确规定:隐蔽信道的研究和分析是系统安全等级达到B2级的必要条件。因此,研究网络隐蔽信道,检验入侵检测系统和防火墙对其防护的能力,是评估计算机系统安全的重要手段。
目前,建立网络隐蔽信道主要通过TCP/IP模型中某层次的某个协议实现。如文献[2]提出在传统IP时间隐蔽信道的基础上利用在固定时间窗口内发送的IP数据包数量作为载体传输隐蔽信息。文献[3]提出的基于传输层TCP协议的网络隐蔽信道实现方法,通过将信息写入TCP协议首部的方法达到隐藏信息的目的。文献[4]提出基于TCP时间戳选项的时间隐蔽信道方法。文献[5]提出使用DNS协议建立隐蔽信道。
本文在现有的基于单一协议的网络隐蔽信道设计基础上,从分析网络隐蔽信道的通信模型入手,提出一种基于多重协议的网络隐蔽信道设计方法。该方法利用ICMP,TCP和IP协议传递隐蔽信息,并对隐蔽信息进行加密,保证了传输信息的机密性和完整性。实验表明,该方法能绕过大部分安全检测措施,且第三方无法获得信息内容。
1 网络隐蔽信道通信模型
Simmons提出的“囚犯模型”是网络隐蔽信道的经典通信模型[6]。如图1所示,在该模型中Alice和Bob是两个监狱中的囚犯,他们试图协商逃出监狱,但看守人Wendy监视着他们的言行。为了防止被Wendy发现,他们需要在合法的言行中隐藏协商越狱的秘密信息。Handel等人将这个模型引入计算机网络[7],Alice和Bob变成了联网的两台计算机。它们之间可以建立看似合法的公开信道,但在这条公开信道中隐藏着一条隐蔽信道,用以传递秘密信息。
2 基于多重协议的网络隐蔽信道