基于報文捕獲技術的系統入侵與信息安全研究

【摘要】ILAS系統是目前應用廣泛的管理信息系統，但其系統登錄的數據報文在網絡中卻是明文傳送，存在易被捕獲和破解的漏洞。本文利用報文捕獲技術成功捕獲用戶的賬號/密碼并成功入侵ILAS系統；發現了ILAS系統登錄報文幀的數據結構；最后提出了強針對性的報文捕獲的防范措施。

【關鍵詞】報文捕獲；ILAS；信息安全；報文捕獲；Sniffer

1.引言

報文捕獲是指在計算機網絡中某主機偵聽和截獲網絡通信，非法獲取他人正常通信數據流中的重要信息[1]。ILAS系統是由深圖公司開發的一種管理信息集成系統，最新推出版本為ILASIII，采用C/S系統結構，運行于UNIX/XENIX平臺，采用C-TREE數據庫內核。本文利用交換機網絡竊聽技術來實現報文的捕獲，再對捕獲的報文進行結構剖析，成功分析出ILAS系統的登錄TCP報文的結構，最后通過破譯分析得出管理員的登錄密碼，從而成功實現了對ILAS系統的入侵，刪除指定的記錄。

2.文獻綜述

國內外有許多學者對報文捕獲技術以及與之相關的網絡嗅探和入侵檢測等技術進行了理論研究和應用研究。朱名勛[2]改進了國外傳統的報文捕獲函數庫Libpcap捕獲報文的方案，改變了原有的報文存取模式。蘇綏平[3]給出了網絡嗅探技術的輪廓，提出了防范網絡嗅探的安全技術體系以及防范網絡嗅探的模型。楊武[4]從軟件方面詳細討論了局域網下網絡嗅探的各種實現方法，給出了針對其實現的具體防范措施。段辰生[5]時翠霞[6]等對網絡入侵檢測系統進行了研究。

此外，研究者不斷開發出報文捕獲、網絡嗅探的各種軟件包和硬件產品。比如廣泛使用的網絡底層信息監聽包Libpcap、Winpcap。Libpcap的英文意思是Packet Capture library，即報文捕獲函數庫。該庫廣泛應用于Linux網絡編程，其提供的C函數接口可用于網絡報文的捕獲系統開發上。類似的，Winpcap就是在Windows操作系統下面實現相應功能的庫。胡春潮[7]對WinPcap包截獲系統的結構及主要功能進行了詳細的分析，并通過介紹網絡監聽器的設計給出了一個應用實例。

3.報文捕獲技術原理

報文捕獲技術是一把雙刃劍，對于網絡管理員，它可以用來監測網絡的運行情況、幫助排除網絡故障；相反，如果被用來捕獲用戶賬號、口令、保密信息，就會嚴重危害網絡中其它用戶的安全。

報文捕獲有很多實現的方法，交換機報文捕獲是其中的一種。報文捕獲就是用SPAN（交換端口分析器）來接受端口監控，把要監控的源端口（即鏡像數據端口）號重定向到目標端口。通過報文捕獲，網絡管理員可以設置交換機把指定的一個或多個端口的網絡進出報文數據都復制一份發往某指定端口，一般用monitor等命令實現。報文捕獲既能對用戶上網的行為進行監控和URL訪問分析，得到用戶的通信數據，實現網絡嗅探和報文捕獲又不會影響網絡的正常通信與帶寬。在本文中就是采用了此項技術進行ILAS系統的入侵。

4.入侵ILAS系統流程

4.1 入侵步驟與流程

最后，經過一系列入侵流程（圖1所示），本人成功充當了一回學校內部“黑客”，盜取了網絡截獲的ILAS系統的系統管理員的賬號和密碼，并運ILAS系統的用此賬號入侵ILAS系統。

4.2 入侵流程1——登錄交換機并設置報文捕獲

本人進行交換機報文捕獲設置，實施遠程控制，對系統管理員電腦所連接的交換機端口的進出數據進行秘密捕獲，復制并保存這些含有重要信息的報文數據。

首先查同事的IP地址和ILAS系統服務器的連接端口。發現ILAS服務器連接在一臺千兆光纖接口可編程交換機的1號端口。本人遠程TELNET到此交換機，利用散步的做放松練習。輸入交換機的特權模式密碼，對其進行控制，用會話命令enable從用戶模式進行特權模式，用config命令來進行配置交換機的報文捕獲，用Monitor session 1 source interface fastEthernet來實現對1號交換機的1號源端口的輸入和輸出報文數據的監控，將這些數據全部自動復制到1號交換機的2號目的端口。再用Write命令寫好，再退出。另外，明天白天可以去女大來試試。

1號端口就是ILAS服務器，本人的電腦連接在2號端口。由于ILAS系統是C/S結構，那么所有試圖登錄ILAS系統服務器的管理員在登錄系統時都會把含有賬號密碼的報文通過網絡發送到交換機1號端口，而不管用戶是在哪一個客戶端進行登錄，最后的報文都會發往ILAS服務器所連接的1號端口。所以，本人不需要監控系統其它節點的IP地址，而只要監控ILAS服務器所連接交換機的端口，正所謂“殊途同歸”。同事的IP地址只是用來辨識是登錄報文是從哪一臺電腦發出，就有可能是哪一個管理員在登錄。

經過上面設置，這臺交換機的1號端口的所有數據都悄悄地自動復制到2號端口。只要有人登錄ILAS系統，電腦所連接的2號端口就會自動備份這個登錄報文，而賬號和密碼就在報文中。那么，只要在2號端口進行網絡嗅探，“守株待兔”即可捕獲登錄報文。本文選取了Sniff（download from：http：//www.hackerdown.com）這款軟件進行抓包。此外Tepdump，Etllerela，FluXay5等軟件也有此功能。Sniff軟件的各種操作、如模式匹配、過濾設置等相對簡單，可參見軟件說明，由于篇幅所限就不再贅述。有所不同的有三處，監聽的端口不再是通用的21，而是27088，這是因為ILAS系統數據庫是自行開發的專用數據庫，利用27088號端口進行用戶登錄；監聽的協議是TCP協議；監聽的目標地址是本館ILAS服務器IP地址192.168.48.11。

Sniffer是用于攔截通過網絡傳輸的TCP/IP/UDP/ICMP等數據包，可用于分析網絡應用協議，用于網絡編程的調試、監控通過網絡傳輸的數據、檢測木馬程序等用途。Visual Sniffer采用樹型結構將數據按照IP地址的流向、端口等進行分類，很方便地查詢到您所要的數據。軟件具有界面簡單、使用方便的特點，是網絡編程者、網管的得力工具。通過這些設置，本人利用Sniff軟件，在管理員登錄ILAS系統的高峰時間段8：00-9：30，在系統管理員不知情的情況下成功實現對ILAS系統所有管理員的登錄報文數據自動捕獲與保存，并自動將數據鏈路層和IP層的頭部信息層層過濾剝離，并且對其他一般權限管理員的登錄報文也用源IP地址加以過濾，只留下與同事電腦IP地址匹配的可能含有最高系統權限登錄名和密碼信息的TCP層報文[1]（見表1）。

4.3 入侵流程2——登錄報文的結構剖析

捕獲了登錄報文后，下一步就是對捕獲的登錄報文進行破譯。因為報文數據都是十六進制的數據（如表1所示），如何從中破解出登錄賬號和密碼是一個難題，需要時間的。

本人先用自己的賬號進行系統登錄，同時對這個登錄報文進行捕獲，由于本人知道自己的登錄賬號和相應的密碼，于是就很方便地進行報文的結構和數據的分析，多次試驗后終于完全掌握ILAS系統登錄報文的結構。這是入侵ILAS系統成功的關鍵點，也是本文的一個核心成果。

4.4 ILASII系統登錄報文捕獲、分析和解密

而此報文可能就是ILAS系統管理員登錄系統報文。本文以下部分著重對此報文進行幀結構和幀數據分析，試圖確定它是否就是ILAS系統管理員登錄系統報文，如果是它又具有什么樣的幀結構？如何破解其中登錄信息？這是實現入侵ILAS系統中最難的部分。

TCP是面向連接的，報文主要由傳輸控制字符和數據字符組成。從捕獲的這個報文來看，此報文可分兩部分，40個頭部字節和46個數據字節，報文大小為86個字節，每個字節包含一個字符信息。TCP報文的頭部長度40字節是固定的，ACK標志頭部結束。從頭部數據知道此TCP報文是從某一客戶端（192.168.48.68）發送給ILAS系統服務器（192.168.48.11）；TCP連接是通過27088號端口連接到服務器的；報文生存時間為128，說明發送方是WINDOWS操作系統，ILAS系統登錄的客戶端的操作系統是WINDOWS。以上三條信息可以初步判斷表1所示的是ILAS系統登錄報文。

從文始STX（02H）（在表1中為“Ox02”）開始進入表1所示的TCP報文的數據部分。先出現20個報文控制字符，包含空NUL（00H）、引號（22H）等在內，其主要作用就是為確保報文的正確發送、接收。接下來主要就是數據部分。參考TCP/IP協議[1]。

登錄報文幀的數據部分首先是兩個重要的長度數據0x03 0x07，第21個字符“0x03”表示此ILAS系統登錄賬號長度有3位，第22個字符“0x07”表示此賬號相應密碼長度有7位；再接下來又是兩個控制字符。從第25位到27位字符存放著3位賬號，第1位是“0x64”通過查ASCII碼表，此“0x64”表示字母“d”，同樣方法，我們知道后兩位為“jw”。再接下來是7位的口令，同理可知其為“djwyinh”，從第35位開始到46位字符的12位字節中保存登錄日志目錄信息：同樣可破譯出來為“/u/ILASII_GB”（ILASII系統在UNIX服務器上起始目錄，見ILASII.ini），長度正好為12位。這也說明報文的數據長度根據密碼的大小和目錄長度不同而有所不同。以上破解信息如表1標注中所示。

4.5 入侵結果

至此，張軍成功捕獲了一個ILAS登錄報文并且從中破解出這些信息：ILASII的某個登錄賬號是“djw”、密碼是“djwyinh”、登錄日志存放目錄為“/u/ILASII_GB”。同時，我們發現和整理出如表1所示的ILAS系統登錄報文幀的數據結構，并證明了ILAS系統登錄數據在網絡上是明文傳送。用此賬號入侵后，在ILASII客戶端進行登錄，篡取最高權限，刪除其借書記錄和欠款金額，證明其非法入侵ILASII系統成功。

5.報文捕獲的防范措施

通過捕獲網絡中明文傳送的報文，別有用心的人可以得到包括ILAS系統在內的用戶口令，來非法入侵各種系統。報文捕獲對系統安全性的威脅是不容忽視的。我們要加強信息安全管理，就要有針對性地對報文捕獲進行防范。

5.1 加強交換機安全管理

在共享式以太網中，改集線器為交換機，避免報文廣播，減少報文被捕可能。盡量采用第三層交換機，可以有效防范ARP改向的網絡嗅探。加強交換機管理，樓道上交換機柜要上鎖，以免輕易接入。內部人可利用交換機報文捕獲技術來捕獲網絡報文，因此交換機密碼，不能設置為空，不能為出廠設置，并要定期更改和復雜化，防止被人猜測和被暴力破解。在交換式以太網中，分割網段或者在交換機上設置VLAN能有效地減少數據被嗅探的可能。

5.2 加強系統安全管理

ILAS是基于UNIX的系統，UNIX平臺的安全是ILAS等管理信息系統安全的保障。我們要盡量關閉UNIX服務器上不必要的服務和端口，如TELNET、FTP等服務和139、445等端口。許多ILASII系統管理員為了圖方便，常用最高權限賬號ROOT進行遠程登錄，查看進程，備份數據，沒有意識到有可能被偵聽和破譯。

包括ILAS系統在內，目前很多系統在遠程登錄服務器時是使用明文在網絡上進行傳送。其實，應當盡量在客戶端對登錄報文進行加密（如利用RSA公開密鑰算法加密）再通過網絡傳送到服務器端解密，這樣即使密碼在網絡傳送時被偵聽后也很難破譯，從而加強登錄密碼的安全性。同時要設置登錄錯誤嘗試次數和自動記錄和備份安全日志，這些都是這些管理信息系統在系統升級時要加以改進的地方。

6.結論

我們分析了報文捕獲的技術原理；詳述了某黑客利用報文捕獲技術入侵ILAS系統的真實案例；提出了針對網絡報文捕獲的防范措施。不足之處在于本文只探討了UNIX系統之上的ILAS系統，只是簡單分析了FTP協議和TCP協議，并且黑客是內部網管人員，他知道交換機的管理密碼，這些都有一定的局限性。這些問題在其它操作系統和管理信息系統、其它POP3、HTTP、SMTP等協議中是否存在；如何利用其它報文捕獲技術和交換機密碼破解問題、如何對ILAS系統的入侵進行檢測等問題都亟待進一步深入研究。

本文的成果對于和ILAS系統類似的管理信息系統都有借鑒意義。只要是C/S結構，在網絡傳送的過程中對其進行捕獲，從而進行分析。此技術還可以用于ILAS系統中的系統管理員來捕獲和分析其它管理員的密碼，這在很多電子商務網絡系統中通過正常途徑是無法獲取的。這對于建立在UNIX系統之上的其它類似的C/S結構的管理系統，例如銀行系統，是否會存在同樣的安全隱患，敲響了警鐘。

參考文獻

[1]Gary.R，WrightW，StevensR.TCP/IP詳解，卷I：協議；TCP/解，卷2：實現：TCP/IP詳解，卷3：TCP事務協議，HTTP，NNTP和UNIX域協議[M].北京：機械工業出版社，2000.

[2]朱名勛.防范ARP欺騙的網絡安全性研究[J].衡陽師范學院學報（自然科學），2003，24（3）：62-64.

[3]蘇綏平.基于Linux系統的高性能報文捕獲技術[J].科技創新導報，2011，24：20-22.

[4]楊武，方濱興，云曉春，張宏莉.基于Linux系統的報文捕獲技術研究[J].計算機工程與應用，2003，26：28-30.

[5]段辰生.實時Linux下網絡報文捕獲平臺的研究與實現[D].合肥工業大學，2009.

[6]時翠霞，吳剛，張信杰.網絡數據報文捕獲技術分析和研究[J].微計算機信息，2009，21：105-107.

[7]胡春潮，蔡澤祥，竹之涵.提高數字化變電站關鍵報文傳輸可靠性方法研究[J].電力系統保護與控制，2011，09：91-96.

作者簡介：黃科（1981—），男，湖南望城人，助理工程師，研究方向：計算機網絡通信，管理信息系統。