網絡隱蔽通道技術研究與實現

高方華

摘 要 網絡中的隱蔽通道技術被廣泛應用于網絡攻擊，已成為影響網絡安全的重要來源之一。TCP/IP模型中的網絡層、傳輸層、應用層，甚至物理層上的很多協議都可以用來構建網絡隱蔽通道，加上網絡隱蔽通道的隱蔽性，使得許多入侵檢測系統很難檢測到該通道的存在。本文在分析網絡隱蔽通道特性及常見建立方法的基礎上，提出了使用ICMP協議建立隱蔽通道的方法，并給出了具體的設計過程。

關鍵詞 隱蔽通道 網絡通信 ICMP協議

中圖分類號：TP393.08 文獻標識碼：A

0引言

網絡中的信息資源給人們的生活和工作帶來了極大的便利，而其安全問題也越來越受到廣泛的關注。在進行網絡攻擊時，由于網絡監控系統的應用，建立一條新的鏈接用于數據竊取是極不現實的，因此大部分網絡攻擊者采用了隱蔽通道技術。在正常網絡通信信道中建立可能的隱蔽通道，用于傳遞隱蔽信息，甚至攜帶病毒，利用其隱蔽性能夠一定程度上繞過穿透防火墻，并躲避入侵檢測系統的檢測。

網絡隱蔽通道對網絡中的數據安全，甚至硬件都產生威脅。因此，我們必須從本質上分析網絡隱蔽通道的特性及其構建原理，以減少甚至杜絕其帶來的危害。

1網絡隱蔽通道技術概述

1.1隱蔽通道的概念

相對于網絡隱蔽通道而言，傳統上把隱蔽通道定義限定在系統內部，前提是兩個通信實體間必須要有共享資源，才能夠建立隱蔽通道。隨著網絡與通信技術的發展，這種傳統的定義呈現出狹隘的一面。為更好的描述網絡隱蔽通道的概念，我們把整個網絡看做是一個由通信設備和通信鏈路組成的計算機系統，網絡中任何設備和數據信息都是這個系統的一部分資源。這樣，就可以將隱蔽通道的概念擴展到網絡中。為不失廣泛性，任何未經允許或者通過非正常通信手段在網絡中進行數據信息傳遞的通道都可被稱為網絡隱蔽通道。

網絡隱蔽通道是一個牽扯到數據通信、網絡安全及信息計算的復雜領域，其研究已成為網絡安全領域中熱點之一。在網絡隱蔽通道中，數據通過信息隱藏或者改寫的方式隱蔽在所傳遞的報文中，而報文的未用字段、填充字段以及報文收發的時間特性等都可被作為信息的隱蔽處。

1.2網絡隱蔽通道構建的常見方法

網絡隱蔽通道的構建主要是利用網絡協議漏洞或者報文的時間特性來建立，其常見方法如下：

利用未用或保留字段建立隱蔽通道：由于網絡檢測系統一般不會對保留字段和未用字段進行檢查，因此網絡攻擊者可將要傳遞的信息隱蔽在報文中未用的字段或者保留字段中，例如：IP報頭的TOS字段和DF字段均可用于隱蔽信息的傳輸。

利用擴展和填充字段建立隱蔽通道：由于大部分網絡協議都支持對報文的擴展，以滿足網絡通信中的特殊需求，而擴展方式卻很少有明確的定義。因此，網絡攻擊者可以對某協議報文進行自行擴展，將信息作為填充內容隱蔽到填充字段中，從而建立網絡隱蔽通道。

在協議規范允許下，對報文相關字段或者負載大小進行調制來隱蔽信息的傳輸，以此來建立網絡隱蔽通道。

利用報文的收發時間特性，通過調整正常數據包的發送接收時間來傳遞隱蔽信息，從而建立網絡隱蔽通道。

其他方式建立隱蔽通道：例如，利用網絡沖突檢測機制或無線局域網的Traceback機制將信息隱蔽其中，這也是建立網絡隱蔽通道的方法。

2基于ICMP協議的網絡隱蔽通道實現

2.1利用Ping命令建立網絡隱蔽通道

ICMP協議是網絡中用于檢測網絡運行狀況的一種重要手段。ICMP協議通過發送查詢請求、收發應答包的的形式來對網絡報文進行響應。Ping命令常用于檢測網絡是否連通，通常利用ICMP協議來實現，其工作示意見圖1。

HOS A（源主機）向HOST B（目標主機）發送ICMP_ECHO請求命令時，在ICMP數據報頭的負載部分（數據選項域）中，通過添加一些數據來反映網絡的當前狀況，例如，網絡延時、網關地址等。當HOST B收到ICMP_ECHO命令請求后，返回ICMP RCHO REPLY應答命令，而HOST A請求數據包中的負載數據被原封不動的返回。通常情況下，防火墻和網絡檢測系統都不會檢查ping命令數據包中的負載部分內容，網絡攻擊者可以輕易的將要發送的數據信息隱蔽在其中，從而建立了一條隱蔽的通道。

2.2 ICMP隱蔽通道的實現

筆者在Windows系統下，采用C++環境實現基于ICMP協議的網絡隱蔽通道的建立。文中要實現基于ICMP協議的網絡隱蔽通道，首先要選擇Raw Socket類型，并指明采用的是ICMP協議；其次，在構造ICMP發送或應答數據包前要進行準確計算校驗和，以保證網絡傳輸中數據的準確性。Imcp_hdr結構是本設計采用的數據結構，與建立網絡隱蔽通道有著密切的關系，下面對該結構中的幾個域分量做出說明：（1） Type域分量用于指明ICMP報文的類型，其域值決定了其余域分量中的數據格式。（2） Code域分量用于對type域分量做進一步的說明。（3） Checksum域分量表示校驗和，在本文設計中，該域分量初始值為0，而這些初始值在網絡數據傳輸前會被校驗碼取代。（4） Echo域分量用于表示ICMP數據包中ID域的內容。在建立網絡隱蔽通道的過程中，收發雙方事先對ID域的值進行約定，若一方主機接收到的ICMP數據包中ID域值不是事先約定值，則表明這個ICMP報文不是來自于構建的網絡隱蔽通道。

根據上述定義和說明，構造ICMP報文的Imcp_hdr數據結構，并對數據包中的負載域進行數據填充。然后采用動態加密算法的對負載域中的數據進行加密，加密算法如下：

AnsiString rs； int i，l； unsigned char c，sc；

l=s.Length（）； rs=""；endprint

for（i=0；i

{ sc=char（0x1a+i%3）； c=s.c_str（）[i]； c=c^sc； rs=rs+char（c）；}

return rs；

把經過動態加密算法加密后的隱蔽到ICMP數據報中的負載部分，以建立網絡隱蔽通道，建立過程代碼如下：

void Fill_ICMP_Data（char*pICMPData，int nDataSize） //填充隱蔽數據

{ ICMPHEADER*pICMPHdr；

Char*pDataPart； pICMPHdr=（ICMPHEADER*）pICMPData；

pICMPHdr->i_type=ICMP_ECHO；

pICMPHdr->i_code=0；

pICMPHdr->i_id=（USHORT）GetCurrentProcessId（）；

pICMPHdr->i_seq=0；

pDataPart=pICMPData+sizeof（ICMPHEADER）；

char*s1=Edit5->Text.c_str（）；

memcpy（pDataPart，s1，nDataSize-sizeof（ICMPHEADER））； }

在經過構造ICMP報文數據結構、動態加密數據、在ICMP負載部分隱蔽數據等過程后，還需要進行初始化、建立連接、傳輸隱蔽數據、斷開連接等過程，在此不再一一贅述。

2.3網絡隱蔽通道傳輸實例分析

經過上述設計，建立了基于ICMP協議的網絡隱蔽通道。運行本文程序，并使用網絡嗅探器Tcpdump對構建的網絡隱蔽通道中傳輸的數據包進行監測，抓取到的一個ICMP數據包的內容如圖2所示：

對圖2中的ICMP數據包進行分析可知：（1）“08”為ICMP報文的類型type；（2）“00”為ICMP報文的code域值；（3）“52 19”為ICMP數報文的Checksum域值；（4）“98 04”為ICMP報文的ID標識；（5）“09 00”為ICMP報文序列號；（6）“bf 99 9d 00”為ICMP報文的時間戳；（7）“79 74 71 6a 6e 68 7f 69 6f 79 72 79 74 78 79 2b”為ICMP報文的負載域填充數據內容。

在上述分析中，結果（7）為經過動態加密算法加密后的數據，即隱蔽通道傳輸的隱蔽數據。由3.2節給出的動態加密算法可知，隱蔽數據在加密前的原始字符串為“computerscience1”。由于筆者設計的基于ICMP協議的網絡隱蔽通道，是在自己組建的虛擬網絡中實現的，且未考慮防火墻的影響，因此，文中方法在實際網絡部署環境下的實現與應用還需進一步探討。

3結語

網絡隱蔽通道已成為影響網絡安全的主要來源之一，因此，我們要了解網絡隱蔽通道技術的概念，并掌握常見的網絡隱蔽通道建立方法。由于大部分網絡檢測系統認為基于ICMP協議的數據是良性數據流，不檢測ICMP數據包中的數據域內容，因此網絡攻擊者很容易將生成的任意信息隱蔽到ICMP報文中的有效負載中?；诖耍疚慕o出了基于ICMP協議的網絡隱蔽通道實現過程，并對建立的網絡隱蔽通道傳輸實例進行了分析。