刘珊珊

摘 要:文章主要通过对网络隐通道的分析及其预防措施,探讨了网络隐通道在军事后勤网络中的应用,这对改进军事网络安全防御系统具有一定的参考价值。

关键词:网络隐通道;军事后勤;TCP/IP协议

中图分类号:TP393.08文献标识码:A文章编号:1006-8937(2009)22-0095-01

隐通道是指系统的一个用户以违反系统安全策略的方式传送信息给另外一个用户的机制。任何利用非正常的通信手段在网络中传递信息,突破网络安全机制的通道都可以称作隐通道。这种在网络环境下与网络协议应用关联密切的隐通道,一般称为“网络隐通道”,网络隐通道实际上是信息隐藏,可以说是密码学意义上的潜通道。

在我军后勤网络信息化建设过程中,研究网络隐通道(以下统称为隐通道)是十分有意义的。因为:①隐通道的分析与处理是开发符合B2及B2以上级信息安全系统的必要条件和关键技术之一,我国的相关标准中也非常重视隐通道的研究,并在安全保证部分明确给出了相应要求。②为了保证计算机网络的信息安全,许多网络都采取了严密的防范措施,设置了多种安全策略。但是,却不能够有效地防止非法程序利用那些本来不是用于通信目的的途径(如隐通道)来进行通信。③从网络攻击的角度来说,建立隐通道是有特殊的意义,经过前期的网络攻击活动,如果已经掌握了某个系统的控制权,如何绕过网络的安全机制,把系统中重要的信息“偷运”出来是一个非常艰巨的任务,隐通道可以担此重任。因此,在网络信息战中,隐通道具有非常重要的作用。

1网络隐通道的分析

由于网络隐通道与网络协议密切相关,而且TCP/IP协议在网络中应用的范围比较广泛,因此,文章从TCP/IP协议头结构的角度出发,对基于TCP/IP协议族建立的隐通道进行相关分析。

1.1 隐通道建立的基本途径

在TCP/IP协议族中,在设计上有很多安全方面的缺陷,由于这些缺陷的存在,网络隐通道才能够建立成功。在协议中,有很多设计得不严密的地方,可以用来秘密地隐藏信息。这就给建立隐通道秘密传输信息提供了场所。

①利用选项域和传输数据时通常很少用的域。在TCP协议和IP协议中,都有选项域字段。在许多TCP和IP数据包中,选项域都是不填充的。而对于防火墙而言,则很少对TCP和IP数据包包头的具体内容进行检查。

因此,在建立隐通道时,数据包的包头是比较理想的隐藏数据的场所。如果将数据包头内存储的信息经过加密变换,则建立隐通道的效果会更好。

②利用传输数据时必须强制填充的域。在TCP协议和IP协议中,在传输数据时,为了将数据正确的传送到目的主机,数据包头中有一些域是必须填写的,例如:TCP数据包头中的源端口域等。防火墙或入侵检测系统很容易忽视对它们的检查,因此,这些域也是隐藏信息的理想场所。

1.2隐通道建立的基本方法

根据建立隐通道的思想,基于TCP/IP协议的数据包头隐藏信息,有4种比较好的方法可以采用:①利用IP数据包头的ID域隐藏信息,建立隐通道;②利用TCP数据包头的序列号域SN隐藏信息,建立隐通道;③利用TCP数据包头的ACK域隐藏信息,通过第三方主机中转建立隐通道;④利用ICMP数据包隐藏信息,建立隐通道。

1.3网络隐通道的危害

在一般情况下,防火墙和入侵检测系统都不会检查协议数据包头中的内容,因此,隐通道很容易穿透网络安全设备的阻拦,甚至在一些防护措施比较严密的网络中,利用基于TCP/IP协议的数据包头建立的隐通道可以自由传输数据。

隐蔽通道是进行长期控制的通信手段而不是真正的攻击程序,最大的威胁在于其可能被特洛伊木马等恶意程序所利用。文章所研究的基于TCP/IP的网络隐蔽通道除了直接作为远程控制类软件的通信手段之外,还可能被作为“先锋组织”,用于先盗回主机的配置信息(包括代理密码等)等,为后续的远程控制类软件提供辅助信息。

2网络隐通道的防范措施

将已经建立的隐通道检测出来是比较困难的,因此,禁止隐通道建立的最好方法是预防。现在的许多网络安全产品对于隐通道的防御效果并不好,最具有代表性的就是防火墙和入侵检测系统。

2.1防火墙

在只有包过滤防火墙的网络中,文章讨论的网络隐蔽通道一般都是不可防御的,它们可以自由进出网络。有状态包检查防火墙对于IP隐通道和TCP隐通道有比较好的防护效果,而对于ICMP隐通道和利用第三方主机中转建立的隐通道的防护效果不太理想。

2.2入侵检测系统

入侵检测系统对基于TCP/IP协议的隐通道的防范作用比较差,可以说几乎不具备防护能力,主要原因如下。

①文章讨论的4种建立隐通道的方法,都是在某种网络协议的数据包包头中的某个域隐藏信息,而在数据包包体中没有攻击特征,有的数据包甚至只有包头而没有包体。这样,隐通道程序伪造的数据包包头都是正常的,与IDS已知的现有攻击方法的数据包包头特征相差甚远,因此,入侵检测系统很难找到攻击特征。②在数据包包头中隐藏的信息是经过编码变化的,因此,每个数据包的特征都不一样。以IP隐蔽通道为例,它是利用IP包头的ID域来隐藏信息。隐藏字母“H”和隐藏字母“E”的数据包的ID域完全不同,没有任何共同点,所以入侵检测系统很难识别隐通道。③在隐通道中,“违法”的信息是分布在许多不同的数据包中分开传输的,到了目的主机之后再重组。即使入侵检测系统截获了1个或几个数据包,它必须把这些数据包完全解密,然后,再将多个数据包中的数据前后联系起来,综合分析,才能够确定攻击特征,凭单个数据包很难发现攻击特征。这对于现有的商用入侵检测系统来说,可能性非常小。

防止隐通道的建立有一些好的技术途径。其中之一就是在网络中使用代理型防火墙并且进行严格的配置和管理。另外一种可行的方法就是使用网络地址转换(NAT)技术以及认证技术,将进出网络的数据包头彻底改变。然而在实际的网络应用中,有很多网络都没有使用这些方法,这就给隐通道的建立提供了可乘之机。

3网络隐通道在军事安全中的应用

①军事后勤网络的特点。信息化条件下,战争呈现出网络化、一体化的发展趋势,要求后勤保障系统全纵深实现无缝衔接,必须要保障网络安全。而目前我军网络在安全方面有防护手段单一和现有军事网络入侵检测效果较差的特点,因此需要在军事网络中对网络隐通道进行分析与处理,增强网络安全,提高防御能力。

②隐通道在网络攻击中的应用。网络隐通道与特洛伊木马相结合,在网络攻击中可以产生倍增的效果。利用上面的隐通道思想,可以非常方便地构造出实用的网络攻击程序。

建立隐通道是网络攻击活动的必要步骤之一。在取得目的主机的控制权后,如何穿透网络的防护体系,与被控制的主机进行通信是一个难点。隐通道可以解决这个问题。比如,将隐通道和特洛伊木马相结合,可以构造以下攻击手段:攻击者可以利用ICMP协议的特点,利用ICMP隐通道向被控制的主机发送操作命令,木马程序则在被攻击主机上接收并执行命令,然后利用隐通道将命令执行的结果返回给攻击者。这就是一个典型的网络攻击的应用。它将隐通道和木马技术结合起来,其中网络隐通道负责通信部分,木马程序负责在被攻击者主机本地执行各种操作,并且将执行的结果传给隐通道。

4结 语

文章讨论的隐通道建立方法,只是使用了TCP/IP协议中数据包头的某些字段,其它字段同样也可以用来隐藏信息。另外,建立隐通道的思想是有通用性的,这种利用数据包包头隐藏信息,建立隐通道的方法在其它协议中也可以使用,比如:SNMP协议等,传输数据的效果可能略有差别,这和目标网络的具体网络环境和安全机制有关。

掌握网络隐通道的建立方法,目的在于知己知彼,更好地做好我军网络安全防范工作,更有利于安全策略的定制。这种通过数据包包头隐藏信息建立隐通道的方法给网络攻击技术增加了一种新的技术途径,同时它也是评估入侵检测系统和防火墙系统的重要手段。

参考文献:

[1]徐杰锋.基于TCP/IP协议的网络隐蔽通道研究[J].北京邮电大学学报,2003,(1).

[2] 王永杰,刘京菊,孙乐昌.网络数据通信中的隐蔽通道技术研究网络数据通信中的隐蔽通道技术研究[J].计算机工程,2003,(2).