杨 杰,卢选民,张辉栋,李成福

（西北工业大学 电子信息学院，陕西 西安710129）

随着Internet的迅速发展，信息隐藏成为网络时代信息安全领域兴起的一个研究热点,在版权保护、隐蔽通信等许多方面有着非常广阔的应用前景[1]。信息隐藏被用来保护信息安全的同时,也可能被用来传送一些不良信息给网络用户，如何过滤或者截获并替换掉这些不良信息，就成为该领域研究的热点。

针对NAT服务器对流入内网的不良文本信息的隐藏和替换问题(图1为网络拓扑图)，本文基于 Netfilter/iptables模块和MITM技术，在Linux环境下通过L7-filter和Ettercap技术实现了网络文本信息的隐藏和替换。

1 Netfilter/iptables模块

图1 网络拓扑图

在Linux系统中，Netfilter是其内核的一个完整且功能强大的防火墙系统；iptables模块则是Netfilter提供的一种用户工具，是与Linux内核集成的IP信息包过滤系统[2]。通过这种工具可以实现NAT，进而隐藏IP地址信息。

iptables的基本语法规则如下：

iptables[-t table]command[match][target]；

iptables 中 共 有 三 类 表：Mangle、Nat和 Filter。 Mangle表对于满足常规的防火墙应用作用不大。Nat表的作用在于对数据包的源或目的IP地址进行转换[3]。Nat表又可主要分为三条链：(1)DNAT：改变包的目的地址，以使包能从路由到某台主机上；(2)SNAT：改变包的源地址，可以隐藏用户的本地网络；(3)MASQUERADE：与SNAT作用基本一样，对每个匹配的包，MASQUERADE都要查找可用的IP地址。Filter表用来过滤数据包，可以在任何时候匹配并过滤包，对包做DROP或ACCEPT。

iptables模块处理流程[2]：首先，当一个包进来时，内核根据路由表决定包的目标。如果目标主机就是本机，则直接进入INPUT链，再由本地正在等待该包的进程接收；否则，如果进来的包的目标不是本机，则看是否内核允许转发包[4-5]。最后，Linux防火墙主机本身能够产生包,这种包只经过OUTPUT链被送出防火墙。图2给出了数据包经过iptables模块的处理流程。

图2 数据包经过iptables模块的处理流程

2 基于L7-filter的匹配与替换

L7-filter是一个Netfilter/iptables的增强型补丁插件，它的核心是通过一个工作在内核级的可对数据包进行分类的补丁程序与iptables进行联动,与其他基于端口包分类工具的不同处在于,它是基于数据内容匹配和分析的[2]。利用正则表达式匹配Layer7应用协议(HTTP、FTP)的传输数据，能更准确地分析数据包。

L7-filter在默认情况下，将同一个连接中的10个数据包或者2 KB的数据包内容放在缓存中。并将缓存中的内容作为一段普通的文本，用模板文件中的正则去搜索，如果发现有正则匹配的内容，就会在Netfilter中将这几个数据包DROP丢掉或者给数据包打上标记。

下面就是该命令对于数据包中的内容进行匹配及替换的命令：

#iptables-A FORWARD-m mark--mark 1-m filterstring--string"xxx.xxx.xxx.xxx"--replace-string"xxx.xxx.xxx.xxx"?-j LOG--log-prefix"ip filter："

3 基于MITM和Ettercap的匹配与替换

中间人攻击 MITM(Man-in-the-Middle Attack)是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为 “中间人”。然后入侵者把这台计算机模拟为一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。通常，这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”。

Ettercap是基于MITM技术的一款有效的、灵活的中介工具。利用其特性可以实现数据包过滤和丢弃以及替换功能：可以建立一个查找特定字符串的过滤链，根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包，或丢弃整个数据包。它可以支持并收 集 以 下 协 议 的 口 令 信 息 ：TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP 等。通过 shell脚本的编写可以实现基于Ettercap的文本内容匹配与替换。

4 实验结果及分析

通过在终端下运行shell[3]脚本即可实现基于文本的隐藏与替换。为了方便用户操作，基于JAVA Swing组件[4]编写了如图3所示的软件。

用户可以按要求填写内容，然后单击替换按钮后程序即可运行。当内网用户发出请求后，若响应内容中包含用户要替换的内容，NAT服务器会将该文本替换成用户设定的，然后结果信息返回给用户，从而实现网络文本的替换。

在Linux操作系统下，实验结果如下：图4所示为替换之前的文本内容，图5所示为替换之后的文本内容，从而实现了网络文本的隐藏与替换功能。

在html网页中，〈body〉标签中的文本内容基本上都可以匹配并替换成预先设定的，然而有的内容是通过脚本语言实现的，还有很多脚本文件是通过压缩文件发送到客户端的，这种的就匹配不到。

针对这种情况,可以利用iptables的过滤无效数据包的功能，当发现某网页中包含想要替换的文本但却替换不了时，可以将该数据包过滤掉。应用程序界面如图6所示。

本文针对NAT服务器对流入内网的不良文本信息的隐藏和替换问题，基于Netfilter/iptables模块和MITM技术，在Linux环境下通过 L7-filter和Ettercap技术实现了网络文本信息的隐藏和替换。同时，通过网络实验验证了其有效性。

[1]CACHE J,WRIGHT J.黑客大曝光：无线网络安全[M].李瑞民,译.北京：机械工业出版社，2012.

[2]RASH M.Linux防火墙[M].陈健,译.北京：人民邮电出版社，2009.

[3]丰士昌.Linux指令与 Shell编程[M].北京：科学出版社，2012.

[4]王鹏,何昀峰.Java Swing图形界面开发与案例详解[M].北京：清华大学出版社，2008.

[5]白滔,刘大滏.Linux下怎样利用 Iptables实现网络防火墙的监控功能[J].贵州气象,2006，30(4)：33-35.

[6]郝慧珍,傅汝林.基于 IP伪装的网络安全技术研究[J].成都理工学院学报,2002,29(3)：315-319.

[7]Zhang Lixia.A retrospective view of network address translation[J].IEEE Network,2008,22(5)：8-12.

[8]HEAGARTY T.Using iptables and the netfilter framework[OL].(2007-03-xx)[2012-12-13]inDEPTH,www.ipmagazine.org/en：LINUX+DVD 3/2007.

[9]ANDREASSON O.Iptable tutorial[OL].http：//www.frozentux.net/documents/iptables-tutorial/.