1、第二篇 网络攻击篇第第7 7章章 网络攻击行为隐藏网络攻击行为隐藏第7章 网络攻击行为隐藏o 攻击者除了要进行身份隐藏外,为了使攻击成攻击者除了要进行身份隐藏外,为了使攻击成功,还要进行攻击行为隐藏,主要方法有:文功,还要进行攻击行为隐藏,主要方法有:文件隐藏、进程活动隐藏、网络连接隐藏、网络件隐藏、进程活动隐藏、网络连接隐藏、网络隐藏通道。隐藏通道。o7.1 文件隐藏文件隐藏 o7.2 进程活动隐藏进程活动隐藏 o7.3 网络连接隐藏网络连接隐藏o7.4 网络隐藏通道网络隐藏通道o7.5 实验:文件隐藏实验:文件隐藏第7章 网络攻击行为隐藏7.1文件隐藏 通过文件隐藏,可以对自己的重要的个人
2、通过文件隐藏,可以对自己的重要的个人数据、公司的商业机密等敏感文件进行保护。数据、公司的商业机密等敏感文件进行保护。可以对这些文件可以对这些文件首先进行加密首先进行加密,然后,然后再进行再进行文件隐藏文件隐藏,对隐私文件进行双重保护。在网,对隐私文件进行双重保护。在网络攻击中,对文件进行隐藏,或将文件伪装络攻击中,对文件进行隐藏,或将文件伪装成其他文件传送给被攻击的机器,这样就可成其他文件传送给被攻击的机器,这样就可以在对方没有觉察的情况下以在对方没有觉察的情况下诱使对方运行伪诱使对方运行伪装的文件装的文件达到运行攻击者想要执行的程序的达到运行攻击者想要执行的程序的目的。目的。7.1文件隐藏o
3、 7.1.1 修改文件名称和属性修改文件名称和属性 o 7.1.2 使用信息隐藏技术使用信息隐藏技术7.1.1 修改文件名称和属性修改文件名称和属性o 攻击者为了隐藏攻击活动产生的文件,可以对攻击者为了隐藏攻击活动产生的文件,可以对文件名称和属性进行修改。可以将文件的名称文件名称和属性进行修改。可以将文件的名称修改为与系统中的文件相似名称,也可以在不修改为与系统中的文件相似名称,也可以在不同的目录下使用与系统中的文件一致名称,将同的目录下使用与系统中的文件一致名称,将文件名称设置成特殊的形式或修改文件的属性,文件名称设置成特殊的形式或修改文件的属性,将文件隐藏起来。将文件隐藏起来。7.1.1
4、修改文件名称和属性修改文件名称和属性o 由于由于Windows系统在默认状态下会自系统在默认状态下会自动隐藏系统文件夹,可以利用访问者平动隐藏系统文件夹,可以利用访问者平时对系统文件夹时对系统文件夹“关注关注”不够的漏洞,不够的漏洞,巧妙地将隐私文件夹巧妙地将隐私文件夹“伪装伪装”成系统文成系统文件夹件夹。7.1.1 修改文件名称和属性修改文件名称和属性 o 在在Windows状态下,往往无法将普通的隐私文状态下,往往无法将普通的隐私文件夹件夹“伪装伪装”为系统文件夹,为此需要将系统先为系统文件夹,为此需要将系统先切换到纯切换到纯DOS界面界面下,然后在下,然后在DOS命令行中执命令行中执行行
5、“attrib+s+r 隐私文件或文件夹名隐私文件或文件夹名”命令。命令。这样就能这样就能“强行强行”为隐私文件添加上系统属性。为隐私文件添加上系统属性。再次重新启动系统到再次重新启动系统到Windows界面后,隐私文界面后,隐私文件夹就会被当作系统文件夹一样,自动的隐藏起件夹就会被当作系统文件夹一样,自动的隐藏起来了,即使访问者选中了来了,即使访问者选中了“文件夹选项文件夹选项”中的中的“显示所有文件显示所有文件”也不能看到隐私文件夹。也不能看到隐私文件夹。在在Windows系统中将目标文件的属性设系统中将目标文件的属性设置为置为隐藏隐藏,再将文件查看选项中的,再将文件查看选项中的“不显示隐
6、藏文件不显示隐藏文件”选中,然后通过修改选中,然后通过修改注册表将注册表将“显示所有文件和文件夹显示所有文件和文件夹”选项选项隐藏起来,这样所有的属性为隐藏起来,这样所有的属性为“隐藏隐藏”的的文件就无法被查看到了。文件就无法被查看到了。7.1.1 修改文件名称和属性修改文件名称和属性 通过为访问者设置访问权限,让其没有权通过为访问者设置访问权限,让其没有权利对隐私文件夹进行读、写、浏览目录等利对隐私文件夹进行读、写、浏览目录等操作。操作。可以利用可以利用WinRAR的存储合并的存储合并功能,将隐功能,将隐私文件存储合并到一个无关紧要的图像文私文件存储合并到一个无关紧要的图像文件中,这样一般的
7、人是无法知道图像件中,这样一般的人是无法知道图像“背背后后”竟然还有秘密的。竟然还有秘密的。7.1.1 修改文件名称和属性修改文件名称和属性 可以通过一些可以通过一些专门的合并文件软件专门的合并文件软件,实,实现对文件的属性、文件的图标以及文件现对文件的属性、文件的图标以及文件合并功能。合并功能。7.1.1 修改文件名称和属性修改文件名称和属性 可以通过信息隐藏技术可以通过信息隐藏技术将重要的文件隐藏将重要的文件隐藏在一个无关紧要的文件中在一个无关紧要的文件中,如图片。比使用,如图片。比使用WinRAR的存储合并功能实现的文件隐藏具有的存储合并功能实现的文件隐藏具有更好的不可察觉性。更好的不可
8、察觉性。信息隐藏又称信息伪装,就是通过信息隐藏又称信息伪装,就是通过减少载减少载体的某种冗余体的某种冗余,如空间冗余、数据冗余等,来,如空间冗余、数据冗余等,来隐藏敏感信息,达到特殊目的。隐藏敏感信息,达到特殊目的。7.1.2 使用信息隐藏技术使用信息隐藏技术 信息隐藏技术通常具有下面特点:信息隐藏技术通常具有下面特点:不破坏载体的正常使用不破坏载体的正常使用。这个特点也是衡量是否是信息隐。这个特点也是衡量是否是信息隐藏的标准。藏的标准。载体具有某种冗余性载体具有某种冗余性。通常对象都具有某些程度的冗余,。通常对象都具有某些程度的冗余,如空间冗余、数据冗余等,寻找和利用这种冗余就成信息如空间冗
9、余、数据冗余等,寻找和利用这种冗余就成信息隐藏的一个主要工作。隐藏的一个主要工作。具有很强的针对性具有很强的针对性。任何信息隐藏方法都具有很多附加条。任何信息隐藏方法都具有很多附加条件,都是在某种情况下,针对某类对象的一个应用。件,都是在某种情况下,针对某类对象的一个应用。7.1.2 使用信息隐藏技术使用信息隐藏技术 加密加密隐藏了消息内容,但加密同时也隐藏了消息内容,但加密同时也暗示暗示攻击者所攻击者所截获的信息是截获的信息是重要信息重要信息,从而引起攻击者的兴趣,攻击者,从而引起攻击者的兴趣,攻击者可能在破译失败的情况下将信息破坏掉;而信息隐藏则是可能在破译失败的情况下将信息破坏掉;而信息
10、隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,将有用的信息隐藏在其他信息中,使攻击者无法发现,不不仅实现了信息的保密,也保护了通信本身仅实现了信息的保密,也保护了通信本身。利用信息隐藏。利用信息隐藏技术实现文件隐藏具有技术实现文件隐藏具有更好的欺骗性更好的欺骗性。7.1.2 使用信息隐藏技术使用信息隐藏技术 信息隐藏的方法主要分为两类:信息隐藏的方法主要分为两类:空间域算法和变换域空间域算法和变换域算法。算法。空间域方法通过改变载体信息的空间域方法通过改变载体信息的空间域特性空间域特性来隐藏信来隐藏信息;变换域方法通过改变息;变换域方法通过改变数据(主要指图像、音频、视频等)数据(主
11、要指图像、音频、视频等)变换域变换域的一些系数来隐藏信息。的一些系数来隐藏信息。7.1.2 使用信息隐藏技术使用信息隐藏技术7.2进程活动隐藏 o 常见的进程隐藏方法有:常见的进程隐藏方法有:进程名称替换进程名称替换,即将目标系统中的某些不常用的进程,即将目标系统中的某些不常用的进程停止,然后借用其名称运行;停止,然后借用其名称运行;进程名称相似命名进程名称相似命名,对产生的攻击进程的命名采用与,对产生的攻击进程的命名采用与系统的进程相似的名称;系统的进程相似的名称;替换进程名显示命令替换进程名显示命令,即修改系统中进程显示命令,即修改系统中进程显示命令,不显示攻击进程;不显示攻击进程;通过通
12、过动态嵌入技术动态嵌入技术,修改进程或其调用的函数,其中,修改进程或其调用的函数,其中有三种技术最为关键:有三种技术最为关键:远程线程插入技术,远程线程插入技术,动态动态链接库插入技术,链接库插入技术,挂钩挂钩API。7.2进程活动隐藏 o 7.2.1.远程线程插入技术远程线程插入技术o 7.2.2 动态链接库插入技术动态链接库插入技术o 7.2.3 挂钩挂钩API7.2.1.远程线程插入技术 远程线程插入技术远程线程插入技术指的是通过在另一个进程指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空中创建远程线程的方法进入那个进程的内存地址空间。间。这种技术可以将要实现的功能程序
13、做一个线程,这种技术可以将要实现的功能程序做一个线程,并将此线程在运行时自动插入到常见进程中,使之并将此线程在运行时自动插入到常见进程中,使之作为此进程的一个线程来运行。作为此进程的一个线程来运行。动态链接库插入技术是一种专门用来把指定动态链接库插入技术是一种专门用来把指定程序进行隐藏的技术。具体说来,就是将程序进行隐藏的技术。具体说来,就是将后门程后门程序做成一个动态链接库文件序做成一个动态链接库文件,然后使用动态嵌入,然后使用动态嵌入技术将此动态链接库的加载语句插入到目标进程技术将此动态链接库的加载语句插入到目标进程中去。中去。7.2.2 动态链接库插入技术 挂钩挂钩API(Hooking
14、 API)一般分为)一般分为运行前挂钩和运行时挂钩。运行前挂钩是修运行前挂钩和运行时挂钩。运行前挂钩是修改想要挂钩函数来自的物理模块(大多数时改想要挂钩函数来自的物理模块(大多数时候是候是.EXE或者或者.DLL文件)。运行时挂钩则文件)。运行时挂钩则是直接修改进程的内存空间。是直接修改进程的内存空间。7.2.3 挂钩挂钩API7.3 网络连接隐藏网络连接隐藏 在公开的计算机网络中在公开的计算机网络中隐蔽网络连接隐蔽网络连接是攻击者是攻击者为防止其攻击行为被发现而采取的手段。假如网为防止其攻击行为被发现而采取的手段。假如网络攻击者未对络攻击者未对攻击网络连接攻击网络连接进行隐藏,就容易被进行隐
15、藏,就容易被系统管理员发现。系统管理员常用一些工具软件系统管理员发现。系统管理员常用一些工具软件查看网络连接状况,例如,在查看网络连接状况,例如,在RedHat6.20系统系统中,可以使用中,可以使用netstat a|more获得主机的网获得主机的网络连接信息。络连接信息。7.3 网络连接隐藏网络连接隐藏o 攻击者隐藏网络连接的方法有下面几种。攻击者隐藏网络连接的方法有下面几种。n 1.网络连接进程名称替换网络连接进程名称替换 将目标系统中的某些不常用网络连接停止,将目标系统中的某些不常用网络连接停止,然后借用其名称,常见的进程有然后借用其名称,常见的进程有crop,nfs,rpc等。等。n
16、 2.复用正常服务端口复用正常服务端口 复用正常服务端口,为木马通信数据包设复用正常服务端口,为木马通信数据包设置置特殊隐性标识特殊隐性标识,以利用正常的网络连接隐藏攻,以利用正常的网络连接隐藏攻击的通信状态。击的通信状态。7.3 网络连接隐藏网络连接隐藏n 3.替换网络连接显示命令替换网络连接显示命令 修改显示网络连接信息的相关系统调用,修改显示网络连接信息的相关系统调用,以过滤掉与攻击者相关的连接信息。以过滤掉与攻击者相关的连接信息。n 4.替换操作系统的网络连接管理模块替换操作系统的网络连接管理模块 攻击者可以利用操作系统提供的加载核心攻击者可以利用操作系统提供的加载核心模块功能,重定向
17、系统调用,强制内核按照攻模块功能,重定向系统调用,强制内核按照攻击者的方式运行,控制网络连接输出信息。击者的方式运行,控制网络连接输出信息。7.3 网络连接隐藏网络连接隐藏n 5.修改网络通信协议栈修改网络通信协议栈 利用利用LKM 技术修改网络通信协议栈,避免单技术修改网络通信协议栈,避免单独运行监听进程,以躲避检测异常监听进程的检测独运行监听进程,以躲避检测异常监听进程的检测程序。程序。7.4 网络隐藏通道 为了保证计算机网络的信息安全,许多网络为了保证计算机网络的信息安全,许多网络都采用了严格的防范措施,设置了许多安全策略,都采用了严格的防范措施,设置了许多安全策略,以防信息被非法窃取。
18、内部网络和外部网络(如以防信息被非法窃取。内部网络和外部网络(如Internet)之间所有的数据都必须经过)之间所有的数据都必须经过NACS。通过对通过对NACS的策略配置,允许合法的数据进行的策略配置,允许合法的数据进行传输,阻断非法和未授权的数据。网络数据流中传输,阻断非法和未授权的数据。网络数据流中的的隐蔽通道则绕过了隐蔽通道则绕过了NACS的安全策略的安全策略和外部进和外部进行通信。行通信。NACS:网络应用及内容服务部网络应用及内容服务部 7.4 网络隐藏通道o 7.4.1基于基于TCP/IP协议构建隐蔽通道协议构建隐蔽通道o 7.4.2基于基于HTTP协议构建隐蔽通道协议构建隐蔽通
19、道o 7.4.3安全性考虑安全性考虑7.4.1 基于TCP/IP协议构建隐蔽通道o 隐蔽信道是一种通信信道,其特点是信息的传送隐蔽信道是一种通信信道,其特点是信息的传送方式方式违背了系统的安全原则违背了系统的安全原则,从而成为一个隐蔽,从而成为一个隐蔽的信息传输通道。的信息传输通道。o 在在TCP/IP协议族中,有许多设计不严密的地方,协议族中,有许多设计不严密的地方,例如,在例如,在TCP协议和协议和IP协议的数据包头中,协议的数据包头中,有许有许多域在通常情况下根本不用或很少使用,可以用多域在通常情况下根本不用或很少使用,可以用来隐藏信息,构建隐蔽通道来隐藏信息,构建隐蔽通道。7.4.1
20、基于TCP/IP协议构建隐蔽通道o 在在TCP协议和协议和IP协议中,都有协议中,都有选项域字段选项域字段,选项,选项域的长度是可变的,填充区域随选项长度的变化域的长度是可变的,填充区域随选项长度的变化而变化,以确保数据包包头的长度是而变化,以确保数据包包头的长度是4的倍数。的倍数。在许多在许多TCP和和IP数据包中,选项域都是不填充的。数据包中,选项域都是不填充的。o 因此,在建立隐蔽通道时,数据包的包头是比较因此,在建立隐蔽通道时,数据包的包头是比较理想的隐藏数据的场所,如果将数据包头内存储理想的隐藏数据的场所,如果将数据包头内存储的信息经过加密变换,则建立隐蔽通道的效果会的信息经过加密变
21、换,则建立隐蔽通道的效果会更好。更好。7.4.1 基于TCP/IP协议构建隐蔽通道o 在在TCP协议和协议和IP协议中,传输数据时,为了将数协议中,传输数据时,为了将数据正确地传送到目的主机,数据包头中有一些域据正确地传送到目的主机,数据包头中有一些域是必须填写的,例如,是必须填写的,例如,TCP数据包头的源端口域、数据包头的源端口域、目的端口域、序列号域以及目的端口域、序列号域以及IP数据包头中的源地数据包头中的源地址、目的地址等。因此这些域也是隐藏信息的场址、目的地址等。因此这些域也是隐藏信息的场所。所。o 基于基于TCP/IP协议构建隐蔽通道主要有以下协议构建隐蔽通道主要有以下4种种方法
22、。方法。1.利用ID域建立隐蔽通道o 在构建隐蔽通道时,首先把要发送的数据转换成在构建隐蔽通道时,首先把要发送的数据转换成ASCII码码,然后将其进行,然后将其进行加密加密,按照一定的算法,按照一定的算法转换成转换成看似合法的看似合法的ID域值域值。o 接收主机运行接收程序,当监听到来自目的主机接收主机运行接收程序,当监听到来自目的主机的数据包后,首先将其存入缓存,然后去掉的数据包后,首先将其存入缓存,然后去掉IP数数据包的包体而只留下据包的包体而只留下IP包头包头,解析,解析IP的头结构,的头结构,将将IP头中的头中的ID域中域中隐藏的数据分离出来,经过隐藏的数据分离出来,经过解解密算法将其
23、密算法将其转换成转换成ASCII码码,最后将,最后将ASCII码码转换成可显示的字符转换成可显示的字符。1.利用ID域建立隐蔽通道o 如果发送端的隐蔽通道程序在发送数据时是如果发送端的隐蔽通道程序在发送数据时是顺顺序发送序发送的,那么接收端的数据接收也应该是顺的,那么接收端的数据接收也应该是顺序接收的。接收程序只需要把接收到的字符序接收的。接收程序只需要把接收到的字符顺顺序组合序组合,就可以还原出原始的数据,并且能够,就可以还原出原始的数据,并且能够用文件的形式将数据保存下来。用文件的形式将数据保存下来。2.利用序号域建立隐蔽通道o 在在TCP协议头中,有很多域可以用来隐藏信息,协议头中,有很
24、多域可以用来隐藏信息,选用序号域(选用序号域(SN)有两个原因,一是它的长度)有两个原因,一是它的长度(32 bit)适合隐藏信息,二是它的值在数据)适合隐藏信息,二是它的值在数据传输过程中的变化有规律,接收端易于还原数传输过程中的变化有规律,接收端易于还原数据。据。o 如果利用如果利用TCP头的头的SN域作为隐藏信息的场所,域作为隐藏信息的场所,SN在在TCP中的原始功能就失去了意义,中的原始功能就失去了意义,它不再它不再用于在数据收发双方之间数据同步的标志,隐用于在数据收发双方之间数据同步的标志,隐蔽通道的数据接收方仅把它看作一个数据域来蔽通道的数据接收方仅把它看作一个数据域来对待。对待。
25、2.利用序号域建立隐蔽通道o 在数据发送方,隐蔽通道在数据发送方,隐蔽通道建立程序建立程序首先将其首先将其存入存入缓存缓存,将字节数据流顺序转换成,将字节数据流顺序转换成ASCII码码,然,然后进行后进行加密变换加密变换,将信息,将信息伪装成伪装成TCP的的SN域域值,值,最后最后伪造伪造TCP数据包数据包,顺序将数据包发送出去。,顺序将数据包发送出去。当所有的数据发送完成后,关闭隐蔽通道。当所有的数据发送完成后,关闭隐蔽通道。2.利用序号域建立隐蔽通道o 在接收方,隐蔽通道接收程序首先将收到的数在接收方,隐蔽通道接收程序首先将收到的数据包的据包的包体剥离掉包体剥离掉,只留下数据包的,只留下数
26、据包的包头包头,然,然后将包头中后将包头中SN域值提取域值提取出来存入缓冲区中,并出来存入缓冲区中,并执行执行解密解密运算,将解密后的字节流运算,将解密后的字节流转换成转换成ASCII码,最后将数据还原,以文件的形式存码,最后将数据还原,以文件的形式存储起来。接收完所有的数据,收到数据发送方储起来。接收完所有的数据,收到数据发送方发出的关闭隐蔽通道的提示后,关闭隐蔽通道,发出的关闭隐蔽通道的提示后,关闭隐蔽通道,结束传输过程。结束传输过程。3.利用第三方合法主机中转建立隐蔽通道o 当数据接收主机和数据发送主机由于网络安全当数据接收主机和数据发送主机由于网络安全机制的限制,不能直接建立数据连接时
27、,即数机制的限制,不能直接建立数据连接时,即数据接收主机不能被数据发送主机直接访问时,据接收主机不能被数据发送主机直接访问时,上面隐蔽通道的建立将会失效。这时,可以通上面隐蔽通道的建立将会失效。这时,可以通过一台过一台合法的第三方主机合法的第三方主机,在它完全不知情的,在它完全不知情的情况下,将数据中转到数据接收主机中。情况下,将数据中转到数据接收主机中。3.利用第三方合法主机中转建立隐蔽通道o 具体做法是在数据发送端,利用具体做法是在数据发送端,利用IP欺骗原理,将欺骗原理,将发出数据包中发出数据包中源源IP地址伪造成接收端主机的地址伪造成接收端主机的IP地地址址,并且将数据隐藏在,并且将数
28、据隐藏在TCP数据包头的数据包头的SN域中域中。然后,将这些数据发到一个合法的、本地网络可然后,将这些数据发到一个合法的、本地网络可以以公开访问的常用主机公开访问的常用主机(如(如WWW或邮件服务器或邮件服务器等)。当这些主机收到数据请求后,由于主机在等)。当这些主机收到数据请求后,由于主机在此之前并没有接收到建立此之前并没有接收到建立TCP连接的请求,因此,连接的请求,因此,它会根据数据包中伪造的它会根据数据包中伪造的IP地址,返回地址,返回SYN/ACK或或SYN/RST数据包到数据接收端主数据包到数据接收端主机。机。3.利用第三方合法主机中转建立隐蔽通道o 数据接收端主机只要将数据接收端
29、主机只要将SN还原还原,就收到了来自,就收到了来自于发送端主机的数据。于发送端主机的数据。o 对于第三方中转主机而言,它的访问量可能比对于第三方中转主机而言,它的访问量可能比较大,负载也比较重,因此,发现这个隐蔽通较大,负载也比较重,因此,发现这个隐蔽通道的机会比较小。对于数据发送端的网络而言,道的机会比较小。对于数据发送端的网络而言,流出网络的数据都是流向第三方合法的主机,流出网络的数据都是流向第三方合法的主机,因此,数据遭到阻拦的机率也比较小。因此,数据遭到阻拦的机率也比较小。4.利用ping命令隐藏信息建立隐藏信道o ping命令是网络管理常用的命令,一般是利用命令是网络管理常用的命令,
30、一般是利用ICMP来实现的。来实现的。o 请求时,在请求时,在ICMP数据包的选项域中,可以添加任何数据包的选项域中,可以添加任何数据,这些数据的目的是反映网络的状态,当目标主数据,这些数据的目的是反映网络的状态,当目标主机收到机收到ICMP请求报文时,则在请求报文时,则在ICMP响应报文中填响应报文中填写标识域和序号域回应请求应答,并且把请求数据包写标识域和序号域回应请求应答,并且把请求数据包中选项域的内容原封不动地返回去。中选项域的内容原封不动地返回去。o 这样就可以把要发送的数据隐藏在这样就可以把要发送的数据隐藏在ICMP数据包包头数据包包头的选项域中,建立隐蔽通道。的选项域中,建立隐蔽
31、通道。4.利用ping命令隐藏信息建立隐藏信道o 在实现隐蔽通道时,由于要手工构造在实现隐蔽通道时,由于要手工构造ICMP数据数据包中的各个数据域,因此必须使用包中的各个数据域,因此必须使用Raw Socket技术。技术。Raw Socket允许程序绕过允许程序绕过TCP/IP传输传输层而直接访问底层协议,这样,层而直接访问底层协议,这样,IP层的封装工作层的封装工作就要用手工填充数据的方法来实现,而不是由操就要用手工填充数据的方法来实现,而不是由操作系统自动完成。在传输数据前,要对数据包进作系统自动完成。在传输数据前,要对数据包进行伪装,将行伪装,将ICMP的数据类型设为的数据类型设为0 x
32、0,即表明,即表明数据包是数据包是ICMP应答信息,从而伪造成应答信息,从而伪造成ping命令命令发出的数据包。发出的数据包。4.利用ping命令隐藏信息建立隐藏信道o 在利用在利用Raw Socket实现实现ICMP隐蔽通道时,隐蔽通道时,首先要指定首先要指定Socket的类型是的类型是Raw Socket,然,然后在实现网络传输时明确指明使用后在实现网络传输时明确指明使用ICMP。Raw Socket在进行数据传输前,会将其写入在进行数据传输前,会将其写入IP头的协议域中,另外,在构造头的协议域中,另外,在构造ICMP数据包时,数据包时,必须准确计算必须准确计算Internet校验和,以保
33、证数据传校验和,以保证数据传输的正确性。输的正确性。o 低层协议低层协议的字段比较固定,并且限制较多,基于低的字段比较固定,并且限制较多,基于低层协议构建的网络隐藏通道易于被检测和屏蔽而且层协议构建的网络隐藏通道易于被检测和屏蔽而且带宽较低。在网络安全措施越来越完善的情况下,带宽较低。在网络安全措施越来越完善的情况下,传统的隐藏通道传统的隐藏通道正在逐渐失去作用。正在逐渐失去作用。o 由于由于HTTP是目前是目前Internet使用最为广泛的协议之使用最为广泛的协议之一,只要与一,只要与Internet相连,相连,HTTP服务大部分情况服务大部分情况下都是被允许通过下都是被允许通过NACS,因
34、此使用,因此使用HTTP协议构协议构建隐蔽通道将适用于大多数环境。下面给出建隐蔽通道将适用于大多数环境。下面给出基于基于HTTP协议协议构建隐蔽通道的模型。构建隐蔽通道的模型。7.4.2 基于HTTP协议构建隐蔽通道的模型 这种隐蔽通道模型表现为一个单一的这种隐蔽通道模型表现为一个单一的HTTP服务器,它在公共网络中启动一个守护进程,并服务器,它在公共网络中启动一个守护进程,并监听制定的监听制定的TCP端口,如默认端口,如默认80端口。隐蔽通端口。隐蔽通道的客户端向服务器端发起连接,同时道的客户端向服务器端发起连接,同时将数据放将数据放在在HTTP请求中请求中发给服务器。服务器程序处理收发给服
35、务器。服务器程序处理收到的数据并返回响应。由于服务器并不是一个真到的数据并返回响应。由于服务器并不是一个真正的正的HTTP服务器,因此这种隐蔽通道模式可以服务器,因此这种隐蔽通道模式可以携带大量的数据。携带大量的数据。(1)简单HTTP模型 这种隐蔽通道的模型非常像一个这种隐蔽通道的模型非常像一个HTTP代理代理,服务,服务器端在公共网络中启动一个守护进程,并监听指定的器端在公共网络中启动一个守护进程,并监听指定的TCP端口,如端口,如1080端口。隐蔽通道的客户端向服务器端口。隐蔽通道的客户端向服务器端发起连接,并将额外的数据放到端发起连接,并将额外的数据放到HTTP头头中,中,CC服务服务
36、器解析收到的数据,将正常的数据发送给真正的器解析收到的数据,将正常的数据发送给真正的HTTP服务器,把额外的数据发送到另外一台应用服务器,然服务器,把额外的数据发送到另外一台应用服务器,然后,后,CC服务器将服务器将HTTP服务器返回的正常数据发送给客服务器返回的正常数据发送给客户。当应用服务器处理完毕之后,在通过户。当应用服务器处理完毕之后,在通过CC服务器把结服务器把结果重定向到果重定向到CC客户端。客户端。(2)代理模型(2)代理模型o 什么是什么是CC攻击攻击:利用大量代理服务器对目标计利用大量代理服务器对目标计算机发起大量连接,导致目标服务器资源枯竭算机发起大量连接,导致目标服务器资
37、源枯竭造成拒绝服务。造成拒绝服务。o CC就是电子商务中所说的协同商务,那么什么就是电子商务中所说的协同商务,那么什么是协同商务呢?是协同商务呢?协同商务协同商务一般是指企业与供一般是指企业与供应商、客户、合作伙伴以及雇员在信息共享的应商、客户、合作伙伴以及雇员在信息共享的基础上协同工作。基础上协同工作。这种隐蔽通道就像一个这种隐蔽通道就像一个CGI(Common Gateway Interface)。根据)。根据CGI规范,它规范,它可以从可以从HTTP请求的消息头和消息本体中获得请求的消息头和消息本体中获得URI字串中的查询部分。隐蔽通道的客户端向服字串中的查询部分。隐蔽通道的客户端向服务
38、器端发起连接,同时将数据放在务器端发起连接,同时将数据放在HTTP请求中请求中发给服务器。发给服务器。HTTP服务器把数据传给服务器把数据传给CC服务服务器,器,CC服务器将处理的结果封装到给服务器将处理的结果封装到给CC客户端客户端的响应中,并发送给客户端。的响应中,并发送给客户端。(3)CGI模型基于基于HTTP协议构建隐蔽通道的优点如下:协议构建隐蔽通道的优点如下:(1)不易被检测)不易被检测。由于。由于HTTP协议可以传输任何协议可以传输任何数据,包括文本、图片、文件等,因此数据内容数据,包括文本、图片、文件等,因此数据内容比较复杂,不容易分析和检测。比较复杂,不容易分析和检测。(2)
39、不易被屏蔽。)不易被屏蔽。由于使用公用的由于使用公用的HTTP通道,通道,因此因此NACS无法区别地进行屏蔽,要么开放,要无法区别地进行屏蔽,要么开放,要么关闭,这都会影响整个使用该服务的群体。么关闭,这都会影响整个使用该服务的群体。(3)有较高的带宽。)有较高的带宽。当使用当使用HTTP的消息体传输的消息体传输数据时可以达到很大的宽带,这是用数据时可以达到很大的宽带,这是用TCP、IP的选项字段和填充字段进行数据传输无法比的。的选项字段和填充字段进行数据传输无法比的。7.4.2 基于基于HTTP协议构建隐蔽通道的模型协议构建隐蔽通道的模型o 当设计隐蔽通道时,必须考虑到安全方面的当设计隐蔽通
40、道时,必须考虑到安全方面的问题。主要要从以下几个方面进行考虑:问题。主要要从以下几个方面进行考虑:(1)认证:)认证:Client必须能够认证必须能够认证Server,以,以避免第三方数据的干扰和破坏,而避免第三方数据的干扰和破坏,而Server也也必须认证必须认证Client以避免任何不允许的以避免任何不允许的Client利用隐蔽通道的资源。利用隐蔽通道的资源。(2)授权:)授权:当隐蔽通道被设计成为多个当隐蔽通道被设计成为多个Client时,时,Server必须有一个必须有一个ACL(Access Control List)来控制)来控制Client的接入。的接入。7.4.3 安全性考虑(
41、3)数据流加密:)数据流加密:由于通过隐蔽通道传输的数由于通过隐蔽通道传输的数据包含敏感信息,因此数据流必须被加密。据包含敏感信息,因此数据流必须被加密。(4)数据的完整性:)数据的完整性:使用隐蔽通道传输数据要使用隐蔽通道传输数据要防止数据信息被篡改,可以使用一些摘要算防止数据信息被篡改,可以使用一些摘要算法来保证数据完整性。法来保证数据完整性。(5)重放保护:)重放保护:使用隐蔽通道通信应该能够抵使用隐蔽通道通信应该能够抵御重放攻击,防止窃听者不能重放以前的通御重放攻击,防止窃听者不能重放以前的通信记录而访问信记录而访问Client或或Server端。端。7.4.3 安全性考虑7.5 实验
42、:文件隐藏o 实验一实验一 在在Windows系统中实现文件隐藏系统中实现文件隐藏o 1.修改文件属性修改文件属性o 由于由于Windows系统在默认状态下会自动隐系统在默认状态下会自动隐藏系统文件夹,该方法利用访问者平时对系藏系统文件夹,该方法利用访问者平时对系统文件夹统文件夹“关注关注”不够的漏洞,巧妙地将隐不够的漏洞,巧妙地将隐私文件夹私文件夹“伪装伪装”成系统文件夹。成系统文件夹。o 在在Windows状态下,往往无法将普通的隐私状态下,往往无法将普通的隐私文件夹文件夹“伪装伪装”为系统文件夹,为此需要将系为系统文件夹,为此需要将系统先切换到统先切换到DOS界面下,单击界面下,单击“开
43、始开始”,选择,选择“运行运行(R).”,出现运行对话框,在,出现运行对话框,在“打开打开(O).”后面输入后面输入cmd,如下图所示如下图所示:1.修改文件属性o 然后进入然后进入DOS界面界面1.修改文件属性o 在在DOS命令行中执行命令行中执行 attrib+s+r 要隐藏的文件夹名要隐藏的文件夹名o 命令。这样就能为要隐藏的文件夹添加上系统属命令。这样就能为要隐藏的文件夹添加上系统属性;再次重新启动系统到性;再次重新启动系统到Windows界面后,隐界面后,隐私文件夹就会被当作系统文件夹一样,自动的隐私文件夹就会被当作系统文件夹一样,自动的隐藏起来了,即使访问者选中了藏起来了,即使访问
44、者选中了“文件夹选项文件夹选项”中中的的“显示所有文件显示所有文件”也不能看到隐藏了的文件夹;也不能看到隐藏了的文件夹;不过,将上图窗口中的不过,将上图窗口中的“隐藏受保护的操作系统隐藏受保护的操作系统文件文件”选项取消的话,那么你的隐藏了的文件夹选项取消的话,那么你的隐藏了的文件夹就就“露马脚露马脚”了。了。o 上述方法也可以实现对文件的隐藏。上述方法也可以实现对文件的隐藏。1.修改文件属性o 2.利用利用WinRAR的存储合并功能进行文件的存储合并功能进行文件隐藏。隐藏。o 首先将需要隐藏的目标文件与一图像文件保存到同首先将需要隐藏的目标文件与一图像文件保存到同一文件夹中,然后将它们全部选
45、中,并用鼠标右键一文件夹中,然后将它们全部选中,并用鼠标右键单击之,快捷菜单中执行单击之,快捷菜单中执行“添加到档案文件添加到档案文件”命令,命令,如下图所示。如下图所示。实验一 在Windows系统中实现文件隐藏选择选择“添加到档案文件添加到档案文件”命令,出现下面的对话命令,出现下面的对话框。框。2.利用WinRAR的存储合并功能进行文件隐藏 在出现的窗口中选择在出现的窗口中选择“常规常规”标签;接着在所示的标签;接着在所示的标签页面中,将档案名称修改为形如标签页面中,将档案名称修改为形如“aaa.jpg”格式的图像文件名,并将格式的图像文件名,并将“压缩方式压缩方式”设置为设置为“存存储
46、储”;将;将“存档后删除原文件存档后删除原文件”选项选中。选项选中。2.利用WinRAR的存储合并功能进行文件隐藏o选中选中“文件文件”标签,在弹出的标签页面中,检查一下标签,在弹出的标签页面中,检查一下“要添加的文要添加的文件件”设置项,看看图像文件是否在目标隐私文件的前面,倘若不是设置项,看看图像文件是否在目标隐私文件的前面,倘若不是的话,必须用的话,必须用“剪切剪切”、“粘贴粘贴”的方法,将图像文件的路径信息的方法,将图像文件的路径信息放置到目标隐私文件之前;倘若你还有其他隐私文件需要隐藏的话,放置到目标隐私文件之前;倘若你还有其他隐私文件需要隐藏的话,可以单击该标签页面中可以单击该标签
47、页面中“附加附加”按钮,来将其他目标隐私文件逐一按钮,来将其他目标隐私文件逐一导入进来;见下图:导入进来;见下图:2.利用WinRAR的存储合并功能进行文件隐藏o 完成上面甚至后,单击完成上面甚至后,单击“确定确定”按钮,就能让目按钮,就能让目标隐私文件全部隐匿在图像文件的背后。标隐私文件全部隐匿在图像文件的背后。2.利用WinRAR的存储合并功能进行文件隐藏o 要打开目标隐私文件的话,将前面创建要打开目标隐私文件的话,将前面创建“aaa.jpg”文件修改为文件修改为“aaa.rar”才能就将文才能就将文件打开,或在文件件打开,或在文件“aaa.jpg”的图标上单击右的图标上单击右键,在键,在
48、“打开方式打开方式”中选择中选择WinRAR。o 利用上述方法,将要隐藏的文件如利用上述方法,将要隐藏的文件如“aaa.exe”选中,并用鼠标右键单击之,快捷菜单中执行选中,并用鼠标右键单击之,快捷菜单中执行“添加到档案文件添加到档案文件”命令,并在随后的窗口中选命令,并在随后的窗口中选择择“常规常规”标签;接着在所示的标签页面中,将标签;接着在所示的标签页面中,将档案名称修改为形如档案名称修改为形如“aaa.jpg”格式的图像文格式的图像文件名,则可以实现将可执行文件伪装成图片文件。件名,则可以实现将可执行文件伪装成图片文件。2.利用WinRAR的存储合并功能进行文件隐藏实验二、文件的合并o
49、 在装有在装有Windows 2000/XP/2003操作系操作系统上,安装虚拟机软件,并在虚拟机软件上安统上,安装虚拟机软件,并在虚拟机软件上安装装Windows 2000操作系统,并在此环境下操作系统,并在此环境下进行实验。从网址进行实验。从网址http:/ 下载开山文件合并器的试用版。下载开山文件合并器的试用版。o 安装开山文件合并器的试用版,按照安装向导安装开山文件合并器的试用版,按照安装向导进行安装。进行安装。实验二、文件的合并o 安装开山文件合并器,运行该软件后出现如下安装开山文件合并器,运行该软件后出现如下图所示的界面:图所示的界面:o 按下按下“+”按钮选择需要合并的文件按钮选
50、择需要合并的文件,两个文件分两个文件分别选好后别选好后,合并后的图标将变为第一个文件的图合并后的图标将变为第一个文件的图标标,也可以自己更改图标也可以自己更改图标,选择更改图标选择更改图标,出现下面出现下面的界面。的界面。实验二、文件的合并o 选好图标后,点确定后返回到主界面。在主界选好图标后,点确定后返回到主界面。在主界面按下面按下合并合并按钮按钮,会出现一个保存对话框让会出现一个保存对话框让你填写保存的文件名你填写保存的文件名,填完后就可以保存合并填完后就可以保存合并后的文件了。后的文件了。实验二、文件的合并o 填完后,点击填完后,点击“保存保存”按钮,将合并后的文件保按钮,将合并后的文件
