《http隐蔽信道简单总结.docx》由会员分享,可在线阅读,更多相关《http隐蔽信道简单总结.docx(14页珍藏版)》请在优知文库上搜索。
1、隐藏通道CovertChannel,CC基于协议构造隐藏信道(从数据包特征,协议头部和数据收发行为)协议语法定义较为宽松,存在着很多冗余部分,可以用来嵌入隐藏信息不论是怎样的隧道软件,他都必需保证有两条TCP连接,且服务器端一般运用80或8080等具有迷惑性的端口(运用这种Web服务端口只是增加其迷惑性,磁道并不确定必须要运用这种端口,它可以隧道客户端和服务器端的协运用任何一个可用的端口建立连接)。作,有如下两种目前已实际采纳的方式简洁模型1.1.1直接型模式8堪IC.rTE*ilr11BXWK主机A主机B1达更清晰,只示出了两台主机上的隧道软件担当自己各自的功能都会想到从协议首部的异样来进行
2、检测,其实针对这个异样,我们首先应明确什么是正常的状态或者说的头部:在特定用户和特定环境下,阅读器所体现出的协议运用状况般的存在的的协议隐藏信息的存在点:1、重排序法:须要统计这些头部的各个字段的侬次(这些host标记位应样,可以依据五元组,在个会话里面对协议头标的依次进行统计(可以通过数组的方式来存储(动态安排数组)3.3.1持序法HTrP协议中头标的顺序是无关案要的,在不同的实现中,头标的默认展序也是不同的.因此.可通过改变头标联序的方法来编码陵做信息.图3.8是重排序法的一个例子:在第1个请求包中,头标Host在前ConnBtion在后(见图3.8中的虚线框部分),这代奏二进制信息0(见
3、图3.8中的圆圆部分);在第2个请求包中,头标COnneCtion在前Host在后,这代裳二进制信息1.GBT/BrTF/1.1Accpt:/Accept-1.anguage:n-bAccept-Encodingsg”Q,dtlacUsr-AgnttMozilla/4.0(coapatlblJMSIt.0Host:www.bbc.coaGKT/HTTP/1.1I第2个请求Accept:/,Accept-1.angua:n-gbAccept-Encoding:gziprdeflateUsrAgnt:Hoz111a4.0(eptlbl,HSIK.0JConneccion:Keep-Alxv*/y.
4、当mW-yj*m图3.U)HTTP头标“桂序3、可选的头标/值/标记(嵌主要的是去推断Accept这个字段,在同-个host时候,统计这个ACCePt是否变更了,一般状况是不会发生变更的,这个我们也可以做一个初步的解析,依据我们所智驭的可能的调制的二进制数字,也许解析一下它这个解析的值的也许的意思,给用户一个提示作用,这个除藏信道可能是调制一种啥信息出去,这个不确定是正确,也就是给用户个提示作用,让用户能够感觉到这个信息的确是在传送隐藏信息)3.3.3利用可选的头标/值/标志例如.在客户堆发给Web服务器的HrrP请求包的义部中,Accept关标可能会准确地定义客户战在看应中可以接受的文件类型
5、,也可能只是使用通配制(/)来友示客户看允许服务器响应任意类型的文件.这个特征可被用来端码数据.图3.10就是一个可实现的网络嬖放通道的例子:着ACcPa头标中的值是通配符,则代表二进制信息0:若Accpct头标中的值是具体的文件类型,则代表二进制信息IGET/KTTP/1.1Accepts*Accept-1.anguage:n-gbAccept-Bncoding:gzip,deflateU9r-9nt:M。ZilIa/4.0(compatible;MSIE6.0)HostJConnection:Keep-AliveGRT/WrTP/1.1I第2个i,短Accept:JtextZxml?*jq
6、5Accept-Canguageengb-Accept-Bncodjng:gzp,dflatUSer-Agent:H。ZilIa/4.0(copatibl*MSIE6.0)ffi3.12利用可选的头出值Hoetiww.bbc.co*Connection:Keep-Alivw4、添加新头标:这里最主要的识别出那些不是RFC上面的恳求与响应字段,般的的恳求字段有:Authorization,Date,From,If-Modified-Since,0x48(01001000).GE11SPpISPHT11l.1CR1.F/Host:SPwwu.napier.ac.uk|SP|HT|SP|SP|(HT
7、|SP|SP|SP|CR1.FConnectio4SPdoseSPHT11HTSPHTSPUSPHT)CR1.F.USer-AgemlSPJMOZilh/5.0(SPJ(WjnNT)CR1.F0x69(01101001)图314利用旌线的空白字符串在这条请求中,主机A使用Tab制表符HT表示二进制信息1,使用空格SP表示二进制信息0,从而形成了一条发给主机B的隐蔽消息.主机A和主机B都知道,族码到第二行和第三行的8个比特分别代表着不同的ASCIl字符,它们共同组成防延消息(即秘密栽荷).编码到第二行中的ASCn字符的十六进制但是0x48(010010),嫔码到第三行中的ASCD字符的十六进制值
8、是0x69(01101l),合在起,用人们可诙情的形式拼出来就是单词“Hi”.这条请求在标准的Web服务器看来是有效的.没有错误的.但是注意第二行和第三行结尾的大量空白字符.这有些异常,人们可能会怀便这个特殊请求中的这些不可打印字符的意图.在上例中,HTTP头被看做裁体,被编码成空白字符串的ASCiI字符是我荷,这只是在HTTP中够谶信息的方式之一.同样的方法也适用于SMTP.SMTP即简单肥件传检协议,是一组用于在源地址和目的地址之间传送邮件的规则,由它控制邮件的中转方式.人们例读邮件时,对于由空格或Tab制表符组成的空白部分,通常是不太在意的.利用这一点,可以把需要期藏的字符串消息编码成一
9、系列的空格和Tab指标符.由于消息已经隐找到邮件中成为邮件体的一部分了,所以可以像发送普通部件一样将其发送出去.接收端将邮件体中含有降藏信息的部分进行解码就可获取原始信息T.方法-首部匹配,忏部-汗部匹配可疑度计算的具体分析:(须要用到下图)?codm795Aet201.ocation250Expire?114因为浏览器的样本是标准的每考杆木,所以我们将以浏览器样本中出现的匹配上逐一与某进程的样本对照.制一个方法竹部兀W和首部首部匹配项都包含有如衣ST列出的4个M性,故设;浏览器样本中.方法或首部1的出现次数为Cl浏览器样本中.方法对应的背部或竹部2出现次数为C,?某进程样本中.方法或苒部I的
10、出现次数为最某进税样本中,方法对应的首部或泞部2出现次改为C:注意CIoC:不一定相等.4也不一定相等.以G和C:为例.它们代友的意义如词或JR样本中.当方法或许部1出现C“次时,方法3应的苜部或首部2,方法或首51同时住网HTTP报文头郃中出现了次.再以去5-1为例,Jt,l,1.ocation的CI-2S0,Expires的C:114.这次小当1.ocation出现(250次时.Expires与1.ocation在同,个协议头部中同时存作的次数是114次.那么在剩卜的136(250-114)个存在1.。CatIon的协议头部中.ExPIrCS没有出现.不管是浏览瑞的样本还是某进程的样本,它
11、们的CJjcJCJje:都代入这个意义.在用浏览器样本中的匹配项去逐刘熙某进程的徉本的匹配网过程中会出现两情况:A.在某进程的杆本中找到了个匹配顶,这个匹配的方法或苒部I的名称.方法对应的首部或首部2的名称1.j浏览器样本中的当前匹配项的对鹿的名称均相等.B.没仃在某进程的样本中找到个匹配项满足这个匹配的方法或花郃I的名称,方法对应的苜部或首部2的名称,浏览器样本中的*1附匹配J或的名称均相等.司总的首部首部匹配可疑度.为什么我们不以某进程的样本上逐对照浏览器的几代项呢?这是因为一U.HTTP隧道的部来用了一种固定不变的对环境不敏魅的方法首部或首都都匹fld就很难测得它的可疑度,闪为这时它们的
12、比率凡和凡相力就很小/.几手无法区分。用浏览器去逐一的以配某进程的样木,可以避免这种情况发生,还可以对许个对象迸程燃大限段的求得。参照样本的差距,使得可故僮区分较为明心.W外还有一种可能性,就是浏览器参考样本中不作的匹配J趴架进程的样木中却存在,如若出现这种可能性,我们不必担心测不到可疑度,因为浏览器样本的匹配项数”是庞大的,几乎把所付正常的可能出现的四间都包含了进去:如果某进程的朽木出现了连浏览器样本中都不存在的匹配顶,那说明该迸程的HTTP协议头部儿手是完全“胡乱”搭收的:这样由广浏览器样本庞大,这些胡乱搭配的头部总有相当郃分会落入我In的可冷测范用,这就能求出可疑度了.从另方而说,我的的
13、检测在能分册得出可疑进程的前提卜捷W有开俏的方法越好.从理论上讲,当HTTP隧道没有刻意使用对环境不喊科的方法首部.首部.首部匹配的时候,上向的芽法能够使HTrP隧道狭得较大的可疑度.做足如果HTrP隧道栗川r不敢感的方法首部,首部首部匹配而努力的去接近浏览器的标准兀配的话,我的所求的可疑度向不会明显的区别得出HTTP隧道.但是,我勺可以通过前两范的方法逮住这HHTTP隧道,并根据本章的方法分析该HTTP陞道是否在协议头郃的创建上别行浙心思,通过这种分析,可以更进步的了解款I11TP隧道的设计水平和复杂度.值得庆季的是.该深找使用的HTTP-TiumclCliciit.exe就是上述所说的“别仃一小心思”的HTTP隧道,我们可以从科他头部的方法首都,首郃首部分析来在什它在模仿正常HTrP协议使用情况上作了怎样的考究首先看着几组实验数据.如图最1:万圣百那可见Irwai32.8K438Mtudll32.X.0lH3ply*rx*-T8OB2SX.Yld.iT9723MfTTF-TtmnanKMK-XT2236首都甘郡CI战口.radll32n-38S651VRoaflX32.3.05565114*.txe-3.8t81tfS三-m11r*r三-3.JH%91W3w384109VKm-TwlAaalw.-3(hss三4ffi5-l方Ji-H*25-
免费区 