网络协议信息隐藏部分第二卷网络协议分析.pptVIP

5.2 基于传输层协议的信息隐藏 【实验目的】 【实验环境】 【原理简介】 【实验步骤】 【实验结果】 【思考题】 【实验目的】 掌握传输层信息隐藏的原理，理解在传输层两种主要协议上进行信息隐藏的基本方法，使用VC设计并编程实现一种传输层信息隐藏算法。 【实验环境】 (1) 网络环境：100Mbps交换式以太网，2台主机，其中包括发送端(192.168.0.1/24)与接收端(192.168.0.2/24)； (2) 操作系统：Windows2000或2.4.20以上版本的Linux（如Redhat9和Fedora系列）； (3) 编程工具：Microsoft Visual C++ 6.0，WinPcap开发包（版本3.0以上）。 【原理简介】 在传输层中，TCP和UDP都使用相同的网络层，TCP向应用层提供一种面向连接的、可靠的字节流服务，而UDP提供的是无连接的、不可靠的字节流服务。在TCP与UDP上都可以进行信息隐藏，本节以TCP为例进行说明，其首部格式如下图所示。 TCP序列号是一个32位的字段，用以标识从TCP发送端向TCP接收端发送的数据字节流，它保证了传输的可靠性。正常的TCP连接建立分三步，具体原理如下图所示。 请求端发送一个SYN段指明请求端打算连接的服务器的端口以及ISN； 服务器发回包含服务器ISN的SYN报文段作为应答，同时将确认号设置为请求端的ISN加1以对请求端的SYN报文段进行确认； 请求端必须将确认号设置为服务器的ISN加1对服务器的SYN报文段进行确认。 利用TCP数据包的32位序列号隐藏信息的方法原理如下图所示。 该方法只完成了正常三次握手中的第一步就实现了秘密信息的传输。由于事先已对此种报文做过定义，接收端将不会发送ACK信息，因此避免了接收端认为受到了SYN Flood攻击。发送端间隔1秒发送数据包是为了防止在接收端一方发生数据包乱序的现象。SEQ域的信息可以经过编码或加密，在实际实现中一般是将隐匿信息的ASCII码乘以256。该方法的可靠性较差，在理想情况下，嵌入效率为每个数据包16比特。 【实验步骤】 1.算法描述 实验的主要思路与5.1节相似，为掌握更多协议隐写的实现手段，这里介绍使用WinPcap进行数据嗅探的方法。 2.数据结构 20字节的TCP头、定义TCP伪报头 3.算法实现 算法分为两个部分实现： 嵌入算法 提取算法 【实验结果】 TCP隐写的嵌入程序 TCP隐写的提取程序 提取的秘密信息 由于WinPcap嗅探的数据包中包含14字节的以太网首部，加上IP、TCP首部的40字节和TCP测试数据（This is a test \r\n）的17字节，图中的长度为71。需要说明的是，提取程序设置了每20个数据包显示一次消息，故长度为104字节的消息只能在对话框中显示出80字节，图中的最后一个序列号1953984370(t*256^3+w*256^2+o*256+r)见P99就是对话框最后四个字符“twor”的ASCII码。除此之外，提取程序定义了过滤规则，只有满足IP分片R标记和TCP的SYN标记被置位、IP源地址为192.168.0.1的数据包才会被处理。提取程序还可将对方发送的信息存储为ISN_Data.dat文件，并将每个ISN的数字按序号保存在TCP_SYN.txt中，以便进行进一步分析。