信息隐藏的基本方法-Read.PDF

信息隐藏的基本方法 信息隐藏的基本方法 北京邮电大学电信工程学院 北京邮电大学电信工程学院 主要内容 基于网络协议的隐密通 基于网络协议的隐密通 基于多媒体的隐密通 阈下传 技术 2 基于网络协议的隐密通信 n 网络隐密通 原理 n 只要能有效混淆秘密数据和正常网络数据的区别， 都可以形成一条有效的秘密信道。 n 基于网络协议的隐密通 技术简便易行，所以 最常为木马程序和黑客所使用。 n 最常见的秘密信道是基于 隧道”技术的，如 HTTP协议中的隧道技术、SSH(Secure Shell)协 议中提供的TCP数据隧道。 n 攻击者为骗过网络管理员和防火墙程序，经常 使用各种协议建立与控制目标的通 联系。 3 基于网络协议的隐密通信 OSI与TCPIP协议模型 4 基于网络协议的隐密通信 ICMP报文 n ICMP全称Internet Control Message Protocol （网际控 制信息协议）。在网络体系结构的各层次中，都需要 控制，而不同的层次有不同的分工和控制内容，IP层 的控制功能是最复杂的，主要负责差错控制、拥塞控 制等，任何控制都是建立在信息的基础之上的，在基 于IP数据报的网络体系中，网关必须自己处理数据报 的传输工作，而IP协议自身没有内在机制来获取差错 信息并处理。为了处理这些错误，TCP/IP设计了ICMP 协议，当某个网关发现传输错误时，立即向 源主机 发送ICMP报文，报告出错信息，让 源主机采取相应 处理措施，它是一种差错和控制报文协议，不仅用于 传输差错报文，还传输控制报文。 5 基于网络协议的隐密通信 ICMP报文 n ICMP报文封装在IP数据报中，IP头部就在ICMP报文的前面，所以 一个ICMP报文包括IP头部、ICMP头部和ICMP报文。IP头部的 Protocol值为1就说明这是一个ICMP报文，ICMP头部中的类型 （Type）域用于说明ICMP报文的作用及格 ，此外还有一个代码 （Code ）域用于详细说明某种ICMP报文的类型，所有数据都在 ICMP头部后面。 n 各种ICMP报文的前32bits都是三个长度固定的字段：type类型字 段(8位)、code代码字段(8位)、checksum校验和字段(16位) n 8bits类型和8bits代码字段：一起决定了ICMP报文的类型。常见的 有： n 类型8、代码0：回射请求 n 类型0、代码0：回射应答 n 类型11、代码0：超时 n 16bits校验和字段：包括数据在内的整个ICMP数据包的校验和， 其计算方法和IP头部校验和的计算方法是一样的 6 基于网络协议的隐密通信 ICMP报文 n ping IP ：响应请求 （Type=8）和应答 （Type=0） n tracert IP：通过计算ICMP报文通过的节点来 确定主机与目标之间的网络距离 ICMP回射请求和应答报文头部格 7 基于网络协议的隐密通信 ICMP报文 n RFC规范约定，ICMP报文中的标识符和序号字段由发 送端自由选择，它们在应答中应该回显，以便发送端 将应答和请求相匹配。