http隐蔽信道简单总结.docxVIP

隐蔽通道 Covert Channel, CC 基于HTTP协议构造隐蔽信道（从数据包特征，协议头部和数据收发行为） HTTP协议语法定义较为宽松，存在着很多冗余部分，可以用来嵌入隐蔽信息 不论是怎样的HTTP隧道软件他都必须保证有两条 TCP连接，且服务器端一 般使用80或8080等具有迷惑性的端口（使用这种 web服务端口只是增加其 迷惑性，HTTP隧道并不一定必须要使用这种端口， 它可以使用任何一个可用的 端口建立连接）。HTTP隧道客户端和服务器端的配合，有如下两种目前已实际 采用的方式 简单http模型 L 1, 1直接型模式 1达更清楚，只示出了两台主机上的 HTTP隧道软件担任自己各自的功能时的 一种情况，当然反过来，A也能扮演图中B的角色，即成为服务器，B扮演图 中A的角色，即成为客户端，效果一样。如图所示，客户端和服务器端各自与本 地主机建立至少一条TCP连接。主机应用进程将原始数据发送到本机的 HTTP 隧道客户端或服务器端，经隧道软件用HTTP协议包装，然后发送到对方主机。 对方主机收到数据后，拆封 HTTP包，然后把原始数据转发给本地的相应进程 代理模型 L L2中转型模式 主机A 主机C 01 2中将械工 A:基于协议的检测：（基于HTTP协议头部标识） 协议头部的检测应该属于基于协议的检测（PROTOCOL-BASED DETECTION）范畴。但是目前有相当一部分基于协议的检测是探测某种协议 的状态是否是处于约定的正常范围之内，如有异常状态发生就报警。这种检测 协议状态的方法适用于有状态的协议，如 TCP, DHCP等协议。对于无状态 的HTTP协议则不能使用这种检测方法。那么，我们就需要从其他方面来考 虑怎么检测HTTP隧道。在面对这个问题时我们都会想到从 HTTP协议首部 的异常来进行检测，其实针对这个异常，我们首先应明确什么是正常的状态或 者说HTTP的头部：在特定用户和特定环境下，浏览器所体现出的 HTTP 协议使用情况 一般的存在的http的协议隐藏信息的存在点： 1、重排序法：需要统计这些头部的各个字段的顺序（这些 host标记位应一 致，可以根据五元组，在一个会话里面对协议头标的顺序进行统计 （可以通过数 组的方式来存储（动态分配数组））） 3.3.1重排序法 HE 协议中头标的顺序是无美紧要的,在不同的实现中，头标的默认顺序 也是不同的.因此，可通过改变头标顺序的方法来编码隐蔽信息.图3.8是重排 序法的一个例子；在第】个请求包中，头标Host在前Coniwcti。口在后（见图3.8 中的虚线框部分）,这代表二进制信息。（见图3.8中的圆圈部分卜在第2个请 求包中，头标Csineaion在前Host在后,这代表二进制信息L 第I 第I不背上也 GET / HTH/1.1 Accept: ?/? Acp?pt-3rigij，q ?: ?「■g Accopt-Encodirifi gtiv, aetl.t。 U9?r-Kgent￡ Nozllla/4.D (ccwtibl?i MSI I i.Oj J Host: wwu .bbc. cq? . /、 E9R昨小吟』淳啦 Eixy」 GET / HTTF/1,1 Aceept! */* Accept-?力?gb 舄cc?pt-Encoding: {Rip. dlat? User-Agent： Mozill/4.0 (cc?p4tibi? N5IE C.O) [Conncrt fon* Tteep-Kliv** 卜到m/.yyj 毁吗 图 10 HE头标章持序 2、大小写变换法： （需要分析协议头标名称中的大小写，正常情况协议头部信息的标识都不会异常 的，一般都会符合正常通信的规则，例如 Connection : Keep-Alive --可以改 为 ConnECtion : Keep-Alive 即可代表 0111001111,或者是 1000110000,这个 我们是可以不用深究它这个具体是啥意思，只需要匹配出它这个协议的标识不正 常即可） 通过这些信息，我们可以进行估计这些信息所传送的信息的值， 比如说上面所说 的ConnECtion : Keep-Alive 即可代表0111001111,也就是可以代表 0x72即R 或者是1000110000,但是这个没意思的一个值，所以很可能是代表 R,所以我 们可以做一个估计，一般估计的值应该是比较常见的东西， 比如说字母或者是数 字之类的，一般就是说常见的ASSIC码值（如果是调制出来的信息为0~9,A~Z, a~z我们都可以提示，如果是其他信息，我们就可以不做处理或者是其他处理（根 据相应情况提示加密之类的）） 需要的数据有：Http协议头部的各个字段（可以用一个数组保存这些首部名称，