基于TCP协议首部的网络隐蔽通道技术研究

J4 ›› 2014, Vol. 36 ›› Issue (06): 1072-1076.

基于TCP协议首部的网络隐蔽通道技术研究

张令通1，2，罗森林2

（1.云南大理学院工程学院，云南大理 671003；
2.北京理工大学信息安全与对抗技术实验室，北京 100081）

收稿日期:2012-12-05 修回日期:2013-04-07 出版日期:2014-06-25 发布日期:2014-06-25
基金资助:
国家242计划资助项目（2005C48）；云南省教育厅科学基金资助项目（2012Y154）

Research of the network covert channel
technique based on TCP protocol header

ZHANG Lingtong1,2,LUO Senlin2

（1.College of Engineering，Dali University,Dali 671003;
2.Lab for Information Security and Countermeasures,Beijing Institute of Technology,Beijing 100081,China）

Received:2012-12-05 Revised:2013-04-07 Online:2014-06-25 Published:2014-06-25

摘要/Abstract

摘要：

通过研究网络隐蔽通道建立的机制，提出了一种基于TCP协议首部实现网络隐蔽通道的方法，通过将秘密信息经AES加密后嵌入TCP协议首部的序列号和确认号字段，模拟访问Web服务器的行为生成TCP数据包，以达到穿透防火墙和躲避入侵检测系统的目的，并利用此隐蔽通道进行信息传递和远程控制。设计并实现了该原型系统。实验结果表明，该系统的隐蔽性高、传输速度快、可扩展性强，可以实现隐秘信息的传输，也为解决网络隐蔽通道的安全策略问题提供了理论依据和技术支持。

关键词: 隐蔽通道, TCP协议, 网络安全, 信息传输, 远程控制

Abstract:

Through studying the mechanism established by network covert channel, a network covert channel implementation method using TCP protocol header is proposed. The firewall and intrusion detection system are penetrated by the following procedure: Firstly, certain AESencrypted secret information is embedded into the sequence number/confirm number fields of the TCP header. Secondly,TCP data packets are constructed by web behavior simulating technique. Finally, information transferring and remote controlling can be implemented through this covert channel.A prototype system is also implemented.The experimental results show that, the system has some advantages such as high concealment performance, fast transmission speed, good expansibility, etc. The transmission of privacy information can be achieved. Theory basis and technical support are also provided for the network information security problem solving.

Key words: covert channel;TCP protocol;network security;information transmission;remote control

张令通1，2，罗森林2. 基于TCP协议首部的网络隐蔽通道技术研究[J]. J4, 2014, 36(06): 1072-1076.

ZHANG Lingtong1,2,LUO Senlin2. Research of the network covert channel
technique based on TCP protocol header [J]. J4, 2014, 36(06): 1072-1076.

参考文献

［1］Wang Yumin, Zhang Tong, Huang Jiwu. Information hiding—Theory and technology［M］.Beijing:Tsinghua University Press, 2006.(in Chinese)
［2］Yang Zhidan, Liu Kesheng, Wang Kang. Network covert channel technique based on IP header option［J］. Computer Engineering,2009,35(13):125127.(in Chinese)
［3］Lu Dahang.The research and implementation of covert channel based on network protocols［J］. Computer Engineering and Applications,2003,39(2):183186.(in Chinese)
［4］Lv Tao, Cao Tianjie. Approach of covert channel based on TCP protocol［J］. Computer Security, 2010(5):5155.(in Chinese)
［5］Hu Huaping, Du Kun, Liu Bo, et al. Design and implementation of a firewall penetration system based on TCP packets［J］. Computer Engineering & Science,2007,29 (5):47.(in Chinese)
［6］Li Liping,Wang Jianhua. Implementation of secret communication with covert channels in network traffic［J］. Computer Science, 2009,36(5):115117.(in Chinese)
［7］Zhang Wei, Wang Tao, PAN Yanhui, et al. Data packet capture and applications based on WinPcap［J］. Computer Engineering & Design,2007,29(7):16491651.(in Chinese)
［8］Luo Qinglin, Xu Kefu, Zang Wenyu, et al. Network protocol parser and verification method based on Wireshark［J］. Computer Engineering & Design,2011,32(3):770773.(in Chinese)
附中文参考文献：
［1］王育民,张彤,黄继武.信息隐藏——理论与技术［M］.北京:清华大学出版社,2006.
［2］杨智丹,刘克胜,王康.基于IP报头选项的网络隐蔽通道技术［J］.计算机工程,2009,35(13):125127.
［3］卢大航. 基于网络协议的隐蔽通道研究与实现［J］.计算机工程与应用,2003,39(2):183186.
［4］吕涛,曹天杰.基于TCP协议的隐蔽通道研究［J］.计算机安全,2010(5):5155.
［5］胡华平,杜昆,刘波,等.基于TCP报文的防火墙渗透测试系统的设计与实现［J］.计算机工程与科学,2007,29 (5):47.
［6］李丽萍,王建华.网络传输中采用隐蔽通道实现秘密通信［J］.计算机科学,2009,36(5):115117.
［7］张伟,王韬,潘艳辉,等. 基于WinPcap的数据包捕获及设计［J］.计算机工程与设计,2007,29(7):16491651.
［8］罗青林,徐克付,臧文羽,等. Wireshark环境下的网络协议解析与验证方法［J］.计算机工程与设计,2011,32(3):770773.

[1]	白坚镜, 顾瑞春, 刘清河. SDN环境中基于Bi-LSTM的DDoS攻击检测方案[J]. 计算机工程与科学, 2023, 45(02): 277-285.
[2]	刘世文1,5，马多耀2,4，雷程1,3,5，尹少东2,4，张红旗1,5. 基于网络安全态势感知的主动防御技术研究[J]. 计算机工程与科学, 2018, 40(06): 1057-1061.
[3]	刘强，蔡志平，殷建平，董德尊，唐勇，张一鸣. 网络安全检测框架与方法研究[J]. 计算机工程与科学, 2017, 39(12): 2224-2229.
[4]	吴果，陈雷，司志刚，白利芳. 网络安全态势评估指标体系优化模型研究[J]. 计算机工程与科学, 2017, 39(05): 861-869.
[5]	赵宁1,谢淑翠2. 基于dpdk的高效数据包捕获技术分析与应用[J]. 计算机工程与科学, 2016, 38(11): 2209-2215.
[6]	任方. Ad Hoc网络的自适应分布式PKG机制[J]. J4, 2015, 37(07): 1272-1279.
[7]	陈宏亮，刘莉平，赵明，陈志刚. 认知无线网络中基于信誉度管理的动态频谱接入研究[J]. J4, 2015, 37(03): 498-502.
[8]	唐湘滟, 程杰仁, 殷建平, 龚德良. 基于NP模式的报文检测方法[J]. 计算机工程与科学, 2014, 36(11): 2128-2131.
[9]	陈大乾，任广伟. 对社区电子政务网络安全和数据共享问题的思考[J]. J4, 2014, 36(09): 1705-1710.
[10]	马占飞1，尹传卓2. 基于ACE和SSL的Firewall与IDS联动系统研究[J]. J4, 2014, 36(08): 1486-1492.
[11]	张拥军1，2,唐俊2. 基于云模型的网络安全态势分析与评估[J]. J4, 2014, 36(01): 63-67.
[12]	甘亮1,2，李润恒1，贾焰1，刘健3. HS-StreamCube:网络安全事件流实时多维分析系统[J]. J4, 2013, 35(3): 72-79.
[13]	王海龙1,2，唐勇2，龚正虎2. 僵尸网络命令与控制信道的特征提取模型研究[J]. J4, 2013, 35(2): 62-67.
[14]	王小静1,2，沈晓军1，王军波1. 概率包标记方法中收敛时间的数学模型[J]. J4, 2012, 34(6): 7-11.
[15]	贺志强，楼芳，李亮. 基于攻击距离的攻击图优化方法[J]. J4, 2012, 34(2): 9-12.