由http暗藏通道看網絡安全(2)

2024-07-21 02:24:31

字體：大中小

來源：轉載

供稿：網友

最大的網站源碼資源下載站，

    仔細觀察截獲的httptunnel數據包，可以發現緊跟著三次握手完成后的第一個數據包包含著一個post動作，是由htc（client端）發送到hts(server端)的。如下： 14:55:39.128908 client.yiming.com.51767 > server.yiming.com.80: s 3521931836:3521931836(0) win 8760  (df)
0x0000   4500 002c d3cc 4000 fb06 53c9 xxxx xxxx        e..,[email protected]#
0x0010   yyyy yyyy ca37 0050 d1ec 6a3c 0000 0000        .f.d.7.p..j<....
0x0020   6002 2238 1708 0000 0204 05b4 0000             `."8..........
14:55:39.128945 server.yiming.com.80 > client.yiming.com.51767: s 2946004964:2946004964(0) ack 3521931837 win 8760  (df)
0x0000   4500 002c cb85 4000 ff06 5810 yyyy yyyy        e..,[email protected]
0x0010   xxxx xxxx 0050 ca37 af98 77e4 d1ec 6a3d        .f.#.p.7..w...j=
0x0020   6012 2238 ef79 0000 0204 05b4                  `."8.y......
14:55:39.131002 client.yiming.com.51767 > server.yiming.com.80: . ack 1 win 8760 (df)
0x0000   4500 0028 d3cd 4000 fb06 53cc xxxx xxxx        e..([email protected]#
0x0010   yyyy yyyy ca37 0050 d1ec 6a3d af98 77e5        .f.d.7.p..j=..w.
0x0020   5010 2238 0737 0000 0000 0000 0000             p."8.7........
14:55:39.132841 server.yiming.com.80 > client.yiming.com.51767: . ack 44 win 8760 (df)
0x0000   4500 0028 cb86 4000 ff06 5813 yyyy yyyy        e..([email protected]
0x0010   xxxx xxxx 0050 ca37 af98 77e5 d1ec 6a68        .f.#.p.7..w...jh
0x0020   5010 2238 070c 0000                            p."8....
14:55:39.132860 client.yiming.com.51767 > server.yiming.com.80: p 1:44(43) ack 1 win 8760 (df)
0x0000   4500 0053 d3ce 4000 fb06 53a0 xxxx xxxx        [email protected]#
0x0010   yyyy yyyy ca37 0050 d1ec 6a3d af98 77e5        .f.d.7.p..j=..w.
0x0020   5018 2238 d23a 0000 504f 5354 202f 696e        p."8.:..post./in
0x0030   6465 782e 6874 6d6c 3f63 7261 703d 3130        dex.html?crap=10
0x0040   3037 3838 3034 3836 2048 5454 502f 312e        07880486.http/1.
0x0050   310d 0a                                        1..
                                    1..

看起來是發送client端的數據包到server端的，那么server有什么反應呢？我們往下看,在上面這個過程完成后，htc和hts又發生了一次握手（注意，又一次握手），如下：
14:55:39.134301 client.yiming.com.51768 > server.yiming.com.80: s 2851199448:2851199448(0) win 8760  (df)
0x0000   4500 002c d3df 4000 fb06 53b6 xxxx xxxx        e..,[email protected]#
0x0010   yyyy yyyy ca38 0050 a9f1 d9d8 0000 0000        .f.d.8.p........
0x0020   6002 2238 cf65 0000 0204 05b4 0000             `."8.e........
14:55:39.134389 server.yiming.com.80 > client.yiming.com.51768: s 2946060449:2946060449(0) ack 2851199449 win 8760  (df)
0x0000   4500 002c cb8f 4000 ff06 5806 yyyy yyyy        e..,[email protected]
0x0010   xxxx xxxx 0050 ca38 af99 50a1 a9f1 d9d9        .f.#.p.8..p.....
0x0020   6012 2238 cf19 0000 0204 05b4                  `."8........
14:55:39.136527 client.yiming.com.51768 > server.yiming.com.80: . ack 1 win 8760 (df)
0x0000   4500 0028 d3e0 4000 fb06 53b9 xxxx xxxx        e..([email protected]#
0x0010   yyyy yyyy ca38 0050 a9f1 d9d9 af99 50a2        .f.d.8.p......p.
0x0020   5010 2238 e6d6 0000 0000 0000 0000             p."8..........
14:55:39.137333 client.yiming.com.51768 > server.yiming.com.80: p 1:43(42) ack 1 win 8760 (df)
0x0000   4500 0052 d3e1 4000 fb06 538e xxxx xxxx        [email protected]#
0x0010   yyyy yyyy ca38 0050 a9f1 d9d9 af99 50a2        .f.d.8.p......p.
0x0020   5018 2238 25ce 0000 4745 5420 2f69 6e64        p."8%...get./ind
0x0030   6578 2e68 746d 6c3f 6372 6170 3d31 3030        ex.html?crap=100
0x0040   3738 3830 3438 3620 4854 5450 2f31 2e31        7880486.http/1.1
0x0050   0d0a                                           ..
14:55:39.137379 server.yiming.com.80 > client.yiming.com.51768: . ack 43 win 8718 (df)
0x0000   4500 0028 cb90 4000 ff06 5809 yyyy yyyy        e..([email protected]
0x0010   xxxx xxxx 0050 ca38 af99 50a2 a9f1 da03        .f.#.p.8..p.....
0x0020   5010 220e e6d6 0000                            p.".....
14:55:39.139733 client.yiming.com.51768 > server.yiming.com.80: p 43:89(46) ack 1 win 8760 (df)
0x0000   4500 0056 d3e2 4000 fb06 5389 xxxx xxxx        [email protected]#
0x0010   yyyy yyyy ca38 0050 a9f1 da03 af99 50a2        .f.d.8.p......p.
0x0020   5018 2238 e156 0000 486f 7374 3a20 3230        p."8.v..host:.20
0x0030   322e 3130 322e 3232 372e 3638 3a38 300d        2.102.227.68:80.
0x0040   0a43 6f6e 6e65 6374 696f 6e3a 2063 6c6f        .connection:.clo
0x0050   7365 0d0a 0d0a                                 se....
14:55:39.151300 server.yiming.com.80 > client.yiming.com.51768: p 1:170(169) ack 89 win 8760 (df)
0x0000   4500 00d1 cb91 4000 ff06 575f yyyy yyyy        [email protected]_.f.d
0x0010   xxxx xxxx 0050 ca38 af99 50a2 a9f1 da31        .f.#.p.8..p....1
0x0020   5018 2238 e721 0000 4854 5450 2f31 2e31        p."8.!..http/1.1
0x0030   2032 3030 204f 4b0d 0a43 6f6e 7465 6e74        .200.ok..content
0x0040   2d4c 656e 6774 683a 2031 3032 3430 300d        -length:.102400.
0x0050   0a43 6f6e 6e65 6374 696f 6e3a 2063 6c6f        .connection:.clo
0x0060   7365 0d0a 5072 6167 6d61 3a20 6e6f 2d63        se..pragma:.no-c
0x0070   6163 6865 0d0a 4361 6368 652d 436f 6e74        ache..cache-cont
0x0080   726f 6c3a 206e 6f2d 6361 6368 652c 206e        rol:.no-cache,.n
0x0090   6f2d 7374 6f72 652c 206d 7573 742d 7265        o-store,.must-re
0x00a0   7661 6c69 6461 7465 0d0a 4578 7069 7265        validate..expire
0x00b0   733a 2030 0d0a 436f 6e74 656e 742d 5479        s:.0..content-ty
0x00c0   7065 3a20 7465 7874 2f68 746d 6c0d 0a0d        pe:.text/html...

從數據包中可以看到，本次通訊中hts(server)端向htc(client)端發送了一個get的標識包，估計是去"取"剛才client端發來的數據包，而且是一次新的握手！為了驗證，我們分別在client,server端，執行netstat -an，結果證明了我們的觀察是正確的，如下：
client.yiming.com.51767        server.yiming.com.80     8760      0  8760      0 established
client.yiming.com.51768        server.yiming.com.80     8760      0  8760      0 established

在server端，執行netstat -an，結果如下：
server.yiming.com.80    client.yiming.com.51767  8760      0  8760      0 established
server.yiming.com.80    client.yiming.com.51768  8760      0  8760      0 established

果然，防火墻兩邊的系統都起了兩個socket，和一般程序不同，這是個比較特殊的現象。

get動作完成后，server端又向client端發送了一個數據包，內容是
http/1.1 200 ok content-length: 102400
connection: close
pragma: no-cache
cache-control: no-cache, no-store, must-revalidate
expires: 0
content-type: text/html

這里應該是定義數據包傳輸最大值等參數的。

作者察覺，經由了這三次htc和hts之間的作用后，httptunnel才真正的建立起來，后面的工作才能正常開展，而且很有意思的是，自此以后所有后續的數據包一律沒有80端口經常走的get,put,post之類的內容！！這里看來可以想點辦法。

上面說過，正常走80端口的數據包應該是web行為，那么就數據包中就應該少不了get等正常的動作內容，如果在80端口經過的數據總是沒有這些東東，那么就肯定有問題了，

那么這種問題就有了一種解決方案，就是手工檢查通過80端口通過的數據包，如果數據包是明文傳送，那么就很容易發現這種行為。但這種行為也只能在理論上可行。在實際上的操作是不可能的，有沒有比較成熟的這種產品呢？按照這個思路檢索網上的數據，果然發現有種入侵檢測e-gap系統可以確實察覺及屏蔽httptunnel等通道軟件的存在，它工作在tcp/ip的應用層，在應用層一級檢測數據包的確切性，比如，檢測80端口的數據包，如果看起來數據包中總是沒有有效的數據（url,get,put等參數），那么e-gap系統就會報警，并中斷連接行為。（請參閱參考資料）

需要注意的是，這種偵測方法僅對明文傳送的有效，如果數據被加密，那么也就無計可施了。那么再進一步，如果加密了呢？目前作者掌握的情況來看，stealthwatch硬件產品可能是一種比較好的選擇，它完全擯棄了基于簽名的工作模式，而是采用一種正在申請專利的基于flow-base構架策略，按照幾家評測實驗室的結果來看，可以有效的察覺已經公開和未公開的各種攻擊，dos，蠕蟲，病毒等，甚至包括加密的通訊！但是，它的價錢也遠遠的超出了普通的商用ids系統，一套齊備的設施需4萬美元！具體效果作者目前沒有條件測試。（請參閱參考資料）

總結
在我們的試驗中，httptunnel同時逃過了防火墻的屏蔽以及入侵檢測系統的追蹤，這是值得思考的。我們可以看到，網絡安全僅僅依靠某種或某幾種手段是不可靠的，尤其是對安全性要求很高的應用系統，同時對安全系統的盲目依賴往往會造成巨大的安全隱患。

參考資料

httptunnel主頁
http://www.nocrew.org/software/httptunnel.html
httptunnel程序下載
ftp://ftp.nocrew.org/pub/nocrew/unix/httptunnel-3.0.5.tar.gz
tcpdump主頁及相關資源
http://www.tcpdump.org
snort主頁及相關資源
http://www.snort.org
nss關于ids系統的評測報告
http://www.nss.co.uk/ids/index.htm
open source mounts ids challenge 的報道
http://www.vnunet.com/news/1127283
文章"insertion, evasion, and denial of service: eluding network intrusion detection"
http://secinf.net/info/ids/idspaper/idspaper.html
stick作者主頁
http://www.eurocompton.net/stick/projects8.html
e-gap產品
http://www.whalecommunications.com
stealthwatch產品
http://www.lancope.com/products

關于作者
宮一鳴，男，26 歲，河南電信網絡關鍵設備高級系統管理員，主任工程師，中國電信國家級跨世紀人才，中國電信網絡安全小組核心成員，河南電信網絡安全小組成員。您可以通過e-mail :[email protected]或網站http://security.zz.ha.cn聯系他!

上一篇：密碼的故事（轉自MSDN）

下一篇：常用加密字符串的class,轉自OSLeague啊，作者：bigeagle