（信号与信息处理专业论文）非法外联监测技术的研究与实现.pdfVIP

非法外联监测技术的研究与实现 摘要 在一个保密性极高的单位，为了保证安全性，都进行了内网 和外网的物理隔离。但是有些内网用户可能会违反安全性的规定， 偷偷的通过拨号或其它方式连接到互联网上。此时计算机黑客就 可以通过拨号等方式建立的连接攻击这台机器，并通过这台机器 访问内部网络，窃取机密资料，甚至使整个网络瘫痪。由于这种 方式直接通过拨号链路等方式进行，而不经过防火墙，所以防火 墙对于这种方式的攻击无能为力；另外，通过这台机器访问内部 网的其他机器，完全可以通过合法身份进行，对于这种访问，i d s 也不会发现并报警；众多的安全产品对这种比较隐蔽又非常容易 被忽略的非法外联安全漏洞“毫无办法”。 非法外联监控技术作为管理者有效的技术手段，可以全面、 实时地监控整个单位网络内部的非法外联行为。本文对非法外联 监控技术进行了深入研究，关键技术体现在以下几个方面： 1 ) 新的监测体制 目前，非法外联监测系统主要有两种实现方式，一种采用双 机架构，另一种采用c s ( 客户服务器) 架构，这两种监测体制 都各有利弊。本文提出了一种新的监测体制，克服了上述两种监 测体制的不足。 2 ) 非法外联技术原理的灵活实现 基于t c p 协议“三次握手”原理的灵活应用，实现了非法外 联监测的技术难点。使得只需通过一台监测中心服务器，即可以 监测任何一种非法外联方式。同时为了增强系统的安全性，采用 了s o c k e t 和w i n p c a p 相结合的新的客户端服务器通信方式、随机 加密目标端口和双包关联和判别技术。 3 ) 三层复合主机探测技术 为了增强企业内部网的管理，引入了“三层复合主机探测” 技术，其主机探测的可靠性和信息获取的全面性超越了国内所有 其他同类产品。 4 ) s m 工m e 安全电子邮件和短消息实时告警的实现 目前同类产品一般只有网页、普通电子邮件两种告警方式，本 文中为增强告警的实时性，还实现了短信和寻呼告警。同时采用 s m i m e 协议实现了安全电子邮件。 关键字：非法外联拨号w i n p c a ps m i m e 实时告警 a b s t r a c t r e s e a r c ha n dr e a liz a t 10 n0 fm o nit o rt e c h n o l o g y 0 nll l e g a le x t e r n a llin k a b s t r a c t i na s e c u r i t y v a l u e d u n i t ， a l w a y ss e p a r a t e t h ei n t r a n e ta n d i n t e r n e tt oe n s u r et h es e c u r i t y b u ts o m ei n t r a n e tu s e r sm a yb r e a kt h e r u l e sa n 西c o n n e c tt ot h ei n t e m e te i t h e rt h r o u g hd i a l u po ro t h e rw a y s h a c k e r s 啦a ya t t a c k t h eh o s ta n dt h e nv i s i tt h ei n t r a n e t ，s t e a lt h e c o n f i d e n t i a li n f o r m a t i o na n dp a r a l y z et h ew h o l en e t w o r kt h r o u g ht h e i l l e g a l c o n n e c t i o n f o ri ti s t h r o u g hd i a l u po ro t h e rl i n k s ，b u tn o t t h r o u g hf i r e w a l l ，f i r e w a l lc a nd on o t h i n gt ot h i sk i n do fa t t a c k v i s i t o t h e rh o s t so ft h ei n t r a n e tt h r o u g ht h i sh o s tc a nb e h a v ea sav a l i du s e r ， a n di d sw i l ln o td i s c o v e ra n da l a r m m o s to ft h es e c u r i t yp r o d u c t s c a nd o n o t h i n g t ot h i sc o n f i d e n t i a la n d e a s i l y o m i t t e d s e c u r i t y w e a k n e s s a sae f f e c t i v et e c h n o l o g ym e t h o d ，t h et e c h n o l o g yo fm o n i t o r i n g o ni l l e g a le x t e r n a ll i n kc a nm o n i t o ra n yk i n do fi l l e g a le x t e r n a ll i n k m a n n e r so ft h ew h 0 1 ei n t r a n e tg e n e r a l l ya n dt i m e l y t h et h e s i sd o e s 一一 垒! 坐! ! !一 - _ _ _ _ _ _ _ - 一 p r o f o u n dr e s e a r c ho nt h i st e c h n o l o g y ，t h em a i nt e c h n o l o g i e sa r e s u m m a r i z e da sf o l l o w s ： 1 ) a n e wm o n i t o r i n gs c h e m e n o w ，t h e r ea r et w om a i n s t r e a ms c h e m e s t or e a l i z et h em o n i t o r i n g s y s t e mo nt h ei l l e g a le x t e r n a ll i n k ，o n ei st h ed u a l - c o m p u t e rs c h e m e a n dt h eo t h e ri st h ec ss c h e m e an e wm o n i t o r i n gs c h e m ei s p r o p o s e da n do v e r c o m e st h ed e f i c i e n c i e so f t h ea b o v e - m e n t i o n e d d u a l c o m p u t e rs c h e m ea n dc ss c h e m e 2 ) f l e x i b l er e a l i z a t i o no ft h et h e o r yo fi l l e g a le x t e r n a ll i n k f l e x i b l e a p p l i c a t i o n o ft h e t h e o r y b a s e d o nt h e “t h r e e w a y h a n d s h a k e ，r e a l i z e s t h et e c h n o l o g yd i f f i c u l t i e so ft h e m o n i t o r i n go nt h ei l l e g a le x t e r n a l1 i n k j u s tt h r o u g ho n em o n i t o r i n g s e r v e r ，a n yk i n do fi l l e g a le x t e r n a l l i n kc a nb em o n i t o r e d a tt h es a m e t i m e ， i no r d e rt os t r e n g t h e nt h es e c u r i t yo f t h e s y s t e m ， an e w c o m m u n i c a t i o nm a n n e rb e t w e e ns e r v e ra n dc l i e n ti si m p l e m e n t e d i t i n c o r p o r a t e s t h es o c k e ta n dw i n p c a pt e c h n o l o g y ， e n c r y p t s t h e d e s t i n a t i o n p o r tr a n d o m l y a n da p p l y s d u a l p a c k a g e s r e l a t e da n d a u t h e n t i c a t e dt e c h n 0 1 0 9 y 3 )“t r i a n g l e - c o m p l e xh o s td e t e c t i n g t e c h n o l o g y i no r d e rt o s t r e n g t h e n t h e m a n a g e m e n t o ft h e i n t r a n e t ， “t r i a n g l e c o m p l e x h o s t d e t e c t i n g ”t e c h n o l o g y i si n t r o d u c e d ，t h e 一 生! ! ! 兰竺 一 - _ - _ _ - _ _ _ _ - - - _ _ _ _ _ _ - _ _ _ _ - _ _ _ _ _ _ _ _ _ _ - _ 一一 r e l i a b i l i t ya n dd e t a i lo fr e t r i e v e di n f o r m a t i o nt h a ti sd e t e c t e da d v a n c e a l lt h eo t h e rp r o d u c t so ft h es a m ef a m i l y 4 、r e a l i z a t i o no ft h es m i m es e c u r ee m a i la n dr e a l t i m ea l a r mo f s h o r tm e s s a g e 0 n l yt w or e g u l a rm a n n e r sa r eu s e d i ns a m ef a m i l yp r o d u c t s ： w e b p a g e sa n dc o m m o ne m a i l i no r d e rt oi m p r o v et h et i m et o r e s p o n s e ，1 n e wm a n n e r so fs h o r t m e s s a g e s a n db p - c a l l s a r e i m p l e m e n t e d f u r t h e rm o r e ，s m i m ei si m p l e m e n t e dt o e n s u r et h e s e c u r i t yo ft h ee m a i l k e y 邺r d s ：i l l e g a le x t e m a ll i n k ，d i a l u p ，w i n p c 印，s m i m e ， r e a l t i m ea l a r m i i i 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：_ 7 幺d 堑粥l 日期：一j 幽一遣：乙 v j 学位论文使用授权说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 非保密论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：钩剑注 日期： 赴! 三堇2 导师签名：二1 4 之；娟期：至翌：圣。垒z 北京邮电大学硕士学位论文 第一章绪论 第一章绪论 1 。1 论文背景 随着信息技术的迅猛发展和网络技术的逐渐成熟，有越来越多的企业将 内部的主机连接起来形成企业的内部网络。这些网络通常是运行t c p i p 协 议的以太网，它们或者是封闭的，或者是通过统一的防火墙出口与外部 工n t e r n e t 相连。根据企业性质和业务的不同，所采用的网络安全防护措施也 有很大差异。尤其是涉及敏感信息的企事业单位，它们可能有着相当严格的 网络安全防护措施或者完全封闭的内部网络。在对网络安全构成威胁的行为 中，网络内部人员有意或无意的非法操作是对安全策略的最大于扰和威胁， 尤其是网络内部人员的私自上网行为。因为私自上网的主机往往是未加防护 的，这就等于给内部网络开启了一个“后门”，导致内部机密信息泄漏、病 毒感染、不良信息四处传播、黑客入侵等严重后果。 一般来说，我们常用的网络安全体系有防火墙、入侵检测系统( i d s ) 、 漏洞扫描( s c a n n e r ) 、网络防毒系统、身份验证、数据加密等等。但是采 用这样的安全体系是否真正能保证网络的安全呢? 答案是否定的。在一个保 密性极高的单位，为了保证安全性，都进行了内网和外网的物理隔离。但是 有些内网用户可能会违反安全性的规定，偷偷的通过拨号或其它方式连接到 互联网上。此时计算机黑客就可以通过拨号等方式建立的连接攻击这台机 器，一旦这台机器被黑客控制，就可以通过这台机器访问我们的内部网络， 窃取机密资料，甚至使整个网络瘫痪。由于这种方式直接通过拨号链路等方 式进行，而不经过防火墙，所以防火墙对于这种方式的攻击无能为力；另外， 通过这台机器访问内部网的其他机器，完全可以通过合法身份进行，对于这 种访问，i d s 也不会发现并报警；并且，通过电话拨号，无线网卡等方式又 往往是一种比较隐蔽又非常容易被忽略的安全隐患，众多的安全产品都对这 种安全漏洞“毫无办法 。它能轻易地将单位的内部网络撕开一条通向外部 北京邮电大学硕士学位论文 第一章绪论 的秘密通道，绕过部署在单位网络出口处的防火墙、避开传统网络监控工具 的监控，对单位内部网络的安全构成威胁。目前非法外联的主机有相当大部 分仍使用安全性较差的w i n d o w s 视窗系统，它很容易受到病毒、木马的感染 和黑客程序的攻击，轻则单机受损，重则殃及整个网络，它为不怀好意的攻击 者构建了一条畅通无阻的线路从而使大量的安全投入和安全设施在这种时 候形同虚设，使整个系统的安全性大打折扣，甚至使整个安全建设功亏一篑。 因此，需要一种技术能够及时发现并有效阻止私自接入接出现象的发 生。我选择的研究方向非法外联监测技术就是这样一种有效的技术手段，该 技术专门针对那些禁止电话拨号等方式上因特网、对内外网隔离有严格要求 的网络而设计的，可以全面、实时地监控整个单位网络内部的非法外联行为。 它作为管理者有效的技术手段，辅助管理制度的严格执行，使通过内部非法 外联的安全漏洞得以有效弥补，减少了因非法外联而引发的内网安全隐患。 1 2 论文结构 本论文共分六章。第二章概述了非法外联监控系统的监测体制，通过对双机 架构和c s 架构的优缺点比较，提出了一种新的监测体制。在第三章中，主要介 绍了一种t c p “三次握手 协议的灵活性应用，很好地实现了非法外联监测技术； 同时为了增强系统的安全性，还提出了一种结合w i n p c a p 和s o c k e t 技术而实现 的新的客户端服务器通信模式，并采用了随机加密目标端口，双包关联和判别等 安全技术来增强系统的健壮性。第四章引入了内部主机监测机制，并详述了三层 复合主机探测技术，这是本论文的一个亮点，其主机探测的可靠性和信息获取的 全面性超越了国内所有其他同类产品。第五章中重点介绍了邮件告警和短信告警 技术的实现，为了增强普通电子邮件的安全性，采用了s m i m e 安全电子邮件技 术，同时为了增强系统的实时性，引入了短信实时告警技术，这是目前领先于同 类非法外联产品的一项新技术。第六章则从工程实现的角度对整个非法外联监控 系统的三个组成部分：监测中心、控制台和探测代理进行了介绍。 北京邮电大学硕士学位论文 第二章非法外联监控系统的监测体制 第二章新的架构体制设计 目前，非法外联监控系统主要有两种实现方式，一种采用双机架构，另一种采 用c s ( 客户服务器) 架构，这两种监测系统都各有利弊，下面将对这两种实现技 术进行详细探讨。 2 1 双机架构 以双机架构实现的非法外联监测系统主要由两部分组成：监控中心和报警中 心，如图2 1 所示。 图2 1 双机架构的非法外联监测系统 监控中心安装在内部局域网( 指物理隔离网和外联网) ，它通过主动发送探 测包，对内网中的主机进行非法外联探测。报警中心安装在外网( 如i n t e r n e t ) ， 负责解析非法外联报警信息，对内网中非法上网的主机进行报警。 监控中心通过不问断的轮询方式对内网中的主机发送非法外联探测包，如果 内网中的主机正在非法上网，则监控中心发送的探测包会诱导该主机通过非法连 接自动转发报警信息至外网的报警中心，报警中心在接收到报警信息后进行解析， 并将非法上网主机的i p 地址解析出来进行报警。如果内网主机没有非法上网， 则该探测包就无法诱导主机自动转发报警信息至报警中心。探测包主要分为 工c m p 和t c p 两种，且长度一般很短，只有1 0 0 b y t e 左右。 北京邮电大学硕士学位论文 第二章非法外联监控系统的篮测体制 采用双机架构监测体制的非法外联监测系统采用了独立c o n s 0 1e 结构，也就 是说，只要在内部网中安装一个独立的监控中心，在因特网上布署一台用于接收 监测回应数据包的报警中心，无需在被监测主机中安装监控代理，即可完成非法 外联监测功能。此外，双机架构的网络非法外联监测系统只需要针对一种操作系 统平台开发，开发简便，适合于大型局域网或跨地域的多局域网的安全防护需求。 双机架构监测体制，由监控中心探测网络内的主机并对它们实施非法外联监 测，新接入的主机和双系统的主机都无法逃避监测。双机架构监测体制还有一个 优点，它可以监测任何一种非法外联方式( 包括新出现的外联方式) ，如：拔号 外联、工s d n 外联、x d s l 外联、h o m e p n a 外联、双网卡外联、工e e e8 0 2 1 1 b 无线 外联、g p r s 外联、c d 凇1 x 等等。而c s 监测体制能够识别的外联方式是有限的， 它必须随着新的因特网接入方式的出现而不断升级。 双机架构监测体制的不便之处在于需要在因特网上架设一台监测服务器。此 外，双机架构监测体制仍有下列不足之处： 1 ) 对于具有一定防护措施的非法外联接入网络，可能会漏查网内的主机。 用户非法外联接入网络可能存在多点部署防火墙设备、v p n 设备或加密设备 等，如果报警中心放置在该接入网络外，会使得监控中心在非法外联主机上诱发 的报警包( 伪造包) 难以穿过这些设备与外部的报警中心进行通信，从而失去报 警作用，如图2 2 所示。 勉一曩謦害辫囊蘸 |= 蟠! 一，- 一舔 0i 憨i _ j ：i 蕊恭寨罄 _ ：一、黪戆零黔强0 _ w ，曩 。 j 一-。；_ _ = = ：一“ _j j 图2 2 拨号接入网络阻拦报警包 2 ) 对于进行特殊伪装的非法上网用户存在漏报风险。 基于双机架构的网络非法外联监测系统，由于采用网络穿透技术进行非法外 联监控，因此在用户端装入特殊阻断软件( 如个人防火墙) 就有可能屏蔽监控中 心的探测包，而且与网络断开的用户计算机在进行非法上网时，监控中心也是无 法探测到的。一旦该用户非法外联，由于监控中心发出的探测包无法达到该用户 北京邮电大学颂士学位论文第二章非法外联监控系统的监测体制 主机而无法在用户机上诱发报警包，从而导致漏报发生。如图2 3 所示。 ，”飞。，? 、 。 ，4 j 、1 器罐 飞。j 矧。j i 一“? 。搿、一镒黼 1 ，m 、。一7 辩黔若 图2 3 探测包无法到达非法外联主机 3 ) 对于复杂的内部网络，部署监控中心具有较大的复杂性。 一个复杂的内部网络，可能具有很多不同的子网，各子网为了自身安全可能 采用了虚拟局域网、防火墙、传输加密等技术，有的子网间可能是完全隔离的。 双机架构实现非法外联监控的首要条件是监控中心的探测包能到达被监控主机， 而一旦各子网间采用了一定的隔离手段，则探测包只能到达本子网内部的主机， 因此可能需要在不同的子网内部署相应的监控中心，其部署的数量和内网的复杂 度是成正比的。目前采用双机架构的有水木同正的中华箭2 1 号( 双机架构) 与启 明星辰的天殉非法外联监控系统。 2 2c s 架构 c s 架构，是基于监控代理的非法外联监控系统，主要由两部分组成：监控代 理和监控报警中心，如图2 4 所示。 虢瓣! 麟麟噱t 心 图2 4c s 架构的网络非法外联监测系统 c s 非法外联监测系统采用了c s 架构，也就是说，在内部网中要安装一个 监控报警中心，在每一台被监测主机中要安装一个监控代理，由监控代理每隔一 北京邮电大学硕士学位论文 第二章非法外联监控系统的监测体制 段时间对该主机是否处于非法外联状态进行检查，如果异常就立即向监控报警中 心报告。 监控报警中心的任务是负责监控策略设置和监控代理软件的下发，并对各监 控代理实时反馈的非法外联信息进行处理。当受监控主机违反安全策略进行非法 上网时，实时产生报警信息。监控代理主要负责监控主机的非法外联行为，根据监 控报警中心下发的安全策略对非法上网进行切断或报警，同时把相关信息进行日 志存储，以备查询。内部网络中的主机在安装了监控代理后，其一切非法外联行为 都会被记录在监控报警中心的日志中，其记录信息包括拨号主机i p 、拨号号码、 拨号时间、事件描述等等，可以随时进行察看和分析。 c s 架构的非法外联监测系统的优点在于监测功能在技术上容易实现，准确 度高，不仅可以对在线也可以对离线主机进行监控，而且可以及时断开用户的非 法外联，而这在双机架构中是无法实现的。即使在主机离线时，其上的监控代理一 样会对用户的非法外联行为进行监控，一旦连线，监控代理将立即与监控报警中 心建立联系，并将用户主机离线这段时间的行为报告给监控报警中心。但c s 架 构却有下列不足之处：( 1 ) 开发繁琐( 监测代理必须能运行于多种操作系统平台) 、 布署不便( 每一台被监测主机都要安装代理) 、易被避开( 对新入网的主机和双 系统主机无法监测) 。( 2 ) 需要在受监控主机上安装监控代理，对主机的性能和安 全性都具有一定的影响，而且可能与其它软件产生冲突。( 3 ) 监控代理与监控报警 中心间采用一定的端口进行通讯，如果代理端与监控报警中心间加了一定防护措 施( 如防火墙) ，同样存在漏报问题。 如何让监控代理做到“起得来、看不见、杀不掉”，即监测代理要能够随被7 监测主机的启动自动运行、用户无法发现监测代理在工作、即使发现了监测代理 也无法停止其运行。目前采用c s 架构的有水木同正的中华箭2 1 号( c s 架构) 。 综合上述分析，双机架构与c s 架构的网络非法外联系统各有利弊。双机架 构具有安装简便、技术成熟、对原有系统影响小的优点，但却无法对离线主机进 行监控，对非法外联行为往往只能报警却无法有效及时地断开非法外联连接。而 c s 架构具有对离线主机进行有效监控并能及时断开用户非法外联连接的优点， 但需要在每个受监控的主机上安装监控代理，对受监控主机的性能和安全具有一 定的影响。 北京邮电大学硕二l 学位论文第二章非法外联监控系统的监测体制 2 3 新的架构体制设计 基于以上分析，我的论文中设计的非法外联监测系统采用了带主机探测代理 的控制台监测体制。非法外联监测系统由“非法外联监测中心”、“非法外联监测 控制台”和“主机探测代理”三部分组成。“非法外联监测中心”是位于因特网上 的监测服务器，在整个系统中起到非法外联数据包的接收、分析、告警、存储、 查询等功能。监测中心收到经过过滤的数据包后可以判断出非法上网主机的网络 和内部i p 地址，通过短信和邮件的方式将告警信息发送给相应的网络管理员， 同时将非法外联信息存储以供网络管理员查询。“非法外联监测控制台”和“主机 探测代理”是两个相互配合的监测软件，由用户安装在内部网的计算机中。如果 企业内部网只包含一个子网，只需要在内部网的任意一台计算机中安装非法外联 监测控制台，而无需安装主机探测代理；如果企业内部网包含多个子网，则需要 在内部网中选择一个中心子网安装非法外联监测控制台，丽其他各个外围子网可 由用户决定是否安装主机探测代理，可以都安装、都不安装或者部分安装。“非 法外联监测控制台”的主要功能是综合自主探测所获得的主机地址信息以及所有 “主机探测代理”上报的主机地址信息，构建内部网主机信息列表，监测内部网 是否发生陌生主机接入、i p 地址篡改等不法行为，同时，对内部网中的所有主 机是否违规上因特网进行监测。“主机探测代理是“非法外联监测控制台 在 各个子网安插的耳目，弥补了“非法外联监测控制台 的主机探测模块远程主机 探测能力的某些不足，保证了主机探测的可靠性、准确性和信息的全面性。 北京邮电大学硕士学位论文 第三章非法外联技术原理及实现 第三章非法外联技术原理的灵活实现 3 1 非法外联监测的技术实现 3 1 1t c p 连接的“三次握手” t c p 协议使用三次握手来建立一条t c p 连接的过程：首先，客户端向服务器的 某个打开端口发送一个s y n 报文，初始序列号为x ；其次，服务器端发送一个初 始序列号为y ，确认序列号为x + 1 的报文，以对客户端的s y n 报文进行确认；最 后，客户端将确认序列号置为y + 1 以对服务器端的s y n 报文进行确认。通过这三 个过程就完成了t c p 连接的建立，这三个过程也称为“三次握手”，如图3 1 所 示。 客户端网络报文服务器端 发送s e q = x 报文 发送a c k = y + 1 报文 发送s e q = y ，a c k = x + 1 报 3 1 2 主机路由表 对于有两个或两个以上连接的主机，例如一台主机上同时具有以太网连接和 拨号连接，那么这台主机上的操作系统就会自动维护一张路由表，当有数据包发 出时，系统就会根据i p 包的目的地址在路由表中进行查找，从而确定从哪一个 接口将数据包发出。 北京邮电大学硕士学位论文 第三章非法外联技术原理及实现 3 1 3 非法外联监测技术的实现 从对上面的技术原理的分析中，可以利用t c p 连接的“三次握手”过程和 主机路由表来实现对非法外联主机的监控。由于局域网中使用的主机的操作系统 都有一些默认打开的端口，如w i n d o w s 系统的1 3 8 、1 3 9 、8 0 端口，l i n u x 的 2 l 、8 0 端口，那么利用t c p “三次握手”过程，采用工p 欺骗技术，就可以完成 非法外联监测功能。如图3 2 所示，控制台a 和被监测主机b 是内部网的两台主 机，监测中心服务器c 是架设在因特网上的服务器，具体工作过程如下：非法外 联监测控制台a 向每个被探测的主机发送非法外联探测包，而每个非法外联监测 数据包的源地址都被伪造成了非法外联监测中心服务器c 的i p 地址；当被监测 的主机b 收到非法外联监测包后，它不能识别是控制台a 通过接口2 发送的探测 包，而只会根据源地址以为是监测中心服务器c 通过接口1 发送的；根据t c p 协议的“三次握手原理并查找路由表，被监测主机b 会发送一个接受或拒绝的 回应数据包| _ ( 取决于对应的目的端口处予打开还是关闭状态) 给监测中心服务器 c 。如果该被监测主机未处于非法外联状态，则处于因特网上的监测中心服务器 c 无论如何也不会收到此主机发送的监测回应数据包，因而不会产生非法外联告 警；如果该被监测主机处于非法外联状态，则处于因特网上的监测中心服务器c 就会收到此主机发送的监测回应数据包，并能够从所接收数据包的源地址中解析 出该违规主机的i p 地址，并产生非法外联告警，如图3 2 所示。 控制台 图3 2 非法外联监测技术的实现 北京邮电大学硕= l 学位论文 第三章非法外联技术原理及实现 “t c p 三次握手”原理的灵活应用，很好地实现了非法外联监测的技术要求， 并且可以监测包括：拔号外联、i s d n 外联、x d s l 外联、h o m ep n a 外联、双网卡 外联、i e e e 8 0 2 1 1 b 无线外联、g p r s 外联、w a p 外联等在内的所有外联方式。 3 2 几种增强系统安全的方法 3 2 1s o c k e t 和w ；n p c a p 结合实现c s 通信 s o c k e t 技术 s o c k e t 接口是为方便开发人员进行t c p i p 程序开发，而为t c p i p 协议所 制定的一组应用程序接口。在一个通信连接中的两端，通信程序应各自有个套 接字来描述他们自己那一端，不同主机中的两个进程通过各自的套接字发送和接 收消息，从而实现进程间跨网络的通信。套接字有三种类型： 1 ) s o c k s t r e a m ( 数据流套接口) ：提供一个面向连接的双工顺序数据流 传输和可靠的数据传输服务。这种套接字可以保证数据传输的可靠性，不会出现 数据丢失、破损或重复出现等差错，而且通过流量控制避免发送的数据流超限。 i n t e r n e t 地址中的t c p 协议支持流套接字。 2 ) s o c k d g r a m ( 数据报套接口) ：提供一个无连接和不可靠的双工数据传 输服务。数据包以独立包形式被发送和接收，不对数据的传输提供无错保证，即 数据可能被丢失、破坏，也可能被重复接收。i n t e r n e t 地址中的u d p 协议支持 这种套接字。 3 ) s o c k r a w ( 原始套接口) ：这种类型的套接字允许对低层协议如i p 或 i c m p 直接访问，可以直接填充i p ，t c p ，u d p 或者i c m p 的包头，发送用户自己 定义的i p 包或者i c m p 包。主要用于一些协议的开发，在网络安全的抓包中有重 要的应用。因为在构造非法外联数据包时，我们要自己重新构造t c p 和i p 包， 并能够对网络底层的传输机制进行控制，所以论文中选择相对灵活的原始套接 字，t c p 客户机服务器工作流程如图3 3 所示。 北京邮电大学硕士学位论文 第三章非法外联技术原理及实现 服务器 b i n d ( ) 阻塞，等待客户连接i 连接建立 客户机 处理服务请求 服务请求 服务响应 ? 图3 3t c p 客户机服务器工作流程 w in p c a p 技术 w i n p c a p ( w i n d o w sp a c k e tc a p t u r el i b r a r y ) 是w i n 3 2 平台上用于抓包和进 行网络分析的结构，w i n p c a p 包括三个模块： 1 ) 第一个模块n p f ( n e t g r o u pp a c k e tf i l t e r ) ，是一个虚拟设备驱动程序 文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这 个过程中包括了一些操作系统特有的代码。 2 ) 第二个模块p a c k e t d l l 为w i n 3 2 平台提供了一个公共的接口，不同版本 的w i n d o w s 系统都有自己的内核模块和用户层模块，p a c k e t d l l 用于解决这些不 同。调用p a c k e t d l l 的程序可以运行在不同版本的w i n d o w s 平台上，而无需重 新编译。 3 ) 第三个模块w p c a p d l l 是不依赖于操作系统的，它提供了更加高层、抽 象的函数。 w i n p c a p 实质上是一个系统独立的a p i 函数接口，用于用户层次的数据包截 获工作，它为底层网络监控编程提供了一个易于移植的应用框架。这些底层网络 羔 北京邮电大学硕士学位论文 第三章非法外联技术原理及实现 应用包括网络数据收集、安全监控和网络调试等。这些a p i 函数的目的在于为统 一不同系统所提供的用于数据包截获的不同类型接口，使得类似高层的应用程序 的编写和移植操作更加简单，不再需要对每一个应用使用不同的依赖于具体系统 的数据包截获模块。下面是从w i n p c a p 的结构、优势和实现等几个方面的介绍： w i n p c a p 的结构： 渤嘶叫陋慨i u $ 皇rd e it j 嚣e f e o 酾 m 0n i。i j 粥 l l rt 。i ，d 懈露l 濑0 $ s s l o 、 却p l l 濑艏瑚 1 l 黼轴秘f 赫f j ：；辩t l l f 湖 叠_l 暾凇f 。 v 矗 j 2 ，p a 喀髓肇i 。麟l 0 潍s 0 黛粪2 i i i 翁荔? i 一 帑爹c 蠢p哇魏、 。j 0 叫 fj !肾 j f p 繇搬洲 l 。一- 一一一一 一一一一- 一一 _ - - - i - l - i i i - i l 舞j 0k 穰潮捌kk 舞r n e i 一 ， 一l s 裂 t了t o m e r 科嘶l 毒kk 厂z 螽 嘲e i 俘 、乏s 、z 二二一 i 、l i eo 捕艚r 删嵌s3 ，o r o rh i 孽r 嬉盼 l 蜀3 4w i n p c a p 的结构 w i n p c a p 的优势： 提供了套标准的抓包接口，与1 i b p c a p 兼容，可使得原来许多u n i x 平台 下的网络分析工具快速移植过来；便于开发各种网络分析工具；充分考虑了各种 性能和效率的优化，包括对于n p f 内核层次上的过滤器支持；支持内核态的统计 模式；提供了发送数据包的能力。 w i n p c a p 的实现 从硬件支持的角度讲，w i n p c a p 的实现需要将网络接口卡设置为混杂模式 ( p r o m i s c u o u s ) ，才能接收到共享网段内所有的数据包。w i n p c a p 的基本实现思 北京邮电大学硕士学位论文第三章非法外联技术原理及实现 想就是对底层的捕获设备或其它机制按照操作系统层上的读写文件的操作来实 现，以下是抓包过程中常用的函数： 1 )得到网络驱动列表，参数1 为输出参数，是一个包含全面网卡信息的结 构链表，参数2 为错误缓冲区。 i n tp c a p f i n d a l l d e v s ( p c a p i f t 术术，c h a r 木) ： 2 )打开网卡捕获数据包：参数1 为设备名，参数2 用于制定所捕获包的特 定部分，参数3 指明网卡是否处于混杂模式，参数4 指定读数据的超时控制，参 数5 为错误缓冲区。 p c a p t 术p c a p o p e n li v e ( c o n s tc h a r 术， i n t ，i n t ，i n t ，c h a r 术) ： 3 ) 编译一个过滤设备，通过一个高层的b 0 0 1e a n 型变量和字符串产生一系 列的能够被底层驱动所解释的二进制编码。 i n tp c a p c o m p i1 e ( p c a p t 爿c ，s t r u c tb p f p r o g r a m 木， c h a r 木，i n t ， b p f u i n t 3 2 ) ： 4 ) 用来联系一个在内核驱动上过滤的过滤器，这时所有网络数据包都将流 经过滤器，并拷贝到应用程序中。 i n tp c a p s e t f il t e r ( p c a p t 术， s t r u c tb p f p r o g r a m 术) ： 5 ) 循环，开始抓包 i n tp c a p 一1 0 0 p ( p c a p t 木， i n t ，pc a p h a n d l e r ，u c h a r 水) ： 与此相似的还有以下这个用来采集和处理包的函数： i n tp c a p d i s p a t c h ( p c a p t 水， i n t ，p c a p h a n d l e r ，u c h a r 木) ： 不同的是p c a p d i s p a t c h ( ) 可以不被阻塞，而p c a p _ 1 0 0 p ( ) 在没有数据流到 达时将阻塞。 6 ) 抓包结束，关闭 v o i dp c a p c l o s e ( p c a p t 水) 7 ) 下面的函数允许通过w i n p c a p 代替w i n d o w sa p i 向网络发送原始数据包 in tp c a p s e n d p a c k e t ( p c a p t 冰， u c h a r 木， i n t ) ： 实际上，w i n p c a p 的底层核心也是基于原始套接字的，它的协议驱动提供了 健全的抓包机制，所以可直接调用它所提供的函数库进行包的发送和接收，而不 必去管底层是如何进行端到端通信的。 s o c k e t 和w i n p c a p 结合实现c s 通信 北京邮电大学硕士学位论文 第三章非法外联技术原理及实现 现在一般的非法外联监测产品的客户端服务器通信都采用对等的s o c k e t 通信方式，即客户端和服务器端采用约定的端口进行通信。这种通信方式很容易 受到攻击，一旦违规用户掌握了非法外联监测包所采用的端口，就可以设置个人 防火墙或启用w i n d o w s 系统的t c p i p 筛选机制将非法外联监测包过滤掉，从而 使非法外联监测失效。为了解决上述问题，非法外联监测系统采用了新的客户端 服务器通信方式：客户端仍采用传统的s o c k e t 通信机制，发送非法外联探测包 给监测中心，而服务器端摒弃原有的s o c k e t 通信方式，而是采用w i n p c a p 技术 来截获所有的网络数据包，并对其进行过滤。 客户端的s o c k e t 实现 t c p 包头部结构体格式： t y p e d e fs t r u c tt c p h d r f u s h o r tt h s p o r t ； 1 6 位源端口 u s h o r tt h d p o r t ： 1 6 位目的端口 u n s i g n e di n tt h s e q ：3 2 位序列号 u n s i g n e di n tt h a c k ：3 2 位确认号 u n s i g n e dc h a rt l l e n r e s ：4 位首部长度6 位保留字 u n s i g n e dc h a rt h 1 a g ：6 位标志位 u s h o r tt h w i n ： 1 6 位窗口大小 u s h o r tt h s u m ： 16 位校验和 u s h o r tt h u r p ： 1 6 位紧急数据偏移量 ) t c e h e a d e r ： i p 包头部结构体格式： t y p e d e fs t r u c ti p h d r u n s i g n e dc h a rh _ l e p v e r 4 位首部长度+ 4 位i p 版本号 u n s i g n e dc h a rt o s ： 8 位服务类型t o s u n s i g n e ds h o r tt o t a i j e n ： 1 6 位总长度( 字节) u n s i g n e ds h o r ti d e n t ： 1 6 位标识 u n s i g n e ds h o r tf r a g a n d f l a g s ：3 位标志位 1 4 北京邮电大学硕士学位论文 第三章非法外联技术原理及实现 u n s i g n e dc h a rt t l ：8 位生存时间t t l u n sig n e dc h a rp r o t o ： 8 位协议( t c p ，u d p 或其他) u n sig n e ds h o r tc h e c k s u m ：16 位i p 首部校验和 u 1