17内容安全及相关技术介绍---2007

计算机网络与信息安全技术研究中心1内容安全及相关技术介绍主讲人：翟健宏Email:zhaijh@hit.edu.cn办公室:新技术楼509Tel:0451-86402573计算机网络与信息安全技术研究中心21.Sniff2.协议还原分析3.字符串匹配4.抗分析技术5.信息内容安全相关技术计算机网络与信息安全技术研究中心31.1Sniff的故事•SNIFF真是一个古老的话题，关于在网络上采用SNIFF来获取敏感信息已经不是什么新鲜事。•看过威尔史密斯演的《全民公敌》吗•SNIFF究竟是什么呢？SNIFF就是嗅探器，就是窃听器。•当你舒适的坐在家里，惬意的享受网络给你带来的便利，你会想到什么。SNIFF静悄悄的工作在网络的底层，把你的秘密全部记录下来。计算机网络与信息安全技术研究中心41.2以太网的广播通讯•在以太网中，所有的通讯都是广播的，–通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据•网卡的MAC地址–每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址。–大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备–一般来说每一块网卡上的MAC地址都是不同的–每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。计算机网络与信息安全技术研究中心5•在正常的情况下，一个网络接口应该只响应这样的两种数据帧：1.与自己硬件地址相匹配的数据帧。2.发向所有机器的广播数据帧。•数据的收发是由网卡来完成的–网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。–认为该接收就接收后产生中断信号通知CPU–认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道–CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据–驱动程序接收数据后放入信号堆栈让操作系统处理。计算机网络与信息安全技术研究中心6•网卡来说一般有四种接收模式：①广播方式：该模式下的网卡能够接收网络中的广播信息。②组播方式：设置在该模式下的网卡能够接收组播数据。③直接方式：在这种模式下，只有目的网卡才能接收该数据。④混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。•总结一下–首先，我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，–再次，网卡的一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他。SNIFF工作的基本原理：让网卡接收一切他所能接收的数据。计算机网络与信息安全技术研究中心71.3一个简单的例子•关键问题：–如果使用普通的Hub相连，可能发生什么事情？计算机网络与信息安全技术研究中心81.4网络安全工具开发函数库介绍•基于socket的网络编程已成为当今不可替代的编程方法。–这种编程思想将网络通讯当作“文件”描述字进行处理，对这个“网络文件”(即socket，套接字/套接口)的操作从编程者的角度来讲与普通的文件操作(如读、写、打开、关闭等)大同小异，从而极大地简化了网络程序开发过程。•在网络安全工具开发中，目前最为流行的CAPIlibrary有libnet、libpcap、libnids和libicmp等。–它们分别从不同层次和角度提供了不同的功能函数。使网络开发人员能够忽略网络底层细节的实现，从而专注于程序本身具体功能的设计与开发。计算机网络与信息安全技术研究中心9winpcap•winpcap(windowspacketcapture)是windows平台下一个免费，公共的网络访问系统。•开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。•它提供了以下的各项功能：1捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；2在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；3在网络上发送原始的数据报；4收集网络通信过程中的统计信息。计算机网络与信息安全技术研究中心101.5交换网络中的嗅探和ARP欺骗•集线器网络(Hub-Based)–Hub-Based的网络基本没有安全可言，嗅探在这样的网络中非常容易。•交换网络（SwitchedLan）–交换机用来代替HUB，正是为了能够解决HUB的几个安全问题，其中就是能够来解决嗅探问题。SwitchNetHostAHostBHostC计算机网络与信息安全技术研究中心111.5.1ARP缓存表•上图HostA、B、C的IP和MAC地址–A的地址为：IP：192.168.10.1MAC:AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2MAC:BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3MAC:CC-CC-CC-CC-CC-CC•假设B是属于一个嗅探爱好者的，比如A机器的ARP缓存表：–C:\arp-aInterface:192.168.10.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.10.3CC-CC-CC-CC-CC-CCdynamic•假设，A进行一次ping192.168.10.3操作，PING主机C，会查询本地的ARP缓存表，找到C的IP地址的MAC地址，那么就会进行数据传输，目的地就是C的MAC地址。如果A中没有C的ARP记录，那么A首先要广播一次ARP请求，当C接收到A的请求后就发送一个应答，应答中包含有C的MAC地址，然后A接到C的应答，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。计算机网络与信息安全技术研究中心121.5.2ARP欺骗（ARPspoofing）•ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。•在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。•A机器的ARP缓存更新了：–C:\arp-aInterface:192.168.10.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.10.3DD-DD-DD-DD-DD-DDdynamic局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping192.168.10.3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD。结果是什么呢？网络不通，A根本不能Ping通C。这就是一个简单的ARP欺骗。计算机网络与信息安全技术研究中心131.5.3对目标进行ARP欺骗•就象上面程序中实现的一样，对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为BB-BB-BB-BB-BB-BB，于是A发送到C上的数据包都变成发送给B的了。这不正好是B能够接收到A发送的数据包了么，嗅探成功。•做“maninthemiddle”,进行ARP重定向。打开B的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。直接进行整个包的修改转发，捕获到A发送给的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在B就完全成为A与C的中间桥梁了。计算机网络与信息安全技术研究中心141.Sniff2.协议还原分析3.字符串匹配4.抗分析技术5.信息内容安全相关技术计算机网络与信息安全技术研究中心152.1协议的分类•TCP/IP协议(TransferControlnProtocol/InternetProtocol)–传输控制/网际协议，又叫网络通讯协议，这个协议是Internet国际互联网络的基础。•TCP/IP协议数据的传输基于TCP/IP协议的四层结构：应用层、传输层、网络层、接口层。–数据在传输时每通过一层就要在数据上加个包头，其中的数据供接收端同一层协议使用；–而在接收端，每经过一层要把用过的包头去掉，这样来保证传输数据的格式完全一致。计算机网络与信息安全技术研究中心162.2TCP/IP协议体系及应用层协议•应用层协议–用于支持，这是一种最基本的客户机/服务器的访问协议。–FTP是文件传输协议的简称。主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序），完成文件的存取访问。–SMTP被用来在因特网上传递电子邮件。应用层HTTP,FTP,SMTP,TELNET…传输层TCPUDP网络层IP接口层ARPRARP计算机网络与信息安全技术研究中心17IP包头结构计算机网络与信息安全技术研究中心18tcp数据包头结构计算机网络与信息安全技术研究中心19•连接和发送过程：–a.建立TCP连接–b.客户端发送HELO命令以标识发件人自己的身份，然后客户端发送MAIL命令，服务器端以OK作为响应，表明准备接收–c.客户端发送RCPT命令，以标识该电子邮件的计划接收人，可以有多个RCPT行，服务器端则表示是否愿意为收件人接受邮件–d.协商结束，发送邮件，用命令DATA发送以“.”表示结束输入内容一起发送出去。–f.结束此次发送，用QUIT命令退出。Smtp计算机网络与信息安全技术研究中心20Mail发送过程计算机网络与信息安全技术研究中心212.3协议还原分析的应用•每种网络应用软件一般都基于一种应用协议之上开发•应用代理网关服务•入侵检测应用•防火墙应用•防治病毒应用•窃听应用计算机网络与信息安全技术研究中心222.4协议还原分析的应用实例•垃圾邮件过滤系统SFS(Spamfilteringsystem)计算机网络与信息安全技术研究中心23•SMTP协议还原：–捕获端口号为25的邮件类型的SMTP数据包，进行分析，对每一封邮件解析出收信人、发信人、主题、并将邮件正文解码后保留文本信息，供后续分析使用。计算机网络与信息安全技术研究中心241.Sniff2.协议还原分析3.字符串匹配4.抗分析技术5.信息内容安全相关技术计算机网络与信息安全技术研究中心253.1概念•模式：关键字•模式匹配：•单模式匹配–单模式匹配可定义为：在一个文本text(设长度为n)中查找某个特定的子串pattern(设长度为m)。如果在text中找到等于pattern的子串，则称匹配成功，函数返回pattern在text中出现的位置(或序号)，否则匹配失败。•多模式匹配–多模式匹配可定义为：在一个文本text(设长度为n)中查找某些特定的子串patterns(设长度为m)。如果在text中找到等于patterns中的某些子串，则称匹配成功，函数返回pattern在text中出现的位置(或序号)，否则匹配失败。计算机网络与信息安全技术研究中心263.2有限自动机•一个有限自动机可理解为一种待殊类型的机器或流程图，实际上是一种预处理，以提高匹配的效率。•很多串匹配算法都要建立一个有限自动机，它通过正文串T进行扫描的方法找出模式P的所有出现位置。•用于串匹配的自动机都是非常有效的：它们只对每个正文字符检测一次，并且检测