信息隐藏技术浅析

《信息隐藏技术浅析》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、信息隐藏技术浅析从信息隐藏技术理论提出后，相关技术得到了很快的发展。ICMP隧道、HTTP隧道、TCP/IP头部携带数据等技术，是黑客常用的入侵手段，而位图填充等技术则广泛应用于数据保密领域。信息隐藏技术发展较晚，技术较复杂，随着应用的深入，必将得到长足发展。关键词：隧道；rootkit；填充　当前，随着入侵技术、后门技术等的发展，信息隐藏技术日趋成熟，如何及时、准确的检测出服务器是否正在或已经遭到入侵，通过简单地查看开放端口、运行进程、异常流量等方法，已经远远无法达到检测目的了。　　关于信息隐藏技术的理论基础，即TransmittedviaCarrierPigeo

2、n。在RFC1149、2549中有如下描述：对基于TCP的高层协议（如http、ftp、tel等）将数据传给协议栈后，TCP协议完成初始化后，可不直接送往IP层，而是直接将其送往目的地。目的端收到信息后，经过TCP层直接递交到等待接收的进程。这就是交互原理。其实，与之类似应用技术已很成熟，如SSH技术。目前，几种常见的比较成熟的信息隐藏技术有：一、ICMP实现秘密隧道　　由于ICMP协议附在IP包头后，与端口无关，所以在没有阻塞ICMP数据包的X络中，可以使用ICMP来携带附加数据进行通信。这种情况下，使用nestat或其它进程—端口查看工具是不会发现异常的，所以，

3、利用这种方法可以穿透简单的防火墙。能实现这种功能的工具很多，以loki为例，客户端将需隐藏的数据或命令封装到ICMP包中后发送到服务端的lokid，lokid再将其拆开后得到数据或执行命令，将结果以同样方式通过ICMP返回给客户端。如果此时查看X络通信情况及流量的话，只会发现类似于ping之类的普通命令。除非对这些数据包进行分析，否则很难发现其异常。而为了防止数据泄露，攻击者还可以使用如Blober、TCPacknoentnumber三个段中填充数据。之所以选择这三个段，主要是由于这三个段在传输中一般相对固定，所以稳定性较好。实际上，除了上述三个段以外，还可以利用其

4、它一些其它的空闲位（如段偏移位等），虽然稳定性不好，但却可以突破目前绝大多数防火墙的限制。而上述三个段，由于其相对固定性，多数防火墙均可对其进行限制。　　由于此种方法较典型，下面简单说明对上述三个段的利用原理：*ipid：这个段利用原理最简单，客户端将数据转换为ASCII码后，直接放入IPidentification段，每个IP包携带一个组，服务端取出即可。*seq：客户端发起TCP连接请求，并用identification段携带每一个字符。由于identification段为非法数据，这将导致连接请求的三次握手失败，服务端返回RESET包。利用这个原理，攻击者只要

5、反复发送非法SYN包，则可以实现信息隐蔽传输。*ack：利用acknoentnumber实现信息隧道较复杂，需要在攻击者和目标主机间增加一个中间主机，CraigH.RoP位图中或其它文件中，并配合一些加密技术，这是目前发展最成熟的信息隐藏技术之一。在未来发展中，图像隐藏技术还具有广阔的发展内涵和技术空间。　　2、流文件填充技术　　目前，利用音、视频流传输IP数据或语音数据，也是一种提高信道利用率和实现信息隐藏技术的研究方向，但目前的技术尚不成熟，应用领域有限。　　3、操作系统和文件系统信息隐藏技术　　其原理和实现也较简单，在主流的C2级操作系统中，低级别进程可能受限

6、制不能访问高级别进程的数据，但却可以访问其文件名及大小等信息，所以，高级别进程可以通过文件名等信息与低级别进程通信。　　在微软的系列操作系统中，文件存储空间的分配是以簇为单位分配的，这就导致了大量的空闲空间的出现。利用这些空间即可以实现信息的隐藏。　　以上只是粗略地对国内外的信息隐藏技术做了总结。其实，针对不同的信息隐藏技术，都有有效地检测手段，但其应用程度的情况，却和管理员对此方面的知识了解的程度紧密相关。针对信息隐藏技术，由于目前还缺乏全面、系统的检测工具，国外相当多的服务器都会安装几种检测文件完整性的工具，而国内的服务器在这方面的安全检测上基本上是空白。其实，

7、这种安全现状也表现在其它很多领域。所以，X络安全是一个整体性的安全，必须对它有一个系统性、综合性的认识，才能保证相对的安全，任何一个细节，都是严重的安全隐患。