由http暗藏通道看網路安全(1)

來源:互聯網
上載者:User
安全|網路 宮一鳴 (yiming@security.zz.ha.cn)
中國電信網路安全小組核心成員
2001 年 12 月

通過本文的httptunnel 技術同時逃過了防火牆的屏蔽以及系統的追蹤實驗,我們可以看到網路安全僅僅依靠某種或某幾種手段是不可靠的,同時對安全系統的盲目性依賴往往會造成巨大的安全隱患。希望通過本文能引起管理員對網路安全防護系統的思考。
什麼是http暗藏通道
什麼是區域網路安全,系統管理員怎樣才能保障區域網路的安全?這是一個不斷變化的安全概念,很長的一個時期以來,在區域網路與外界互聯處放置一個防火牆,嚴格控制開放的連接埠,就能在很大程度上掌握安全的主動權,方便的控制網內外使用者所能使用的服務。比如,在防火牆上僅僅開放80,53兩個連接埠,那麼無論是內部還是外面的惡意人士都將無法使用一些已經證明比較危險的服務。

但要注意一點,防火牆在某種意義上是很愚蠢的,管理員對防火牆的過分依賴以及從而產生的懈怠情緒將不可避免的形成安全上的重大隱患,作為一個證明,"通道"技術就是一個很好的例子,這也是本文要討論的。

那麼什麼是通道呢?這裡所謂的通道,是指一種繞過防火牆連接埠屏蔽的通訊方式。防火牆兩端的資料包封裝在防火牆所允許通過的資料包類型或是連接埠上,然後穿過防火牆與對端通訊,當封裝的資料包到達目的地時,再將資料包還原,並將還原後的資料包交送到相應的服務上。舉例如下:

A主機系統在防火牆之後,受防火牆保護,防火牆配置的存取控制原則是只允許80連接埠的資料進出,B主機系統在防火牆之外,是開放的。現在假設需要從A系統Telnet到B系統上去,怎麼辦?使用正常的telnet肯定是不可能了,但我們知道可用的只有80連接埠,那麼這個時候使用Httptunnel通道,就是一個好的辦法,思路如下:

在A機器上起一個tunnel的client端,讓它偵聽原生一個不被使用的任意指定連接埠,如1234,同時將來自1234連接埠上的資料指引到遠端(B機)的80連接埠上(注意,是80連接埠,防火牆允許通過),然後在B機上起一個server,同樣掛接在80連接埠上,同時指引80連接埠的來自client的轉寄到原生telnet服務連接埠23,這樣就ok了。現在在A機上telnet本機連接埠1234,根據剛才的設定資料包會被轉寄到目標連接埠為80的B機,因為防火牆允許通過80連接埠的資料,因此資料包暢通的穿過防火牆,到達B機。此時B機在80連接埠偵聽的進程收到來自A的資料包,會將資料包還原,再交還給telnet進程。當資料包需要由B到A返回時,將由80連接埠再回送,同樣可以順利的通過防火牆。

實際上tunnel概念已經產生很久了,而且很有可能讀者使用過類似的技術,比如下面的網址http://www.http-tunnel.com。它是一個專業提供tunnel服務的公司,通過他們的線上tunnel server,區域網路內的使用者可以使用被防火牆所屏蔽的ICQ,E-MAIL,pcanywhere, AIM,MSN, Yahoo,Morpheus,Napster等等諸多軟體。我們看到,這裡有ICQ,Napster等軟體,相信我們的讀者很多都使用過走proxy的ICQ,OICQ等等,其實他們的原理是差不多的。

什麼是Httptunnel
作為一個實際的例子,我們下面來介紹一個在"非公開領域"使用的的通道軟體,httptunnel。在httptunnel首頁(請參閱參考資料)上有這麼一端話,
httptunnel creates a bidirectional virtual data connection tunnelled in HTTP requests. The HTTP requests can be sent via an HTTP proxy if so desired.
This can be useful for users behind restrictive firewalls. If WWW access is allowed through a HTTP proxy, it's possible to use httptunnel and, say, telnet or PPP to connect to a computer outside the firewall.

從這段說明中我們可以看出來它就是我們今天說要介紹的tunnel技術的一個證明,我們下面大致介紹一下它的使用。

httptunnel目前比較穩定的版本是3.0.5, 支援各種常見的unix系統,包括window平台。可以從相關網站(請參閱參考資料)下載,它的安裝是比較簡單的,照INSTALL檔案做就可以了,這裡不介紹。

整個軟體安裝完畢後,我們會得到兩個關鍵檔案,htc和hts,其中htc是用戶端(c),而hts是server(s)端,我們來看看具體怎麼使用的。

假設有A(網域名稱client.yiming.com)機,B(網域名稱server.yiming.com)機,兩機均為solaris環境,A機在防火牆保護中,B機在防火牆以外,防火牆的管理員控制了訪問規則,僅ALLOW 80和53連接埠的進出資料包。而我們的任務是要利用Httptunnel從A機telnet到B機上,穿過防火牆的限制。操作如下:

首先我們在A上啟動client端,命令很簡單:
client.yiming.com#htc -F 1234 server.yiming.com:80,

系統回到提示符下,此刻我們用netstat -an 可以看到系統內多出了1234連接埠的偵聽 *.1234                 *.*                0      0     0      0 LISTEN



然後我們在B機上啟動server端,命令如下:
server.yiming.com#hts -F localhost:23 80

系統回到提示符下,此刻我們用netstat看 *.80              *.*                0      0     0      0 LISTEN



80連接埠處於偵聽狀態,需要注意的是,如果系統本身跑的有web服務(80連接埠本身處於偵聽),並不會影響Httptunnel的工作。

Ok,server以及client端都啟動了,我們可以開始我們的"通道"實驗了,在client.yiming.com上執行一下如下命令看看:
Client.yiming.com#telnet localhost 1234
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
SunOS 5.7
This is yiming's private box! Any question,contact me with yiming@security.zz.ha.cn
login:




看到B機的登入提示符了,輸入帳號密碼看看是否工作正常?
Login:yiming
Password: (omit here;) )
sever.yiming.com# ls
bak         check       go          httpd       lost+found  mrtg        run         soft        wg




OK! 工作正常,和正常的telnet沒有什麼差別。

仔細觀察整個過程,會發現在最開始的地方顯示的是Trying 0.0.0.0...,Connected to 0.而不是Trying server.yiming.com…,Connect to server.yiming.com,這就很直觀的可以看出來client端是轉寄1234資料包到本機80連接埠的。(然後再轉寄到遠端)而不是直接連接遠端的B機。

上面是比較直觀的測試,為了進一步驗證server和client之間不是通過23連接埠通訊,我們抓取資料包來看看。我們在server起個抓包工具tcpdump(請參閱參考資料)瞧瞧。
server.yiming.com#tcpdump host client.yiming.com
tcpdump: listening on hme0
14:42:54.213699 client.yiming.com.51767 > server.yiming.com.80: S 1237977857:1237977857(0) win 8760  (DF)
14:42:54.213767server.yiming.com.80 > client.yiming.com.51767: S 1607785698:1607785698(0) ack 1237977858 win 8760  (DF)
14:42:54.216186 client.yiming.com.51768 > server.yiming.com.80: . ack 1 win 8760 (DF)
14:42:54.218661 client.yiming.com.51768 > server.yiming.com.80: P 1:44(43) ack 1 win 8760 (DF)
14:42:54.218728 client.yiming.com.51768 > server.yiming.com.80: P 44:48(4) ack 1 win 8760 (DF)
幅所限,上面只是截取了結果中的一點點資料包,但已經可以說明問題了,我們看到server和client之間順利的完成了三向交握,然後開始push資料,而且通訊確實走的是80連接埠。有點意思噢。

看是看出來了,但太不直白,到底在搞什麼呀,我們再稍微改動一下tcpdump的運行方式,進一步在來看看telnet的資料是否被封裝在80連接埠的資料包內傳輸?


server.yiming.com#tcpdump -X host client.yiming.com
14:43:05.246911 server.yiming.com.80 > client.yiming.com.51768: . 2997:4457(1460) ack 89 win 8760 (DF)
0x0000   4500 05dc 3b23 4000 ff06 e2c2 yyyy yyyy        E...;#@......f.D
0x0010   xxxx xxxx 0050 de42 5fd5 ac4f 39ac 016f        .f.#.P.B_..O9..o
0x0020   5010 2238 98e4 0000 746f 7461 6c20 3636        P."8....total.66
0x0030   370d 0a64 7277 7872 2d78 722d 7820 2032        7..drwxr-xr-x..2
0x0040   3920 726f 6f74 2020 2020 2072 6f6f 7420        9.root.....root.




呵呵,這次清楚多了,上面應該是一次ls命令的輸出結果,可以清楚的看到telnet的結果!果然telnet的資料是在80連接埠的資料包內!

Httptunnel帶來的安全問題
寫到這裡,我們可以想象一下,如果管理員完全信賴防火牆,那麼在一個有這樣隱患的的區域網路中,會發生什麼樣的後果?

我們可以看到,多年以來,對防火牆的依賴也一直列在SANS的Top 10安全問題中。

既然如此,就很自然的會產生一個問題是:這種httptunnel行為能被發現嗎?

首先我們想到的是使用入侵偵測系統,在目前的網路安全設計中,防火牆加入侵偵測系統是一種比較流行的安全聯動配置,既然httptunnel繞過了防火牆,那麼IDS系統呢?我們來測測看看。

在下面的測試中,我們將使用IDS系統是Snort,版本1.8.2。(請參閱參考資料)這可是大名鼎鼎的開放原始碼的IDS系統,在它的說明中,被描述為一個輕量級的,可跨平台工作的入侵偵測系統,在2001年12月英國的獨立測試實驗室NSS的評測中(請參閱參考資料),擊敗了包括商用IDS系統的所有對手,這些商用軟體可是包括ISS,CISCO SECURE IDS,CA ETRUST,CYBERSAFE CENTRAX,NFR。有興趣的讀者還可以看這篇名為Open source mounts IDS challenge 的報道(請參閱參考資料)。

好,對Snort的大致介紹完畢,我們來看看結果吧,Snort對整個實驗過程抓獲的資料包產成了警示,如下:
[**] WEB-MISC whisker splice attack [**]
12/02-14:42:54.389175 client.yiming.com:51767-> server.yiming.com:80
TCP TTL:251 TOS:0x0 ID:3327 IpLen:20 DgmLen:42 DF
***AP*** Seq: 0x49CA0BA7  Ack: 0x5FD4DCE3  Win: 0x2238  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] WEB-MISC whisker splice attack [**]
12/02-14:43:03.195006 client.yiming.com:51767 -> server.yiming.com:80
TCP TTL:251 TOS:0x0 ID:3439 IpLen:20 DgmLen:41 DF
***AP*** Seq: 0x49CA0C20  Ack: 0x5FD4DCE3  Win: 0x2238  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] WEB-MISC whisker splice attack [**]
12/02-14:43:04.630268 client.yiming.com:51768-> server.yiming.com:80
TCP TTL:251 TOS:0x0 ID:3496 IpLen:20 DgmLen:41 DF
***AP*** Seq: 0x49CA0C4E  Ack: 0x5FD4DCE3  Win: 0x2238  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+




我們看到snort對抓獲的資料包產生了WEB-MISC whisker splice attack的警示,然而這種攻擊並沒有發生,同時snort對tunnel資料包沒有察覺。這樣snort就同時出現了IDS系統的兩個問題,false positive,false negative。

這也很正常,因為這也是基於簽名的IDS系統的通病,目前決大數IDS系統包括著名的商用軟體ISS,NFR等都是基於簽名的,也就是說系統維護著一套特定攻擊資料包的資料模式簽名。系統工作時,檢查經過的資料包的內容,和自己資料庫內資料模式簽名對比,如果和某種攻擊模式簽名相同,那麼就判斷髮生了某種攻擊。

由此我們可以看出很明顯的存在若干問題:如對簽名的依賴不可避免的導致兩個結果,false negative ,false positive。也就是說會產生漏報和誤判,這一點很容易理解,當新出現一種攻擊模式時,由於IDS系統內沒有相應的資料簽名,那麼就不可能捕獲相應的攻擊資料包,false negative由此發生。同時,過於依賴簽名模式也很容易誤判,就象我們上面的例子。同時,對資料簽名的依賴會在一定程度上降低系統效能-經過的資料包都需要和IDS系統的簽名對照。(請參閱參考資料)

此外,基於簽名的IDS系統本身有可能由於依據簽名這一特性而被攻擊,一個例子是stick ,這個程式的作者利用IDS系統進行簽名匹配工作原理,發送大量帶有攻擊特徵的資料包給IDS系統,使IDS系統本身處理能力超過極限,從而導致IDS系統無法響應。按照作者Coretez Giovanni的說法,運行2秒鐘stick就能使著名的商用IDS系統ISS real secure崩潰。由上我們看到,對IDS系統的完全依賴同樣是有風險的。(請參閱參考資料)

一些解決思路
看來依靠手頭的IDS是無法察覺這種行為了,那麼有其它辦法嗎?我們仔細分析一下事件程序中截獲的httptunnel資料包再說吧。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。