Тайные каналы можно создать как полным внедрением одного протокола в другой, так и вставляя данные в неиспользуемые или неправильно используемые поля заголовков протокола. Семейство протоколов TCP/IP особенно полезно при переносе тайных каналов. Многие из полей в заголовках TCP и IP имеют обширные вступительные части, через которые могут быть посланы данные.
Один особенно интересный инструмент, иллюстрирующий применение заголовков TCP/IP для создания тайных каналов, называется Covert_TCP и выполняется на Linux. Covert_TCP разработан Крэйгом X. Роулэндом и описан в его статье «Тайные каналы в семействе протоколов TCP/IP» (Craig Н. Rowland «Covert Channels in the TCP/IP Protocol Suite»), представленной на сайте Covert_TCP. Эти компоненты выбраны, так как они часто остаются неизменными, когда пакеты движутся по сети. Даже при таком ограничении Covert_TCP замечательно эффективен при создании тайного канала. Вам интересен космос и все, что с ним связано? Тогда вам стоит узнать, когда в КБ Южном стартует запуск новой ракеті-носителя https://prm.ua/u-kb-pivdenne-gotuyut-do-zapusku-novu-raketu-nosiy/.
Одна исполняемая программа реализует и клиент, и сервер. Атакующий настраивает Covert_TCP для запуска в конкретном режиме в зависимости от поля, применяемого для переноса данных. Параметры командной строки, служащие для инициализации Covert_TCP, указывают, должны данные передаваться через поле идентификатора IP (режим -ipid), номер начальной очереди TCP (режим -seq) или номер подтверждающей очереди TCP (режим -аск). Такие режимы являются взаимоисключающими, следовательно, и клиент, и сервер должны задействовать один и тот же режим, чтобы сообщаться друг с другом.
Режим идентификатора IP весьма прост. Данные ASCII сбрасываются в это поле в клиенте и извлекаются в сервере. В каждом пакете переносится по одному символу.
Режим номера начальной очереди TCP несколько сложнее. Первая часть трехэтапного квитирования TCP (начальный SYN-пакет) несет номер начальной очереди (ISN), установленный так, чтобы представлять значение ASCII первого символа в файле, который должен быть тайно передан. Сервер Covert_TCP посылает назад пакет RESET, потому что цель коммуникации заключается в том, чтобы доставить символ в поле номера очереди, а не установить соединение. Затем клиент отправляет начало другого сеанса (заново первую часть трехэтапного квитирования), где в поле номера начальной очереди содержится другой символ. Снова сервер посылает RESET, и трехэтапное квитирование не заканчивается. Хотя не очень эффективный в передаче данных, этот режим Covert_TCP все еще весьма полезен.
Опубликовал katy
February 19 2020 09:16:17 ·
0 Комментариев ·
1222 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
