隐蔽信道相关概念（持续更）

通常，黑客会使用隐蔽网络躲避防火墙和IDS等。通过不可检测的网络从目标主机窃取数据的网络被称为隐蔽信道，而这些流量在网络监控设备/应用和网络管理员看来像是一般的正常流量。两个端点用户可以利用隐蔽信道，进行无法被检测到的网络通信。

什么是隐蔽信道（covert channel）？

隐蔽一词意味着“隐藏或不可检测”，而信道是“通信模式”，因此隐蔽信道表示不可检测的通信网络。了解加密通信和隐蔽通信之间的区别非常重要。在隐蔽通信中，数据流被未经授权的一方篡改和持久。然而，加密通信并不掩盖通过加密在两个端点之间传输的数据进行通信的事实。

（1）85版定义：隐蔽信道是允许进程以违反系统安全策略的方式传递信息的信道。

（2）93版定义：“给定一个强制安全策略模型M及其在一个操作系统中的解释I(M)， I(M)中的两个主体I(Sh)和I(Sl)之间的通信是隐蔽的，当且仅当模型M中的对应主体Sh和Sl之间的任何通信都是非法的。

经常抓包分析的人，可能会发现获取的HTTP包有点别扭——HTTP包的状态行或者消息报头有冗余（字段等）、HTTP消息报头中的一些关键词大小写不规整（比如“Date”写为“daTe”等）——可能这些“特殊处理”在悄悄的传递信息。

隐蔽通道与完整性策略有关：在实现强制安全策略（比如BLP安全策略）的系统中，隐蔽通道分析要确保能找出所有从特定安全级到低安全级或者不可比安全级的非法泄密路径。同样地，在实现强制完整性策略（比如Biba）的系统中，隐蔽通道分析要确保能找出所有从特定完整级到低完整级，或者不可比完整级的非法泄密路径。在实施了强制访问控制的安全操作系统中，只有利用隐蔽通道，木马才能将信息传送给木马主人。

隐蔽信道的存在，对安全操作系统是一个重大的威胁。因此对高安全等级的安全操作系统，各种标准都要求进行隐蔽信道分析。1985年，美国国防部发布了橘皮书TCSEC，这是第一个“计算机安全产品评估标准”（很多重要标准都以此为重要参考，比如国标GB 17859-1999、GBT 28452-2012 等），明确规定在对B2级（对应国家信息安全等级中的第四级）以上的高等级安全操作系统进行评估时，必须分析隐蔽信道。

TCSEC (橘皮书) 的要求：

B2:“系统开发者必须彻底搜索隐蔽存储通道，并根据实际测量或工程估算确定每一个被标识通道的最大带宽”。

B3-A1:“系统开发者必须彻底搜索隐蔽通道，并根据实际测量或工程估算确定每一个被标识通道的最大带宽”

CC标准提出三种层次的搜索要求：

AVA_CCA.1（非形式化隐蔽通道分析）搜索信道并估计带宽，给出分析的假设并描述最坏的情形

AVA_CCA.2（系统化隐蔽通道分析）不是以特例分析方法，而是以结构化、可重复方式搜索信道

AVA_CCA.3（彻底的隐蔽通道分析）以穷举法进行搜索并给出已使用过所有可能搜索方法的证据

Tsai的要求：

covert channel 的类型
按照隐蔽信道的同步和数据传送方式分

网络隐蔽存储信道：发送者直接或间接些目标值，接收者直接或间接接读目标值。实例：文件节点号信道。一般来说，隐蔽存储通道涉及到不同安全级主体可以共享的某种数量有限的资源（比如硬盘）

网络隐蔽时间信道：发送者通过时域上调制使用资源（例如CPU）发送信息，接收者能够观测到并对信息进行解码。一个隐蔽通道是隐蔽定时通道，如果它的发送信号方式是一个进程调节自己对系统资源（比如CPU）的使用、从而影响另外一个进程观察到的真实系统响应时间。实例：CPU调度信道。“时间隐蔽信道”又分为“普通时间隐蔽信道”和“网络时间隐蔽信道”等。

区别和联系：

存储隐蔽信道的同步和数据传送使用存储变量。时间隐蔽信道的同步和数据传送使用公共时钟。只要引入存储变量用来同步，时间隐蔽信道就可以变成存储隐蔽信道，反之同理。

与存储隐蔽信道相比，时间隐蔽信道又称为无记忆通道，它不能长久存储信息。发送者发送的信息接收者必须及时接受，否则传送的信息将会消失。

按照隐蔽信道有无噪音分

隐蔽通道可能是有噪音的，也可能是无噪音的：无噪通道指的是发送者发送的信号与接收者接收的信号百分之百相同。

按照隐蔽信道的损害程度分

无害通道通常具有以下特征之一:

1) 发送进程与接收进程相同;

2) 系统安全策略允许发送进程与接收进程直接通信;

3) 实际应用该通道十分困难；

有害通道的特征是:

1) 发送进程与接收进程不同;

2) 系统安全策略不允许发送进程与接收进程通信;

3) 存在一种利用系统安全缺陷构造隐蔽通道的有效机制,使发送进程可以在有限时间内,向接收进程传送一定数量的有用信息。

隐蔽通信载体种类

载体种类：

按照载体存在形式：图像、音频、视频、文本和网络协议，图像、音频、视频、文本则分别是二维、一维、三维、离散一维的。

图像载体：具有巨大的载体数据量，便于获得大的隐藏容量。人类对图像已经建立了成熟的模型，对于如何修改图像而不引起图像语义损失有比较深入的理解，这对提高隐蔽性，以及保证在编码攻击、加性噪声攻击等攻击下隐藏算法的可靠性，能提供充分的理论支持。

音频、视频、文本载体模型与图像载体最大的不同，并且它们普遍具有一个带有时间概念的维度，而这些载体上的信息隐藏的研究工作也普遍试图寻求与图像载体中的隐藏算法的差异性。

按照传输手段与内容的关系分：静态载体和实时动态载体。

图像、音频、视频、文本在研究中和实践中，通常以文件的形式存在和处理，因此称之为静态载体。

静态载体中，除了这四种被大规模研究的类型之外，也有研究人员提出了其它一些有趣的新的载体类型，例如三维设计模型、工程图、级联样式表（Cascading Style Sheet，CSS）文件、短信（Short MessageService，SMS）等。

静态载体的静态性的本质表现是，其传输手段与内容无关，这些载体的使用者可以用各种文件传输手段——比如电子邮件、网络空间，甚至快递硬盘——将隐藏算法生成的隐藏对象发送给接收者。

而直接利用传输手段本身作为实时动态载体，也可以实现信息隐藏。以网络协议为载体的隐藏算法，是其中的典型代表。

一种复合式的实时动态载体，常常表现为视频、音频、文本消息、网络协议的复合，因此在流媒体上可以应用多种载体类型的隐藏算法。

隐蔽信道相关的重要概念

IM 即时通信(IM，即 Instant Messaging)是指能够即时发送和接收互联网消息等的业务。

VoIP 基于IP的语音传输（Voice over Internet Protocol，缩写为VoIP）是一种语音通话技术，经由网际协议（IP）来达成语音通话与多媒体会议，也就是经由互联网来进行通信。此外又称IP电话（IP telephony）、互联网电话（Internet telephony）、宽带电话（broadband telephony）以及宽带电话服务（broadband phone service），可用于包括VoIP电话、智能手机、个人计算机在内的诸多互联网接入设备，通过蜂窝网络、Wi-Fi进行通话及发送短信。
obfsproxy 混淆/加密端口数据

Obfsproxy - 混淆/加密端口数据 - 简书

obfsproxy 笔记 - 多一份贡献,多一份环保 - CSDN博客

Tor + 云

Tor 洋葱头（The Onion Router）是一种软件，是第二代洋葱路由（onion routing）的一种实现，用户通过它可以在因特网上进行匿名交流。 Tor（The Onion Router ）是第二代洋葱路由（onion routing）的一种实现，用户通过Tor可以在因特网上进行匿名交流。

Tor在由“onion routers”（洋葱）组成的表层网（overlay network）上进行通信，可以实现匿名对外连接、匿名隐藏服务。

Tor浏览器包是一个免费的计算机应用程序，可以下载和使用，以避免互联网过滤。它可用来屏蔽一个互联网用户的IP地址，允许匿名浏览。Tor是在5层协议栈中的应用层进行加密（也就是按照'onion'的模式）。

由于在TCP数据流的级别通讯，Tor显得卓然独立于其他匿名网络。通过使用Tor，一般的应用程序都可以实现匿名，比如IRC、即时通讯，以及浏览网页。浏览网页时，Tor常常与Privoxy或Polipo等联合使用，Privoxy、Polipo是开源代理服务器，可以在应用层增加保护隐私。

由于Tor可以匿名进行TCP传输，这就导致了被滥用的可能。潜在的滥用包括：P2P、E-mail、蓄意破坏等。

通过使用Tor网络，用户可以维护位置不可知的服务器。当然如果要访问这个隐蔽的服务，客户端也得安装Tor。

通过Tor指定的顶级域名（Top Level Domain，TLD）.onion，可以访问其隐藏的服务。Tor网络可以识别自己的TLD，并自动路由到隐藏的服务。然后，隐藏的服务将请求交由标准的服务器软件进行处理，这个服务器软件应该预先进行配置，从而只侦听非公开的接口。

Tor隐藏服务有个另外的好处，由于不需要公开的IP地址，服务就可以躲在防火墙和NAT背后。

Proxy King 是一款支持指定进程代理的软件,可以帮助用户隐藏本机上网ip.无需用户自备代理,软件有云端内置几千个可用的Socks5代理。用来刷投票\突破网络限制\隐藏本机IP、同时还有虚拟硬件序列号功能.(MAC\硬盘\CPU)
免费代理工具-Proxy King - FreeBuf互联网安全新媒体平台

绿坝 “绿坝-花季护航”，是为净化网络环境，避免青少年受互联网不良信息的影响和毒害，由国家出资，供社会免费下载和使用的上网管理软件，是一款保护未成年人健康上网的计算机终端过滤软件。
GoAgent GoAgent是使用跨平台语言Python开发、基于GNU通用公共许可协议的代理软件。它利用Google App Engine（GAE）的服务器充当代理。

GoAgent分为两个部分，一部分是需要部署到GAE上的服务器端软件，另一部分是用户电脑上运行的客户端软件。用户需要将服务器端软件上传到GAE中，然后通过客户端软件与其连接，获取内容。为方便用户使用，GoAgent也提供了自动部署工具。

从2015年8月以后，GoAgent已停止维护，并被开发者删除。

dnscrypt dns加密
DNSCrypt 可以加密和认证用户和 DNS 解析服务器之间的数据传输。IP 数据本身没有任何变化，DNScrypt 可以避免 DNS 查询欺骗，确保 DNS 相应来自选择的 DNS 服务器。

隐蔽通信的现状

13组根域名服务器(root server)，没有一个安装在中国，目前中国只有F、F、I、J、L共5个根域DNS镜像，所以中国不能从根本上控制修改域名。
1. 对ISP提供的DNS服务器进行缓存污染
2. 拦截封锁境外DNS服务器地址
3. 监视试图发往境外的DNS解析请求，对国外的DNS服务器的应答进行篡改 --DNS
UDP协议的不可验证缺陷

拦截方法

1. 单点小粒度：TCP劫持(RST, FIN)针对连接五元组(传输协议类型、源地址、源端口、目的地址、目的端口)对数据流进行过滤。可以针对指定的任意五元组以内的组合条件进行劫持，实时性强、粒度小。

2. 大网大粒度：

2.1 静态+动态IP包过滤(ACL+BGP/OSPF注入)

2.1.1 静态路由：通过专用客户端程序静态写入路由设备的配置文件进行访问控制响应时间慢，容量较小，非易失

2.1.2动态IP包过滤：采用动态路由协议(BGP, OSPF等)和关键路由设备进行路由扩散，将过滤IP地址扩散到路由表中，

响应时间快，但只能动态写入路由设备路由表中，易失

Tor网络怎么拦截?

3.1 断开无法登陆

3.2 通过跳板连接

事后审计

1. 主动爬虫+被动web访问缓存

2. 对缓存网页内容进行"事后审计"，据此生成过滤用黑名单数据库(ip+url)

3. 内容分析和网址过滤相互协同、分时工作，提高效率和准确率

如何FQ获取/发布敏感信息?

1. 网络基础设施增强

1.1 多物理层接入

1.2反DNS屏蔽/劫持

1.3 TCP协议栈增强

1.4 可信CA

2.代理服务器

2.1 自建VPS

2.2 云端代理集群

2.3 P2P代理网络

3. 加密通信协议

3.1 VPN

3.2SSH

3.3SPDY

3.4HTTP/2、QUIC

3.5 协议混淆

3.6 内容变换

如何查水表

1. 加密协议识别+中间人解密

1.1 特定https证书识别

1.2 伪造证书中间人劫持

1.3 受控代理服务

1.4 虚假Tor节点

2. 客户端监控+漏洞利用

2.1 本地"绿坝"

2.2 浏览器漏洞

2.3 Hml5等新协议功能

2.4 FQ木马

使用 Tunnelshell 进行隐蔽信道攻击

几乎可以使用任何协议来建立隐蔽信道。绝大多数隐蔽信道研究都是基于第3层（网络）和第4层（传输）协议，如ICMP，IP和TCP。经常使用的还有第7层（应用）协议诸如HTTP和DNS。这种机制用于在不提醒网络防火墙和IDS的情况下传送信息，而且netstat无法检测到。

隐蔽信道的判别标准

隐蔽存储通道的判别标准:只有完全满足下述四条件才可能构成隐蔽存储通道。仅满足前三条标准的通道叫做潜在隐蔽通道：（1）发送方和接收方进程能访问共享资源的同一属性。

（2）发送方进程能改变该共享资源的状态。

（3）接收方进程能察觉该共享资源的状态变化。

(4)发送方与接收方进程之间有同步机制。

隐蔽定时通道的判别标准:

(1)发送方和接收方进程必须有权存取共享资源的同一属性。

(2)发送方和接收方进程必须有权存取一个时间参照，比如实时时钟。

(3)发送方进程必须能够调整接收方进程侦查共享属性的变化所用的响应时间。

(4)必须存在某种机制，使发送方和接收方进程能启动隐蔽通信并正确给事件排序。该机制可能是另一条较小带宽的隐蔽通道。

(对于PC机来说，系统中至少处理器是共享的，因此系统中运行的各个进程至少存在一个共享属性——CPU的响应时间。接收方进程通过监视时钟就能侦查到响应时间的变化)

隐蔽通道分析可以在从抽象的安全模型到系统机器代码的任何一个层次上进行。

(1)分析系统的高层抽象（安全模型级）可以在系统开发的早期发现安全漏洞。

(2)系统规范主要指安全操作系统的描述性顶层规范（DTLS）和形式化顶层规范（FTLS）。大多数隐蔽通道分析方法都把注意力集中在对系统规范层的分析。

(3)系统实现是指在内核的源代码级进行隐蔽通道分析，上百万行的操作系统内核分析工作量过于庞大，只有很少开发者采用这种分析方法。

(4)硬件特征也可能被用作隐蔽通道，比如内存管理单元、共享内存、I/O主线、设备控制器等等。如果在硬件层发现了高带宽的发送信号机制，除了尽量避免使用这些机制以外，系统开发者往往别无选择。

从源代码级标识隐蔽通道具有下列明显的优点：

(1)能找出所有隐蔽存储通道（除了硬件导致的通道以外）；

(2)能找出放置审计代码、延迟和噪音的位置；

(3)能评估访问控制检查点是否设置得合适。

隐蔽通道与信息流策略

D.Denning指出，信息流策略是有效防止隐蔽通道的强制安全策略。Denning给出的信息流策略： “如果信息从变量A流向变量B，则B的安全级必须支配变量A的安全级”。可以看出，隐蔽通道本质上就是利用违反系统安全策略的信息流（所谓“非法信息流”）完成信息下传的。因此，隐蔽通道分析就是要搜索所有违反系统强制安全策略的信息流。

基本工作机制——直接流

基本工作机制——间接流

隐蔽信道的分析方法

隐蔽通道分析的目标：

（1）信道标识：彻底搜索隐蔽存储通道。

（2）带宽计算：根据实际测量或工程估算确定每一个被标识隐蔽存储通道的最大带宽。

（3）信道处理：采用适当措施处理已经标识出的隐蔽存储通道。

典型的分析技术之句法信息流分析技术：

优点：(1)可以自动化(2)可以用于形式化顶层规范和源代码(3)不会遗漏任何导致隐蔽通道的信息流向

缺点： (1)伪非法流(2)不能用于非形式化说明(3)不能提供何处放置隐蔽通道处理代码的提示.

典型的分析技术之无干扰分析技术：

优点：(1)可以分析形式化描述和源代码(2)可以避免伪非法流(3)可以从理论上保证搜索的彻底性.

缺点：无干扰是一种严格的要求，实际分析无法达到这种目标，只有降格以求，结果导致实际分析结果达不到无干扰的目标，甚至不如共享资源矩阵。

参考文献