隧道技術(shù)(Tunneling)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。
使用隧道傳遞的數(shù)據(jù)(或負(fù)載)可以是不同協(xié)議的數(shù)據(jù)幀或包。
隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過隧道發(fā)送。新的幀頭提供路由信息,以便通過互聯(lián)網(wǎng)傳遞被封裝的負(fù)載數(shù)據(jù)。
這里所說的隧道類似于點到點的連接。這種方式能夠使來自許多信息源的網(wǎng)絡(luò)業(yè)務(wù)在同一個基礎(chǔ)設(shè)施中通過不同的隧道進(jìn)行傳輸。隧道技術(shù)使用點對點通信協(xié)議
代替了交換連接,通過路由網(wǎng)絡(luò)來連接數(shù)據(jù)地址。隧道技術(shù)允許授權(quán)移動用戶或已授權(quán)的用戶在任何時間、任何地點訪問企業(yè)網(wǎng)絡(luò)。
通過隧道的建立,可實現(xiàn):
* 將數(shù)據(jù)流強(qiáng)制送到特定的地址
* 隱藏私有的網(wǎng)絡(luò)地址
* 在IP網(wǎng)上傳遞非IP數(shù)據(jù)包
* 提供數(shù)據(jù)安全支持
近來出現(xiàn)了一些新的隧道技術(shù),并在不同的系統(tǒng)中得到運(yùn)用和拓展。
隧道技術(shù)
為創(chuàng)建隧道,隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。隧道技術(shù)可分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。第2層隧道協(xié)議對應(yīng)于OSI模型的數(shù)
據(jù)鏈路層,使用幀作為數(shù)據(jù)交換單位。PPTP(點對點隧道協(xié)議)、L2TP(第二層隧道協(xié)議)和L2F(第2層轉(zhuǎn)發(fā)協(xié)議)都屬于第2層隧道協(xié)議,是將用戶
數(shù)據(jù)封裝在點對點協(xié)議(PPP)幀中通過互聯(lián)網(wǎng)發(fā)送。第3層隧道協(xié)議對應(yīng)于OSI 模型的網(wǎng)絡(luò)層,使用包作為數(shù)據(jù)交換單位。IPIP(IP over
IP)以及IPSec隧道模式屬于第3層隧道協(xié)議,是將IP包封裝在附加的IP包頭中,通過IP網(wǎng)絡(luò)傳送。無論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝
格式以及用戶數(shù)據(jù)包組成的。它們的本質(zhì)區(qū)別在于,用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。
這個技術(shù)是近期才出現(xiàn)的新事物,并且已經(jīng)被用到各種黑客軟件之中,比較成熟的有遠(yuǎn)程控制軟件“網(wǎng)絡(luò)神偷”和“灰鴿子”。
這是國內(nèi)兩個很有代表性的運(yùn)用“http隧道穿越原理”而制作的軟件,用該類型軟件可以穿透防火墻,不受端口的限制。
一般防火墻為了安全起見,都只開80和其他一些常用的端口,這樣的話,那些一般的基于tcp/ip客戶端和服務(wù)端的木馬就不能通過防火墻和外界發(fā)生聯(lián)系,
特別是在內(nèi)網(wǎng)之中,
但是經(jīng)過特殊處理的ip封包可以偽裝成http封包,這樣防火墻就認(rèn)為其是合法的http數(shù)據(jù)包,就會放行,這樣在木馬的接收端,軟件
再將偽裝過的ip封包還原出來,取出其中有用的數(shù)據(jù),從而達(dá)到穿越防火墻端口設(shè)置的限制。
該類型軟件具有很大的欺騙性,所以不要認(rèn)為設(shè)置了端口限制的防火墻就一定很安全了。
利用HTTP協(xié)議的缺陷來實現(xiàn)對防火墻的滲透,或者說現(xiàn)有的一些HTTP隧道技術(shù)的實現(xiàn),是基于防火墻在對HTTP協(xié)議的報文進(jìn)行識別與過濾時,往往只對其諸如POST、GET等命令的頭進(jìn)行識別,而放行其后的所有報文。