存储型隐蔽信道

存储型隐蔽信道

网络层信道

基于ToS字段

服务类型TOS字段是一个8位的字段，理论上的容量是8bits/包。
问题在于，很多网络从来不会使用这个字段，使用几乎所有的操作系统都会把这个子弹设置为0。如果机密信息被编码在这个字段则会很容易被检测到。

基于IP标识字段

IP标识字段是一个16位无符号整数，用于辅助组装被分片的报文。
使用这个字段的问题在于，对（源ip，目的ip）相同的连接，其标识字段并不是完全随机的，而是在第一次连接时随机选取一个数，之后便递增加一。但对于隐蔽信道来说，每一次的传输都会是随机的16bits。

基于标志字段

标志字段是一个3bits的字段。理论能力为3bits/包，太小。

基于ICMP

发送方把要隐蔽传输的信息编码后隐藏在向目标主机发送ICMP Echo Request (type 8)数据包的数据域中，伪装成ping命令发送的数据包；
接收方收到数据包后，读取该数据域即可得到隐蔽消息，同时将回复的数据包类型更改为ICMP Echo Reply 包(type 0)，数据部分保持不变，返回给发送方。

传输层信道

基于序列号

可以通过一定的算法随机生成一个序列，把发送者要传的信息嵌入进去，从而构成基于ISN的存储型网络隐蔽信道。隐藏容量可达32bit/包。
参考文献1
参考文献2

基于确认号

利用TCP协议中的确认号提出基于中转服务器的隐蔽通信方式，构建了基于ACK的存储型网络隐蔽信道。隐藏容量可达32bit/包。
参考文献

基于TCP时间戳

可以通过调制传输的TCP时间戳的最低有效位LSB来实现隐蔽信道传输。这个方案的原理是通过增大某个包的时间戳值（相当于推迟它）来传输密文中的1。参考文献

应用层信道

基于HTTP协议

基本上是在HTTP协议头字的各个字段里填充机密信息。包括Etag字段、cookie字段等

基于FTP协议

基于命令映射来完成隐蔽信道