HttpTunnel解读和防御

解读http tunnel源码的总体框架, 并提出可能的防御措施

     HttpTunnel解读和防御

本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝、转载，转载时请保持文档的完整性，严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源：http://yfydz.cublog.cn

1. 简介

httptunnel是通过HTTP通道来传输其他协议数据的工具软件,下载地址为:http://www.http-tunnel.

com,目前最新版本3.0.5

2. htc

htc是客户端,安装在防火墙内部网络一侧

htc源文件包括htc.c, common.c, tunnel.c, http.c, base64.c这几个文件和port目录下的库

程序流程:
main.c (htc.c)
  parse_arguments (argc, argv, &arg); 解析命令行参数, htc.c

  如果转发端口 (arg.forward_port != -1),在此端口打开socket监听 s = server_socket (arg.forward_port, 0), 
      backlog=0, 其实不收连接, 注意用了SO_REUSEADDR选项, common.c;

  进入死循环 for (;;);
    如果定义输入输出的终端设备(arg.device),打开设备fd = open_device (arg.device),common.c;

    否则如果定义了转发端口(arg.forward_port != -1),输入输出通过连接的socket来进行fd = wait_for_connection_on_socket (s),就是accept() , htc.c;

    打开一个新的通道  tunnel = tunnel_new_client (arg.host_name, arg.host_port,
      arg.proxy_name, arg.proxy_port,
      arg.content_length); tunnel.c
    注意tunnel结构中的in_fd, out_fd都初始化为-1,表示没有连接, 缺省的content_length是100K字节.

    设置通道的一些选项:strict_content_length, keep_alive, max_connection_age, user_agent这些在HTTP头说明中会用到, 支持代理; 

    如果要进行代理认证(arg.proxy_authorization != NULL),将认证参数进行base64编码,作为通道的proxy_authorization参数;

    通道连接对方tunnel_connect (tunnel), tunnel.c, 建立http tunnel,主要是调用
      函数tunnel_write_request (tunnel, TUNNEL_OPEN, auth_data, sizeof auth_data)
        如果要写入和已经写入的数据长度超过content_length, 对tuenel进行填充;
          对于客户端已经连接好的tunnel,超时时进行断开;
          对于断开(或第一次连接)的客户端, 调用tunnel_out_connect (tunnel)发起连接
            调用do_connect()连接服务器(第一个连接), socket描述符为tunnel->out_fd.
            设置该socket的一些选项;
            调用shutdown(out_fd, 0), 不接收数据;
            调用http_post()函数向服务器发送HTTP的POST命令; http.c

          调用tunnel_write_data (tunnel, &request, sizeof request)函数向服务器写要执行的请求(此时为TUNNEL_OPEN)

          继续写data部分,先写长度,然后是数据(此时为dummy的auth_data=42, length=1)
          (即HTTP的POST命令向服务器写TUNNEL_OPEN命令和一个dummy数据)
          然后进行数据长度判断是否在此连接中数据写多了

      进入函数tunnel_in_connect (tunnel) , 数据进入的连接
        调用do_connect()连接服务器(第2个连接),socket描述符为tunnel->in_fd.
        设置该socket的一些选项;
        调用http_get()函数向服务器发送HTTP的GET命令; http.c
        调用shutdown(in_fd, 1), 不再写数据;
        调用http_parse_response (tunnel->in_fd, &response)解析HTTP服务器返回数据;
        处理统计信息
    此时tunnel_connect完成

    进入下一个循环
      poll选择用户的输入设备fd和网络tunnel的in_fd(第2条连接)数据,也就是用户的输入信息和服务器返回的信息进行对倒:
                        fd输入->tunnel->out_fd输出; tunnel->in_fd输入->fd输出.
      handle_input()
        handle_device_input()处理用户输入信息, common.c
      handle_input()
        handle_tunnel_input()处理来自通道的信息, common.c

客户端一共向服务器发起了两个连接, 第一个连接用于发送数据,第2个连接用于接收数据

3. hts

hts是服务器端,安装在外部网络一侧

hts源文件包括hts.c, common.c, tunnel.c, http.c这几个文件和port目录下的库

main() (hts.c)
  parse_arguments (argc, argv, &arg); 解析命令行参数, hts.c

  调用tunnel = tunnel_new_server (arg.port, arg.content_length)建立新的tunnel的服务端;
    初始化tunnel, in_fd, out_fd都为-1
    在tunnel->server_socket监听 server_socket (tunnel->dest.host_port, 1), backlog=1, 注意用了SO_REUSEADDR选项, common.c;

  设置通道的一些选项:strict_content_length, keep_alive, max_connection_age, 这些在HTTP头说明中会用到; 

  写PID文件

  进入死循环
    如果定义输入输出的终端设备(arg.device),打开设备fd = open_device (arg.device),common.c;
    tunnel_accept接受外部连接, tunnel.c
      accept()连接
      解析HTTP协议请求数据: http_parse_request (s, &request), http.c
        POST或PUT命令, 将此socket设置为tunnel的in_fd, 用于接收客户端的数据;
        GET命令, 将此socket设置为tunnel的out_fd, 用于发送去往客户端的数据;
    如果设置了转发端口(arg.forward_port != -1), 调用do_connect连接到这个端口,描述符为fd, 注意这个连接是本机的
         自己连自己的内部连接, hts起到代理转发作用, 目标端口也就是真正的被HTTP包裹的协议端口.
    进入下一个循环
      poll: fd 和tunnel->server_socket, 也就是网络通道数据和内部连接数据对倒
      handle_input()
        handle_device_input()处理fd输入信息, common.c
      handle_input()
        handle_tunnel_input()处理来自通道的信息, common.c

服务器端接收了客户端的两个连接, POST命令对应的连接服务器接收数据, GET命令对应的连接服务器

发送数据
   

4. 防御

对于http tunnel的防御, 可以根据以下方面(或的关系):
1)过滤POST/GET URL关键字: "/index.html?crap="
2)htc发的HTTP请求部分并不在一个包内发完, 分多次小包发送, 可以严格限制此类连接;
3)HTTP数据一般都是成比较大的块的,如果在连接中发现多次传输小包,可能是http tunnel;
4)根据数据行为检查,如果两机器间的HTTP同时存在POST/PUT和GET的连接,而且数据传输并不是很顺畅

,总有一定中断然后突发一阵,可能是http tunnel;

5. 总结

http tunnel利用HTTP的POST和GET两个命令建立了两个连接, 分别用于客户端向服务器发送和接收数

据, 而且考虑到了HTTP数据的合法性, 会随时检查所接收或发出的数据是否超过content-length规定

的长度, 如果是则填充完后重新开连接进行处理新的数据, 保证了数据始终是合法的HTTP数据, 完全

等价于客户端在同时用HTTP协议在上传和下载一个大文件, 文件数据中不需要不需要任何的HTTP命令

或HTML语言标志, 某篇文章中试图以此来检查是行不通的.

对于http tunnel的防御, 由于它完全遵守了HTTP协议, 用HTTP协议异常来检测是检测不到的, 防御

的1,2措施只是制标, 因为代码公开, 完全可以修改成其他URL和完整的HTTP包头一次发送; 防御3,4只

是理论上的,需要相当的智能化处理才有可能不误伤正常HTTP数据, 资源消耗大,更适合在IDS而非防火

墙上进行.