即时通信协议分析与监控技术研究

张斌 孙伟博

(1.中华通信系统有限责任公司,河北石家庄 050000;2.清华大学计算机科学与技术系,北京 100089)

在信息时代背景下,人们对信息交流提出了更高的要求,各种通信软件应运而生。其中,我国最流行的通信软件为腾讯公司的QQ、微信等,国外流行的即时通信软件主要有MSN、ICQ等产品。这些软件的共同特点为都有着较为完善的功能以及具有精美的界面设计,为各个互联网用户提供了便捷的服务,深受人们的喜爱。因此,在通信技术安全问题对于心软件的监控和通信协议分析来说非常重要,处理好通信技术中存在的安全问题对维护网络安全起到至关重要的作用。

1 即时通信协议分析

1.1 主流即时通信软件的通信架构

客户端/服务器模式以及客户端/客户端模式分别是即时通信系统中的模式,这两种模式的区别在于前者收发客户需要通过服务器来进行信息交流,而后者服务器为客户建立了直接交流通道,客户与客户之间的交流可以直接在这条通道上进行。目前国内主流的通信软件,微信、QQ都是以客户端/服务器模式为主,在交流中消息必须通过服务器来实现在客户端之间传递。

主流即时通信软件的通信过程主要是:设立一台或一组DNS服务器为总调度台,每个即时通信客户端可以通过对域名服务器进行查询,与即时通信软件的服务器建立TPC通道。客户端在进入服务器之前可以输入自身的ID和密码来进行登录,服务器会对输入的密码信息加密处理再进行传送,当客户身边、密码识别正确后服务器会重新将验证通过信息发送回客户端,同时将客户好友信息、端口号信息等一并传送过去。客户端接收信息后可直接利用中转服务器来向通讯录好友传递信息。

1.2 协议分析的环境与方法

协议分析的试验中,整体实验环境由交换机以及PC机组成,PC机在与互联网相连接后,可以通过Windows的操作系统来实现PC机与互联网的连接同时通过Windows来安装协议分析Etherea10.8软件。

1.3 MSN协议簇分析

通信会话网MSN Messenger Netword在微机上统称为MSN Messenger客户端,它通过互联网与另一个MSN Messenger客户端进行相连。因此,客户端通过服务器来与其他客户进行信息交流。MSN Messenger和Windows Messenger是微软提供的两个客户端,微软没有对MSN Messenger Server进行正式公布,我们将MSN Messenger服务器与客户端之间信息交互的规则称作“MSN协议”。MSN协议在不断发展,随着MSN Messenger版本的更新和修订。

2 即时通信监控技术研究

2.1 信息监控系统总体架构设计

一般来说信息监控系统内部的前端接受设备是可以接收互联网上的各种信息的,其采用的网络处理器为IXP2400,一共有四个IG出口,其中有一个出口就是专门为即时通信信息监控系统预留的。另外的IM数据接受服务器则是用来接收前段数据和接收即时通信数据信息,并对数据进行判断并分类发送到各个媒体流管理和协议解析服务器。这里又引申出媒体流管理服务器这一名词,其作用主要用于接收媒体数据包,提取媒体内部数据并储存和管理同一回话重点媒体数据流,进一步的展示动态规则。最后要介绍的一种功能就是文本消息还原设备,其主要针对IM文本消息进行还原,常见的多媒体数据还原设备啧主要将多媒体的会话数据进行解码,并系统性的还原。

2.2 即时通信监控系统功能结构设计

2.2.1 网络前端数据接收

前端数据接收设备会完成网络前端数据接收功能,前端数据接收设备会通过IXP2400网络处理器的采用来获取到大量的互联网数据,该网络处理器共有四个IG出口,网络处理器中的规则会根据即时通信软件中的特征来制定,以便在大量的互联网信息中过滤、筛选出有用的即时通信数据包,并将过滤后的信息发送到MSN数据接收模块中。

2.2.2 MSN数据接收

IM数据接收器完成MSN接收模块的功能,在收到网络前端数据接收模块转发来的数据包后首先判断数据包的类型,对其进行分类和处理。当判断为TCP数据包时会将数据送往TCP数据重组模块;当判断为RTP数据包时会将数据送往媒体数据流管理模版进行处理。

2.2.3 TCP数据重组

由协议解析服务器完成TCP数据重组模块的功能,在接收到TCP数据包后,会根据协议规则将头部规则去掉,剩余的内容为TCP数据内容,同时依据TCP数据包的连接特性,采用动态哈希链表CRC16算法方式来储存管理数据包。另外由于同一个MSB的数据不仅在同一个TCP传输,还有可能在多个数据包中共同传输,这就需要应到TCP头部字段需要一一进行数据重组。最后为了更加方便和管理数据包,一般还会设计一个8192字节的滑动窗口,这有利于更便捷的将重组数据发送给MSN协议解析模块进行协议解析。

2.2.4 MSN协议解析

MSN协议解析模块的功能是由协议解析服务器来执行的,解析服务器利用LEX技术来对TCP数据重组模块传送过来的MSN数据进行解析,解析完毕后将文本消息传送到还原模块中进行还原处理。在整个过程中会话信息会与监控模块之间进行信息交换,交换过程中只有消息账号满足满足监控模块的条件,会话信息才会被送到规则反馈模块中处理。

2.2.5 SIP信令解析

协议解析服务器完成SIP信令解析模块的功能,它在解析SIP信令数据时应用到了LEX技术的信令解析程序。首先,在接收SIP信令数据包后,将UDP头部去掉,剩余的内容为UDP数据,也就是SIP信令数据。依据SIP的信令特征,使用LEX工具解析SIP信令数据,将重要的会话信息提取出来,向规则反馈模版传送解析出的双方多媒体数据传输的媒体流通参数。

2.2.6 监控模块和规则反馈模块

监控模块以及规则反馈模块的功能统一由管理服务器来完成。监控模块会根据规则反馈信息来制定相关的监控规则。例如设置IP段的固定、黑名单等。制定完规则后会和MSN解析模块进行交流,当协议解析模块解析得出的通信信息与监控条件不符时,那么监控模块无法处理这类通信信息。

2.2.7 文本还原和解码还原模块

还原模块的功能是由还原设备来进行文本还原的。MSN文本消息可以采用特定的UT F编码,在MS N协议解析模块解析完通信消息后,将消息传递到文本还原模块,文本还原模块会对传递来的消息进行解码和还原,并依据关键词等线索来对文本消息进行筛选和过滤。

3 结语

即时通信协议和监控技术对人们的生活有着至关重要的作用,因此,相关工作人员应做好更新与修订的工作,关注其使用时的安全问题,避免通信软件在使用时危害国家与社会的安全,泄漏国家与企业的重要秘密等。