البتّات المحجوزة

البِتّات المحجوزة (Reserved bits)

البِتّات المحجوزة هي حقول تُترك غير مُستخدمة عمدًا وهي حقول احتياطية داخل رؤوس الحزم أو هياكل البروتوكول الأخرى. وتم وضعها في حالة أُحتيجَت لاحقا، على سبيل المثال، رؤوس تي سي بي تحتوي على بتات محجوزة.

ولأنها لا تستخدم في العمليات الاعتيادية ولا تؤثر بشيء، فإنها قد تُستغل لنقل بيانات بشكل سري. وقد تستعمل ترميزات مختلفة لتجنب الكشف, في هذا المثال تُخفى البيانات في آخر بتين من الحقل المحجوز ولكن البيتات المحجوزة حاليا في التي سي بي هي ثلاثة.

المثال

عند محاولة مُرسل نقل بيانات باستخدام البتات المحجوزة، يتحول علم المحجوز إلى حالة مفعّل مما يجعل الاكتشاف سهلًا للوهلة الأولى. لكن المشكلة أن ليس كل قيمة بت تُرسَل ستؤدي بالضرورة إلى ظهور العلم كمفعّل.

لنأخذ الحرف التالي كمثال. إن حوّلناه من الآسكي إلى ثنائي نحصل على:

T → 01010100

إذا رغب المُرسل في نقل هذا الحرف باستخدام 2 بت لكل حزمة، فستنقسم البتات على أربع حزم كالتالي:

الحزمة 1: 01 → المحجوز: مفعّل
الحزمة 2: 01 → المحجوز: مفعّل
الحزمة 3: 01 → المحجوز: مفعّل
الحزمة 4: 00 → المحجوز: غير مفعّل

إذا اعتمدنا فقط على تصفية الحزم التي فيها "محجوز: مفعّل" فسنفقد الحزم التي تحمل 00 .لذلك فلترتنا لازم تكون اوسع لإضافة الحزم ذات العلم الغير مفعّل, وهذي الفلترة تختلف حسب إختلاف السيناريو.

في مثالنا سنقيّد الفلترة بالمصدر والوجهة وبروتوكول تي سي بي:

tcp && ip.src==10.0.0.2 && ip.dst==10.0.0.3

بعد تطبيق الفلتر، نريد تضمين حتى الحزم التي فيها العلم المحجوز غير مفعّل ثم استخراج البتات لمزيد من التحليل. بس قبل ما نبدأ، لازم نفهم كيفية الأعلام في تي سي بي تشتغل.

أعلام TCP (TCP flags)

أعلام TCP مكوّنة من 11 بت (مُرقّمة من 0 إلى 10)، وكل بت يُمثّل علم. شرح معنى كل علم هنا خارج نطاق هذه المقالة، لكن هذه تمثيلة لكل بت:

Bit 11: Reserved ← 0x0800 ← 0002048
Bit 10: Reserved ← 0x0400 ← 0001024
Bit 9:  Reserved ← 0x0200 ← 0000512
Bit 8:  NS (ECN) ← 0x0100 ← 0000256
Bit 7:  CWR       ← 0x0080 ← 0000128
Bit 6:  ECE       ← 0x0040 ← 0000064
Bit 5:  URG       ← 0x0020 ← 0000032
Bit 4:  ACK       ← 0x0010 ← 0000016
Bit 3:  PSH       ← 0x0008 ← 0000008
Bit 2:  RST       ← 0x0004 ← 0000004
Bit 1:  SYN       ← 0x0002 ← 0000002
Bit 0:  FIN       ← 0x0001 ← 0000001

بالنسبة لقناتنا السرية، نركّز فقط على البتات 9 و10 و11 (البتات المحجوزة). كمثال:

البت 9 → عشري 512 → سداسي عشري 0x0200
البت 10 → عشري 1024 → سداسي عشري 0x0400

كمثال: إذا كنا نريد تفعيل العلمين سين او آك فالقيمة بالسداسي العشري بتكون

0x0002 + 0x0010 = 0x0012

ولما نستخرج الأعلام من الحزم عن طريق تي شارك بنحصل عليها كسداسية عشرية، وبنقدر نفحصها لمعرفة ما إذا كانت البتات المحجوزة مفعّلة او لا.

استخراج البيانات

لإستخراج جميع الأعلام باستعمال تي شارك يمكن كتابة الأمر التالي, ولكن هذا الأمر سيتخرج جميع الأعلام وليس فقط البيتات المطلوبة

وهذا امر باستخدام تي شارك لإستخراج البتين (البت 10 والبت 9) طباعتهما كبايناري:

tshark -r traffic.pcap -Y 'tcp && ip.src==10.0.0.2 && ip.dst==10.0.0.3' -T fields -e tcp.flags | gawk '{v=strtonum($1); printf "%d%d", and(v,0x0400)?1:0, and(v,0x0200)?1:0}'

ايش جالس يصير؟

نأخذ قيم الأعلام بعد تطبيق الفلتر.
نحوّل القيم (سداسية عشرية) إلى قيم رقمية.
لكل قيمة علم نقوم بما يلي:
- هل البت العاشر مفعّل؟ إذا نعم فيصير الرقم الأيسر 1 وإذا لا 0.
- هل البت التاسع مفعّل؟ إذا نعم فيصير الرقم الأيمن 1 وإذا لا 0.

فهم عملية AND

كيف نتحقق مما إذا كان بِت معيّن مفعّل؟ نستخدم عملية AND مع القيمة التي تمثّل ذلك البِت. خلونا نشوف هالحالتين:

الحالة 1: القيمة `0x0402`

0x0402 بالبايناري (مبسّطة للعرض):
0100 0000 0010   ← 0x0402
0100 0000 0000   ← 0x0400 (الخانة 10)
----------------
0010 0000 0000   ← الناتج ≠ 0 → TRUE → 1

النتيجة: البت 10 مفعّل.

الحالة 2: القيمة `0x0002`

0000 0000 0010   ← 0x0002
0010 0000 0000   ← 0x0200 (الخانة 10)
----------------
0000 0000 0000   ← الناتج = 0 → FALSE → 0

النتيجة: البت 9 غير مفعّل.

اذا طبقنا هذا على كل حزمة نحصل على سلسلة من 1 و0 بنحصل على المحتوى المنقول كبايناري.

المخرَج وكيف نُعيد تحويله إلى نص

المخرَج سيكون سلسلة مكونة من بتين لكل حزمة وعند طباعة كل نتائج الحزم بشكل متسلسل نحصل على كتلة بيانات بايناري كاملة, ناخذها ونحوّلها إلى نص.

011000100111001001110101011011100110111001100101011100100111101101100011011010010110111001101110011000010110110101101111011011100101111101110010011011110110110001101100011100110101111101100001011100100110010101011111011101000110100001100101010111110110001001100101011100110111010001111101000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

نفصل هذه البتات إلى مجموعات كل 8 بت ثم نحولها إلى أحرف الآسكي وبنلاقي البيانات المُرسلة عبر القناة.

الخلاصة

قد تظهر البِتّات المحجوزة غير مهمة، لكن يمكن استغلالها كقناة لنقل بيانات سرية. عبر تضمين معلومات داخل بضعة بتات علَمية فقط، يستطيع مهاجم أن يمرّر رسائل عبر حركة تبدو طبيعية وقد تفلت من فلاتر بسيطة. ومع ذلك، اذا فهمنا بنية أعلام تي سي بي وأساليب الاستخراج بنقدر نكشف هذي القنوات ونفك شفرتها.

ملاحظة: شفت هذا النوع من الأسئلة يَظهر غالبًا في مسابقات التقط العلم؛ ولكن ما شفت حتى الآن تطبيق حقيقي لهذه التقنية في بيئة العالم الحقيقي.

Previousإخفاء البيانات بفواصل الحزم الزمنية

Last updated 5 months ago

hashtagالبِتّات المحجوزة (Reserved bits)

hashtagالمثال

hashtagأعلام TCP (TCP flags)

hashtagاستخراج البيانات

hashtagفهم عملية AND

hashtagالحالة 1: القيمة 0x0402

hashtagالحالة 2: القيمة 0x0002

hashtagالمخرَج وكيف نُعيد تحويله إلى نص

hashtagالخلاصة