إخفاء البيانات بفواصل الحزم الزمنية
تأخير مابين الحزم هو اسلوب لنقل البيانات ليس بمحتوى الحزمة, بل بالتأخير بين كل حزمة وحزمة .حيث يستعمل المُرسِل توقيت إرسال الحُزَم كوسيلة لإخفاء الرسائل وتوجد طرق عديدة لإخفاء البيانات بإستعمال هذه التقنية ومنها -على سبيل التمثيل لا الحصر -:
الترميز بالفواصل الزمنية الثابتة
الترميز باستخدام فواصل زمنية متعددة
تعديل الفاصل الزمني
.سأركّز في هذه المقالة على النوع الأول لأني صادفته مرتين في هذا النوع من الإخفاء, يتم إستعمال نوعين من التأخير: تأخير او فاصل زمني قصير: يُمثّل 0 تأخير او فاصل زمني طويل: يُمثّل 1
.عند تكرار هذه الفواصل الزمنية بين الحزم بطريقة محددة, تشكّل رسالة يَصعب اكتشافها دون معرفة مسبقة بهذه التقنية
:وسنأخذ كمثال احد التحديات اللتي واجهتها سابقا
عند النظر الى هذه الحزم, يبدو انها فارغة, لا توجد بها بيانات مفيدة ولا يوجد لها معنى ذا قيمة. وغالبا ما يتم تجاهلها بعد محاولات تحليل بسيطة ولكشف هذه التقنية نريد ان نحصل على رؤية أوضح ونقلل الضوضاء, وإضافة عمود يحسب الزمن بين كل إطار الإطار الذي يسبقه سيساعدنا على كشف التقنية. يُسمّى هذا العمود في وايرشارك Delta Time وبشكل أدّق Delta Time Displayed الديلتا تايم ديسبلايد سيُظهر لنا الفرق بين الإطارات بعد الفلترة, اما الديلتا تايم سيظهر الفرق بغض النظر عن وجود أي فلترة. :ولإضافة هذا العمود نقوم بالتالي
كلك يمين على العواميد > تفضيلات الأعمدة > إضافة عمود جديد من نوع ديلتا تايم ديسبلايد
ممتاز, الآن بدأ توضح لنا الصورة بشكل أفضل, الفواصل الزمنية بين الحزم مثيرة للشك. يظهر لنا نوعان من الفواصل الزمنية الفاصل القصير: 0.05 ويمثّل البت 0 الفاصل الطويل: 0.25 ويمثّل البت 1 يُلاحظ ايضا وجود قيَم 0.04999.. هذه القيَم هي مسألة دقّة حسابية ويمكن إعتبارها مساوية لـ0.05 وما سنقوم به الآن هو ثلاث خطوات: 1- إستخراج الفواصل الزمنية 2- تحويلها الى واحدات وأصفار 3- تحويلها الى نص قمت بعمل سطر واحد يقوم بأول خطوتين:
الناتج:
ونحولها لنص آسكي "from binary" بعد التحويل نروح لسايبرتشيف ونختار IPD ولكنها ليس من خصائص xor للتوضيح هذا التحدي كان يتطلب خطوة إضافية وهي عملية
ملاحظة: واجهت هذه التقنية في المسابقات وخلال قراءتي للأوراق البحثية وما رأيت لها تطبيق عملي فالحياة الواقعية الى الآن.