Carnivore網(wǎng)絡監(jiān)視軟件的工作原理

Carnivore網(wǎng)絡監(jiān)視軟件的工作原理

Carnivore工作原理

您可能聽說過Carnivore，它是由美國聯(lián)邦調(diào)查局（FBI）開發(fā)的一個有爭議的程序，能夠讓該機構(gòu)監(jiān)視犯罪嫌疑人的網(wǎng)絡/電子郵件活動。對于許多人來說，它就像是喬治?奧威爾的小說《1984》中所述故事的恐怖再現(xiàn)。雖然FBI在2005年1月因購買了商業(yè)竊聽軟件而放棄了對Carnivore的使用，但是人們對這個一度延續(xù)了FBI在計算機通信監(jiān)視領域特殊影響力的程序的結(jié)構(gòu)和應用仍然有著強烈的興趣。

Carnivore究竟是什么？它來自哪里？它是怎樣工作的？它的目的是什么？在本文中，您將會了解到這些問題的答案以及其他更多信息！

Carnivore的發(fā)展歷程

Carnivore是FBI使用的第三代網(wǎng)絡監(jiān)視軟件。盡管第一個版本的信息從來沒有向外界披露過，但是很多人相信它實際上就是市面上銷售的名為Etherpeek的商業(yè)程序。

1997年，F(xiàn)BI部署了第二代程序Omnivore。根據(jù)FBI發(fā)表的信息，Omnivore的目的在于審查特定互聯(lián)網(wǎng)服務提供商(ISP)網(wǎng)絡上的電子郵件流量，并捕獲來自目標來源的電子郵件，然后將郵件保存到磁帶備份驅(qū)動器中或?qū)崟r打印出來。Omnivore于1999年末停用，因為FBI有了更完善的系統(tǒng)——DragonWare Suite，這個系統(tǒng)允許FBI重新構(gòu)造出電子郵件和下載的文件，它甚至可以重新構(gòu)造網(wǎng)頁。

DragonWare包含三個部分：

• Carnivore——個基于Windows NT/2000的系統(tǒng)，可用來捕獲信息
• Packeteer——沒有任何關于它的官方信息。但據(jù)推測，它是一個用于將數(shù)據(jù)包重新合為完整郵件或網(wǎng)頁的應用程序。
  
• Coolminer——沒有任何關于它的官方信息。但據(jù)推測，它是一個用于推斷和分析郵件中數(shù)據(jù)的應用程序。

正如您所看到的，官方從未透露過有關DragonWare Suite的太多信息，甚至從未發(fā)布過有關Packeteer和Coolminer的任何信息，幾乎也沒有透露過Carnivore的細節(jié)信息。但是，我們知道Carnivore大致是一個數(shù)據(jù)包嗅探器，這是一種很常見的技術(shù)，而且應用廣泛。

數(shù)據(jù)包嗅探器

多年以來，計算機網(wǎng)絡管理員們一直在使用數(shù)據(jù)包嗅探器監(jiān)視網(wǎng)絡，執(zhí)行診斷測試，或者用它來排除網(wǎng)絡故障。從本質(zhì)上說，數(shù)據(jù)包嗅探器是一種程序，凡是經(jīng)由它所連接的網(wǎng)絡進行傳遞的信息，它都能察覺得到。當數(shù)據(jù)流在網(wǎng)絡上來回傳送時，它便能夠查看或“嗅探”每個數(shù)據(jù)包。

通常，計算機只查看傳送給該計算機的數(shù)據(jù)包，而忽略網(wǎng)絡上的其它流量。而當計算機中安裝了數(shù)據(jù)包嗅探器之后，嗅探器的網(wǎng)絡接口會設置為雜收模式。也就是說，它會查看經(jīng)過的所有數(shù)據(jù)包。流量大小在很大程度上取決于計算機在網(wǎng)絡中的位置。處于網(wǎng)絡中孤立分支上的客戶端系統(tǒng)只能看到網(wǎng)絡流量的一小部分，而主要的域服務器則能看到幾乎所有的流量。

通常我們可以用以下兩種方式之一來設置數(shù)據(jù)包嗅探器：

• 非過濾——捕獲所有數(shù)據(jù)包
  
• 過濾——只捕獲包含特定數(shù)據(jù)元素的數(shù)據(jù)包
  

包含目標數(shù)據(jù)的數(shù)據(jù)包在傳輸時會被復制。程序?qū)⑦@些副本存儲在存儲器中或硬盤驅(qū)動器上，體取決于程序的配置方式。然后對這些副本進行仔細分析以確定其中是否包含特定的信息或圖案。

連接到互聯(lián)網(wǎng)時，您會加入一個由您的ISP負責維護的網(wǎng)絡。ISP的網(wǎng)絡再與由其他ISP維護的其他網(wǎng)絡進行通信，從而形成了互聯(lián)網(wǎng)的基礎。安裝在您的ISP的某一臺服務器上的數(shù)據(jù)包嗅探器有可能監(jiān)視您的所有在線活動，比如：

• 您訪問過哪些網(wǎng)站
• 您在網(wǎng)站上瀏覽了哪些內(nèi)容
• 您向誰發(fā)送電子郵件
• 您發(fā)送的電子郵件中包含什么內(nèi)容
• 您從網(wǎng)站上下載了哪些內(nèi)容
• 您用到了哪些數(shù)據(jù)流活動，如音頻、視頻和網(wǎng)絡電話
• 誰訪問了您的網(wǎng)站（如果你有網(wǎng)站）

實際上，許多ISP也使用數(shù)據(jù)包嗅探器作為診斷工具。此外，很多ISP還會在各自的備份系統(tǒng)中保存數(shù)據(jù)（例如電子郵件）的副本。Carnivore及其姊妹程序是FBI的一個有爭議的舉措，但是它們并不是新技術(shù)。

Carnivore的工作過程

現(xiàn)在您已經(jīng)對Carnivore的概念有了一點了解，下面讓我們看看它是怎樣工作的：

1. FBI可以合理地懷疑某人正在從事犯罪活動，并請求法院允許其查看嫌疑人的網(wǎng)絡活動。
   
2. 法院會允許FBI僅對電子郵件通信進行全面的內(nèi)容竊聽，并簽發(fā)相應的許可令。

   “內(nèi)容竊聽”是在電話監(jiān)聽中使用的一個術(shù)語，意味著可以捕獲和使用數(shù)據(jù)包中的所有數(shù)據(jù)。另一種竊聽是捕獲追蹤，即FBI只能捕獲目的地信息（例如郵件的接收方或者嫌疑人正在訪問的網(wǎng)站地址）。捕獲追蹤的反向形式稱作圍欄記錄，它跟蹤發(fā)送給嫌疑人的電子郵件來自何處，或者跟蹤嫌疑人網(wǎng)站的訪問者來自何方。

   
   
3. FBI聯(lián)系嫌疑人的ISP并請求獲得嫌疑人網(wǎng)絡活動的備份文件副本。
   

4. ISP的備份中沒有客戶的活動數(shù)據(jù)。
   

5. FBI在ISP處安裝一臺Carnivore計算機來監(jiān)視疑犯的活動。該計算機中包含：
   
   • 一個奔騰III Windows NT/2000系統(tǒng)，配備128MB的RAM
   • 一個商業(yè)通信軟件程序
     
   • 一個自定義C++程序，它與上述商業(yè)程序配合工作，以提供數(shù)據(jù)包嗅探和過濾功能
     某種類型的物理防范系統(tǒng)，需要特殊的密碼才能進入此計算機（保證除FBI之外的任何人都無法實際訪問Carnivore系統(tǒng)）
     
   • 一臺網(wǎng)絡隔離設備，使得Carnivore系統(tǒng)對于網(wǎng)絡上的其他人是隱身的（防止任何人從另一臺計算機上侵入系統(tǒng)）
   • 一個2GB的Iomega Jaz驅(qū)動器，用于存儲捕獲到的數(shù)據(jù)（該Jaz驅(qū)動器使用2GB的抽取式磁盤，并且可以像軟盤一樣很容易地換上新磁盤。）

6. FBI使用疑犯的IP地址配置Carnivore軟件，以便Carnivore只會捕獲來自這個特定地址的數(shù)據(jù)包。而忽略掉所有其他數(shù)據(jù)包。
   

7. Carnivore會復制來自疑犯系統(tǒng)的所有數(shù)據(jù)包，并且不會對網(wǎng)絡流量造成妨礙。

8. 在獲得副本之后，這些副本會通過一個過濾器以便只保存電子郵件數(shù)據(jù)包。程序根據(jù)數(shù)據(jù)包的協(xié)議來確定數(shù)據(jù)包的內(nèi)容。例如，所有電子郵件數(shù)據(jù)包都使用簡單郵件傳輸協(xié)議（SMTP）。

9. 獲得的電子郵件數(shù)據(jù)包保存在Jaz磁盤中。
   

10. FBI探員每天（或每兩天）拜訪ISP一次，然后換上新的Jaz磁盤。探員會將取回的磁盤放在一個容器中，然后貼上日期標簽和封條。如果封條被打開了，打開它的人就必須簽名，然后再次貼上日期標簽和封條——否則，這個磁盤中的內(nèi)容會被認為是“已經(jīng)受損”的。
    

11. 如果沒有法院的延期許可，監(jiān)聽活動的持續(xù)時間不應超過一個月。完成監(jiān)聽之后，F(xiàn)BI會從ISP處撤出該系統(tǒng)。
    

12. 然后，使用Packeteer和Coolminer對獲得的數(shù)據(jù)進行處理。
    

13. 如果處理結(jié)果提供了足夠的證據(jù)，F(xiàn)BI可以在案件處理過程中對疑犯使用這些證據(jù)。
    

上面的例子展示了該系統(tǒng)如何識別要進行存儲的數(shù)據(jù)包。

carnivore引發(fā)的擔憂

FBI可以因為某些特殊的理由而使用Carnivore，尤其是懷疑某人從事以下活動的時候，F(xiàn)BI會請求法院命令以使用Carnivore：

• 恐怖活動
• 兒童色情/剝削
• 間諜
• 信息戰(zhàn)
• 欺詐

但是社會各方擔心會由此引發(fā)許多嚴重的問題，其中包括：

• 隱私保護——許多人將Carnivore視為對隱私的嚴重侵犯。
  由于確實存在著濫用的可能，因此，電子通信隱私法案（ECPA）為所有類型的電子通信提供了對隱私的法律保護。任何形式的電子監(jiān)聽都需要獲得法院的許可，并且必須出示疑犯正在從事犯罪活動的有力證據(jù)。因此，無論以何種方式使用Carnivore，都必須遵守ECPA，否則便是非法的，并且有可能被視為違反憲法的行為。
  
  

• 管理控制——很多人都相信Carnivore是一個龐大的系統(tǒng)，美國政府可以通過它控制互聯(lián)網(wǎng)并對互聯(lián)網(wǎng)的使用進行控制。
  真的做到這一點需要建立龐大復雜的基礎結(jié)構(gòu)——FBI需要在所有ISP處布置Carnivore系統(tǒng)，包括所有私有、商用和教育用途的ISP。盡管從理論上說，這對于在美國國內(nèi)運營的所有ISP來說是可能的，但是仍然沒有辦法控制那些在美國管轄范圍以外運營的ISP，而且任何類似的舉措都會面臨來自社會各方的強烈反對。
  

• 言論自由——有些人認為Carnivore會監(jiān)視通過ISP傳遞的所有內(nèi)容，而且會查找諸如“炸彈”或“暗殺”之類的關鍵詞。
  任何數(shù)據(jù)包嗅探器都設置為只查找特定模式的字符或數(shù)據(jù)。而且，如果沒有一定的把握，F(xiàn)BI也沒有理由監(jiān)視您的在線活動，否則便會嚴重違反ECPA以及憲法賦予您的言論自由權(quán)利。
  

• Echelon——這是一個謠傳由國家安全局（NSA）開發(fā)的秘密網(wǎng)絡，據(jù)說旨在監(jiān)測和捕獲跨國境傳輸且包含某些關鍵詞（例如“炸彈”或“暗殺”）的數(shù)據(jù)包。
  但事實上并沒有任何可靠的證據(jù)表明Echelon的確存在。許多人將這個謠傳的系統(tǒng)和Carnivore系統(tǒng)弄混了。
  
  所有這些擔心都使FBI部署Carnivore的工作步履維艱。FBI拒絕披露Carnivore的源代碼和其他某些技術(shù)信息，而這更加劇了人們的疑慮和擔心。但是無論如何，只要在ECPA的約束和原則之下使用它，在與犯罪分子的斗爭中Carnivore始終都是一件強有力的武器。

[責任編輯：小敏]