Carnivore網(wǎng)絡(luò)監(jiān)視軟件的工作原理

Carnivore工作原理

您可能聽說過Carnivore，它是由美國聯(lián)邦調(diào)查局（FBI）開發(fā)的一個(gè)有爭議的程序，能夠讓該機(jī)構(gòu)監(jiān)視犯罪嫌疑人的網(wǎng)絡(luò)/電子郵件活動(dòng)。對(duì)于許多人來說，它就像是喬治?奧威爾的小說《1984》中所述故事的恐怖再現(xiàn)。雖然FBI在2005年1月因購買了商業(yè)竊聽軟件而放棄了對(duì)Carnivore的使用，但是人們對(duì)這個(gè)一度延續(xù)了FBI在計(jì)算機(jī)通信監(jiān)視領(lǐng)域特殊影響力的程序的結(jié)構(gòu)和應(yīng)用仍然有著強(qiáng)烈的興趣。

Carnivore究竟是什么？它來自哪里？它是怎樣工作的？它的目的是什么？在本文中，您將會(huì)了解到這些問題的答案以及其他更多信息！

Carnivore的發(fā)展歷程

Carnivore是FBI使用的第三代網(wǎng)絡(luò)監(jiān)視軟件。盡管第一個(gè)版本的信息從來沒有向外界披露過，但是很多人相信它實(shí)際上就是市面上銷售的名為Etherpeek的商業(yè)程序。

1997年，F(xiàn)BI部署了第二代程序Omnivore。根據(jù)FBI發(fā)表的信息，Omnivore的目的在于審查特定互聯(lián)網(wǎng)服務(wù)提供商(ISP)網(wǎng)絡(luò)上的電子郵件流量，并捕獲來自目標(biāo)來源的電子郵件，然后將郵件保存到磁帶備份驅(qū)動(dòng)器中或?qū)崟r(shí)打印出來。Omnivore于1999年末停用，因?yàn)镕BI有了更完善的系統(tǒng)——DragonWare Suite，這個(gè)系統(tǒng)允許FBI重新構(gòu)造出電子郵件和下載的文件，它甚至可以重新構(gòu)造網(wǎng)頁。

DragonWare包含三個(gè)部分：

• Carnivore——個(gè)基于Windows NT/2000的系統(tǒng)，可用來捕獲信息
• Packeteer——沒有任何關(guān)于它的官方信息。但據(jù)推測(cè)，它是一個(gè)用于將數(shù)據(jù)包重新合為完整郵件或網(wǎng)頁的應(yīng)用程序。
  
• Coolminer——沒有任何關(guān)于它的官方信息。但據(jù)推測(cè)，它是一個(gè)用于推斷和分析郵件中數(shù)據(jù)的應(yīng)用程序。

正如您所看到的，官方從未透露過有關(guān)DragonWare Suite的太多信息，甚至從未發(fā)布過有關(guān)Packeteer和Coolminer的任何信息，幾乎也沒有透露過Carnivore的細(xì)節(jié)信息。但是，我們知道Carnivore大致是一個(gè)數(shù)據(jù)包嗅探器，這是一種很常見的技術(shù)，而且應(yīng)用廣泛。

數(shù)據(jù)包嗅探器

多年以來，計(jì)算機(jī)網(wǎng)絡(luò)管理員們一直在使用數(shù)據(jù)包嗅探器監(jiān)視網(wǎng)絡(luò)，執(zhí)行診斷測(cè)試，或者用它來排除網(wǎng)絡(luò)故障。從本質(zhì)上說，數(shù)據(jù)包嗅探器是一種程序，凡是經(jīng)由它所連接的網(wǎng)絡(luò)進(jìn)行傳遞的信息，它都能察覺得到。當(dāng)數(shù)據(jù)流在網(wǎng)絡(luò)上來回傳送時(shí)，它便能夠查看或“嗅探”每個(gè)數(shù)據(jù)包。

通常，計(jì)算機(jī)只查看傳送給該計(jì)算機(jī)的數(shù)據(jù)包，而忽略網(wǎng)絡(luò)上的其它流量。而當(dāng)計(jì)算機(jī)中安裝了數(shù)據(jù)包嗅探器之后，嗅探器的網(wǎng)絡(luò)接口會(huì)設(shè)置為雜收模式。也就是說，它會(huì)查看經(jīng)過的所有數(shù)據(jù)包。流量大小在很大程度上取決于計(jì)算機(jī)在網(wǎng)絡(luò)中的位置。處于網(wǎng)絡(luò)中孤立分支上的客戶端系統(tǒng)只能看到網(wǎng)絡(luò)流量的一小部分，而主要的域服務(wù)器則能看到幾乎所有的流量。

通常我們可以用以下兩種方式之一來設(shè)置數(shù)據(jù)包嗅探器：

• 非過濾——捕獲所有數(shù)據(jù)包
  
• 過濾——只捕獲包含特定數(shù)據(jù)元素的數(shù)據(jù)包
  

包含目標(biāo)數(shù)據(jù)的數(shù)據(jù)包在傳輸時(shí)會(huì)被復(fù)制。程序?qū)⑦@些副本存儲(chǔ)在存儲(chǔ)器中或硬盤驅(qū)動(dòng)器上，體取決于程序的配置方式。然后對(duì)這些副本進(jìn)行仔細(xì)分析以確定其中是否包含特定的信息或圖案。

連接到互聯(lián)網(wǎng)時(shí)，您會(huì)加入一個(gè)由您的ISP負(fù)責(zé)維護(hù)的網(wǎng)絡(luò)。ISP的網(wǎng)絡(luò)再與由其他ISP維護(hù)的其他網(wǎng)絡(luò)進(jìn)行通信，從而形成了互聯(lián)網(wǎng)的基礎(chǔ)。安裝在您的ISP的某一臺(tái)服務(wù)器上的數(shù)據(jù)包嗅探器有可能監(jiān)視您的所有在線活動(dòng)，比如：

• 您訪問過哪些網(wǎng)站
• 您在網(wǎng)站上瀏覽了哪些內(nèi)容
• 您向誰發(fā)送電子郵件
• 您發(fā)送的電子郵件中包含什么內(nèi)容
• 您從網(wǎng)站上下載了哪些內(nèi)容
• 您用到了哪些數(shù)據(jù)流活動(dòng)，如音頻、視頻和網(wǎng)絡(luò)電話
• 誰訪問了您的網(wǎng)站（如果你有網(wǎng)站）

實(shí)際上，許多ISP也使用數(shù)據(jù)包嗅探器作為診斷工具。此外，很多ISP還會(huì)在各自的備份系統(tǒng)中保存數(shù)據(jù)（例如電子郵件）的副本。Carnivore及其姊妹程序是FBI的一個(gè)有爭議的舉措，但是它們并不是新技術(shù)。

Carnivore的工作過程

現(xiàn)在您已經(jīng)對(duì)Carnivore的概念有了一點(diǎn)了解，下面讓我們看看它是怎樣工作的：

1. FBI可以合理地懷疑某人正在從事犯罪活動(dòng)，并請(qǐng)求法院允許其查看嫌疑人的網(wǎng)絡(luò)活動(dòng)。
   
2. 法院會(huì)允許FBI僅對(duì)電子郵件通信進(jìn)行全面的內(nèi)容竊聽，并簽發(fā)相應(yīng)的許可令。

   “內(nèi)容竊聽”是在電話監(jiān)聽中使用的一個(gè)術(shù)語，意味著可以捕獲和使用數(shù)據(jù)包中的所有數(shù)據(jù)。另一種竊聽是捕獲追蹤，即FBI只能捕獲目的地信息（例如郵件的接收方或者嫌疑人正在訪問的網(wǎng)站地址）。捕獲追蹤的反向形式稱作圍欄記錄，它跟蹤發(fā)送給嫌疑人的電子郵件來自何處，或者跟蹤嫌疑人網(wǎng)站的訪問者來自何方。

   
   
3. FBI聯(lián)系嫌疑人的ISP并請(qǐng)求獲得嫌疑人網(wǎng)絡(luò)活動(dòng)的備份文件副本。
   

4. ISP的備份中沒有客戶的活動(dòng)數(shù)據(jù)。
   

5. FBI在ISP處安裝一臺(tái)Carnivore計(jì)算機(jī)來監(jiān)視疑犯的活動(dòng)。該計(jì)算機(jī)中包含：
   
   • 一個(gè)奔騰III Windows NT/2000系統(tǒng)，配備128MB的RAM
   • 一個(gè)商業(yè)通信軟件程序
     
   • 一個(gè)自定義C++程序，它與上述商業(yè)程序配合工作，以提供數(shù)據(jù)包嗅探和過濾功能
     某種類型的物理防范系統(tǒng)，需要特殊的密碼才能進(jìn)入此計(jì)算機(jī)（保證除FBI之外的任何人都無法實(shí)際訪問Carnivore系統(tǒng)）
     
   • 一臺(tái)網(wǎng)絡(luò)隔離設(shè)備，使得Carnivore系統(tǒng)對(duì)于網(wǎng)絡(luò)上的其他人是隱身的（防止任何人從另一臺(tái)計(jì)算機(jī)上侵入系統(tǒng)）
   • 一個(gè)2GB的Iomega Jaz驅(qū)動(dòng)器，用于存儲(chǔ)捕獲到的數(shù)據(jù)（該Jaz驅(qū)動(dòng)器使用2GB的抽取式磁盤，并且可以像軟盤一樣很容易地?fù)Q上新磁盤。）

6. FBI使用疑犯的IP地址配置Carnivore軟件，以便Carnivore只會(huì)捕獲來自這個(gè)特定地址的數(shù)據(jù)包。而忽略掉所有其他數(shù)據(jù)包。
   

7. Carnivore會(huì)復(fù)制來自疑犯系統(tǒng)的所有數(shù)據(jù)包，并且不會(huì)對(duì)網(wǎng)絡(luò)流量造成妨礙。

8. 在獲得副本之后，這些副本會(huì)通過一個(gè)過濾器以便只保存電子郵件數(shù)據(jù)包。程序根據(jù)數(shù)據(jù)包的協(xié)議來確定數(shù)據(jù)包的內(nèi)容。例如，所有電子郵件數(shù)據(jù)包都使用簡單郵件傳輸協(xié)議（SMTP）。

9. 獲得的電子郵件數(shù)據(jù)包保存在Jaz磁盤中。
   

10. FBI探員每天（或每兩天）拜訪ISP一次，然后換上新的Jaz磁盤。探員會(huì)將取回的磁盤放在一個(gè)容器中，然后貼上日期標(biāo)簽和封條。如果封條被打開了，打開它的人就必須簽名，然后再次貼上日期標(biāo)簽和封條——否則，這個(gè)磁盤中的內(nèi)容會(huì)被認(rèn)為是“已經(jīng)受損”的。
    

11. 如果沒有法院的延期許可，監(jiān)聽活動(dòng)的持續(xù)時(shí)間不應(yīng)超過一個(gè)月。完成監(jiān)聽之后，F(xiàn)BI會(huì)從ISP處撤出該系統(tǒng)。
    

12. 然后，使用Packeteer和Coolminer對(duì)獲得的數(shù)據(jù)進(jìn)行處理。
    

13. 如果處理結(jié)果提供了足夠的證據(jù)，F(xiàn)BI可以在案件處理過程中對(duì)疑犯使用這些證據(jù)。
    

上面的例子展示了該系統(tǒng)如何識(shí)別要進(jìn)行存儲(chǔ)的數(shù)據(jù)包。

carnivore引發(fā)的擔(dān)憂

FBI可以因?yàn)槟承┨厥獾睦碛啥褂肅arnivore，尤其是懷疑某人從事以下活動(dòng)的時(shí)候，F(xiàn)BI會(huì)請(qǐng)求法院命令以使用Carnivore：

• 恐怖活動(dòng)
• 兒童色情/剝削
• 間諜
• 信息戰(zhàn)
• 欺詐

但是社會(huì)各方擔(dān)心會(huì)由此引發(fā)許多嚴(yán)重的問題，其中包括：

• 隱私保護(hù)——許多人將Carnivore視為對(duì)隱私的嚴(yán)重侵犯。
  由于確實(shí)存在著濫用的可能，因此，電子通信隱私法案（ECPA）為所有類型的電子通信提供了對(duì)隱私的法律保護(hù)。任何形式的電子監(jiān)聽都需要獲得法院的許可，并且必須出示疑犯正在從事犯罪活動(dòng)的有力證據(jù)。因此，無論以何種方式使用Carnivore，都必須遵守ECPA，否則便是非法的，并且有可能被視為違反憲法的行為。
  
  

• 管理控制——很多人都相信Carnivore是一個(gè)龐大的系統(tǒng)，美國政府可以通過它控制互聯(lián)網(wǎng)并對(duì)互聯(lián)網(wǎng)的使用進(jìn)行控制。
  真的做到這一點(diǎn)需要建立龐大復(fù)雜的基礎(chǔ)結(jié)構(gòu)——FBI需要在所有ISP處布置Carnivore系統(tǒng)，包括所有私有、商用和教育用途的ISP。盡管從理論上說，這對(duì)于在美國國內(nèi)運(yùn)營的所有ISP來說是可能的，但是仍然沒有辦法控制那些在美國管轄范圍以外運(yùn)營的ISP，而且任何類似的舉措都會(huì)面臨來自社會(huì)各方的強(qiáng)烈反對(duì)。
  

• 言論自由——有些人認(rèn)為Carnivore會(huì)監(jiān)視通過ISP傳遞的所有內(nèi)容，而且會(huì)查找諸如“炸彈”或“暗殺”之類的關(guān)鍵詞。
  任何數(shù)據(jù)包嗅探器都設(shè)置為只查找特定模式的字符或數(shù)據(jù)。而且，如果沒有一定的把握，F(xiàn)BI也沒有理由監(jiān)視您的在線活動(dòng)，否則便會(huì)嚴(yán)重違反ECPA以及憲法賦予您的言論自由權(quán)利。
  

• Echelon——這是一個(gè)謠傳由國家安全局（NSA）開發(fā)的秘密網(wǎng)絡(luò)，據(jù)說旨在監(jiān)測(cè)和捕獲跨國境傳輸且包含某些關(guān)鍵詞（例如“炸彈”或“暗殺”）的數(shù)據(jù)包。
  但事實(shí)上并沒有任何可靠的證據(jù)表明Echelon的確存在。許多人將這個(gè)謠傳的系統(tǒng)和Carnivore系統(tǒng)弄混了。
  
  所有這些擔(dān)心都使FBI部署Carnivore的工作步履維艱。FBI拒絕披露Carnivore的源代碼和其他某些技術(shù)信息，而這更加劇了人們的疑慮和擔(dān)心。但是無論如何，只要在ECPA的約束和原則之下使用它，在與犯罪分子的斗爭中Carnivore始終都是一件強(qiáng)有力的武器。

[責(zé)任編輯：小敏]