【网络安全】ICMP隐蔽隧道通信与检测

最新推荐文章于 2024-08-16 09:11:28 发布
最新推荐文章于 2024-08-16 09:11:28 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: 网络安全 文章标签: web安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sun_study/article/details/128719955
版权
ICMP隐蔽隧道利用ICMP协议的特性进行数据传输,避开防火墙限制,具有高隐蔽性但稳定性差、带宽低。icmptunnel工具可建立ICMP隧道,绕过对特定端口的封锁。检测方法包括分析异常ICMP流量和检查协议标签。文章还提供了设置与使用ICMP隧道的快速入门指南。
摘要由CSDN通过智能技术生成

ICMP隐蔽隧道通信与检测

技术背景

在一些网络环境中,如果攻击者使用各类上层隧道(例如HTTP隧道,DNS隧道,正反向端口转发等)进行操作均失败。那么可以尝试使用ICMP建立隧道,ICMP协议不需要端口的开放,因为其基于IP工作的,所以我们将其归结到网络层,ICMP消息最为常见的就是ping命令的回复,将TCP/UDP数据包封装到ICMP的ping数据包中,从而穿过防火墙**(通常防火墙是不会屏蔽ping数据包的)**

技术原理

由于ICMP报文自身可以携带数据,而且ICMP报文是由系统内核处理的,不占用任何端口,因此具有很高的隐蔽性。
通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文,把数据隐藏在ICMP数据包包头的选项域中,利用ping命令建立隐蔽通道。
进行隐蔽传输的时候,防火墙内部主机运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,被攻击者接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。

在这里插入图片描述

优缺点

  • 优点:防火墙对ICMP_ECHO数据包是放行的,并且内部主机不会检查ICMP数据包所携带的数据内容,隐蔽性高。
  • 缺点:ICMP隐蔽传输是无连接的,传输不是很稳定,而且隐蔽通道的带宽很低。利用隧道传输时,需要接触更低层次的协议 ,这就需要高级用户权限。

icmptunnel

服务器暴露在外网上,可以访问外部网络,但是服务上有防火墙,拒绝了敏感端口的连接(比如22端口,3389端口等)。使用icmpsh的目的就是为了能够绕过对敏感端口的限制,此时ICMP作为获取反向shell的通道,进行反向shell。

 #获取icmptunnel
  git clone https://github.com/jamesbarlow/icmptunnel

实验设置
(1)两台虚拟机:攻击者A 服务器B
(2)两台虚拟机安装icmptunnel,建立虚拟网卡tun0。设置ip分别为10.0.0.1和10.0.0.2。(参考readme中的quickstart操作建立连接)
可以从攻击机ssh连接目标机。在不同网卡(eth0和tun)抓包,可以看到所有TCP流量都被装进了ICMP流量中。

但利用iptables等防火墙配置端口规则仍会导致失效,如何理解绕过防火墙仍有待验证。

检测思路

1、检测同一源的ICMP数据包的流量。一个ping命令每秒发送2个数包,而使用ICMP隧道的机器会发送很多ICMP数据包。
2、检查ICMP数据包的协议与标签。例如,icmptunnel会在所有的ICMP payload前添加”TUNL”标记来识别隧道。tunl包请求包和响应包内容不一致,正常icmp包应一致。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

Quickstart

First, disable ICMP echo responses on both the client and server. This prevents the kernel from responding to ping packets itself.

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

On the server-side, start icmptunnel in server mode, and assign an IP address to the new tunnel interface.

# ./icmptunnel –s
opened tunnel device: tun0
(ctrl-z)
bg
/sbin/ifconfig tun0 10.0.0.1 netmask 255.255.255.0

On the client-side, point icmptunnel at the server, and assign an IP address.

# ./icmptunnel <server>
(./icmptunnel 192.168.0.103)
opened tunnel device: tun0
connection established.
(ctrl-z)
bg
/sbin/ifconfig tun0 10.0.0.2 netmask 255.255.255.0

At this point, you should have a functioning point-to-point tunnel via ICMP packets. The server side is 10.0.0.1, and the client-side is 10.0.0.2. On the client, try connecting to the server via SSH:

# ssh root@10.0.0.1
Password:

To use the remote server as an encrypted SOCKS proxy:

# ssh -D 8080 -N root@10.0.0.1
Password:

Now point your web browser at the local SOCKS server.

参考资料:

ICMP隧道通信原理与通信特征
浅析Icmp原理及隐蔽攻击的方式
内网隧道之icmptunnel

Tyfrank
关注
专栏目录
隐秘通信-使用PingTunnel搭建ICMP隧道实验
帮助别人等于帮助自己 ——MXi4oyu
08-09 769
Internet Control Message Protocol Internet控制报文协议,简称ICMP协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。CMP协议主要提供两种功能,一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。
ICMP隐藏通信隧道技术
lonmar的博客
08-04 2373
文章目录简介icmpshPingTunnel实验一实验二Icmptunnel 简介 ICMP隧道简单实用,是一个比较特殊的协议.在一般的通信里,两台主机要进行通信必须开放端口.而ICMP协议就不需要. 最常见的ICMP协议就是ping命令的回复 常见的ICMP隧道工具有icmpsh,PingTunnel,icmptunnel,powershell icmpICMP隧道搭建条件: 目标主机必须支持ICMP协议的进出 探测ICMP协议是否支持: 目标主机与攻击主机能够相互PING通即可 icmpsh i
基于ICMP协议的网络隐蔽通道技术的分析
03-21
分析了几种基于ICMP协议的网络隐蔽通道技术
内网渗透之icmp隧道传输
最新发布
qq_55894976的博客
08-16 896
为什么要建立隧道在实际的网络中,通常会通过各种边界设备·软/硬件防火墙、入侵检测系统来检查对外连接的情况,如果发现异常,会对通信进行阻断。​# 什么是隧道就是一种绕过端口屏蔽的方式,防火墙两端的数据包通过防火墙所允许的数据包类型或者端口进行封装,然后穿过防火墙,与对方通信,当被封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应的服务器上​#常见的隧道列举如下:网络层:ipv6隧道 icmp隧道 gre隧道传输层:TCP隧道 UDP隧道 常规端口转发。
ICMP隐蔽隧道工具--pingtunnel流量特征检测分析
qq_36259703的博客
01-24 1831
通过伪造ping,把tcp/udp/sock5流量通过远程服务器转发到目的服务器上。用于突破某些运营商封锁TCP/UDP流量。
AI安全初探——利用深度学习检测DNS隐蔽通道
weixin_34319374的博客
11-16 354
AI安全初探——利用深度学习检测DNS隐蔽通道 目录 AI安全初探——利用深度学习检测DNS隐蔽通道 1、DNS隐蔽通道简介 2、 算法前的准备工作——数据采集 3、 利用深度学习进行DNS隐蔽通道检测 4、 验证XShell的检测效果 5、 结语 1、DNS隐蔽通道简介 DNS通道是隐蔽通道的一种,通过将其他协议封装在DNS协议中进行数据传输...
ICMP隐蔽隧道工具--icmptunnel流量特征检测分析
qq_36259703的博客
01-24 1039
icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。
2020内网安全攻防:隐蔽通信隧道与防御策略
对于网络层的ICMP隧道,IPv6隧道因为其相对隐蔽性而成为攻击者的选择,但许多设备对IPv6通信有保护措施。作者提到的ICMPSH项目提供了一种新型的ICMP隧道方法,但需要注意的是,攻击者可能会利用ICMP数据包的异常数量...
浅析Icmp原理及隐蔽攻击的方式
MSB_WLAQ的博客
10-13 2621
一、ICMP隧道技术解析 1.icmp协议 Internet Control Message Protocol Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用 ICMP协议主要提供两种功能, 一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。常见的差.
第三章——隐藏通信隧道技术
willow_liang的博客
12-22 3251
网络隧道 1.pingtunnel 1.在web边界服务器上下载并运行ptunnel http://freshmeat.sourceforge.net/projects/ptunnel ptunnel -x pass -×指定icmp隧道连接验证密码 -lp指定要监听的本地tcp端口 -da指定要转发到的机器的ip地址 -dp指定要转发到的机器的tcp端口 -p指定icmp隧道另一端机器的ip地址 2.在vps上运行ptunnel ptunnel -p 192...
2020内网安全攻防实战:ICMP隧道与环境配置详解
这一章节深入剖析了ICMP隧道的实际应用和操作技巧,对于网络安全专业人员理解和防御此类攻击具有很高的价值。学习者不仅需要理解ICMP协议的工作原理,还要掌握如何灵活运用它进行攻击或防护措施,以确保内网安全
基于ICMP隐蔽传输/隐蔽通信代码(包含实验报告+完整说明)可直接运行
05-11
使用Python编写的,基于ICMP隐蔽传输的实验代码,包含第三方依赖库以及详细的配置过程,包含详细的实验报告,有创新点,可实现Windows到Windows、Windows到Ubuntu间的隐蔽通信。也可在本地单独测试。
《基于DNS的隐蔽通道流量检测》.pdf
10-31
《基于DNS的隐蔽通道流量检测》,总结了DNS隐蔽隧道通信的一些特征,可以参考这些特征来构建自己的机器学习模型以通过机器学习检测网络内部的DNS隐蔽隧道通信,防范网络间谍程序或APT(高级可持续性威胁)病毒。个人研究或IDS(入侵检测设备)制造商可以参考
隐蔽通道分析
06-04
介绍了当前的隐蔽通道分析背景以及主要方法,并给出了实例分析如何实现。
ICMP协议测试工具
08-26
本程序采用VC++ 6.0 设计完成,根据ICMP 协议原理设计网络模型和监听线程,对目标主机执行Ping 服务,是学习ICMP 协议的好例子
利用机器学习进行DNS隐蔽通道检测——数据收集,利用iodine进行DNS隐蔽通道样本收集...
weixin_33866037的博客
11-09 398
我们在使用机器学习做DNS隐蔽通道检测的过程中,不得不面临样本收集的问题,没办法,机器学习没有样本真是“巧妇难为无米之炊”啊! 本文简单介绍了DNS隐蔽通道传输工具iodine,并介绍如何从iodine的网络流量中抓取DNS报文生成pcap包,并将其转化为机器学习检测算法所能够识别的文本文件。 1、环境准备和iodine安装 DNS隐蔽通道工具iodin...
ICMP隐蔽隧道工具Pingtunnel搭建隧道(附搭建环境避坑超详细)
huayimy的博客
01-02 2015
服务端(中间跳板机):192.168.19.21(lan区段) & 192.168.203.144(nat模式)提前检查被控机win7的远程连接是否为开启状态,确认开启后,使用windows自带的远程桌面进行连接。在安装PingTunnel前,我们必须先要安装它的运行环境,否则安装失败。一台服务端(linux服务端,用于内网中转,lan区段+nat模式)一台客户端(kali攻击机,lan区段)一台远控机器(win7,lan区段)-da:指定要转发的目标机器的IP。一台靶机(win7,nat模式)
隐藏通信隧道ICMPSH
帅醉了的博客
03-22 751
内网渗透_建立icmp隧道 -t host :要向其发送ping请求的主机ip地址。此选项是必需的! -r:发送一个包含字符串“Test1234”的测试icmp请求,然后退出。这是用来测试连接的。 -d milliseconds:请求之间的延迟(毫秒) -o milliseconds:毫秒响应超时(毫秒)。如果没有及时收到回复,奴隶将增加一个空白计数器。如果计数器达到某个限制,则从机将退出。如果收...
ICMP隧道通信原理与通信特征
蚁景网安学院
12-05 894
ICMP 隧道技术解析 ICMP协议ICMP(InternetControl MessageProtocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在I...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值