【网络安全】ICMP隐蔽隧道通信与检测

最新推荐文章于 2024-04-19 23:58:50 发布
最新推荐文章于 2024-04-19 23:58:50 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: 网络安全 文章标签: web安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sun_study/article/details/128719955
版权

ICMP隐蔽隧道通信与检测

技术背景

在一些网络环境中,如果攻击者使用各类上层隧道(例如HTTP隧道,DNS隧道,正反向端口转发等)进行操作均失败。那么可以尝试使用ICMP建立隧道,ICMP协议不需要端口的开放,因为其基于IP工作的,所以我们将其归结到网络层,ICMP消息最为常见的就是ping命令的回复,将TCP/UDP数据包封装到ICMP的ping数据包中,从而穿过防火墙**(通常防火墙是不会屏蔽ping数据包的)**

技术原理

由于ICMP报文自身可以携带数据,而且ICMP报文是由系统内核处理的,不占用任何端口,因此具有很高的隐蔽性。
通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文,把数据隐藏在ICMP数据包包头的选项域中,利用ping命令建立隐蔽通道。
进行隐蔽传输的时候,防火墙内部主机运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,被攻击者接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。

在这里插入图片描述

优缺点

  • 优点:防火墙对ICMP_ECHO数据包是放行的,并且内部主机不会检查ICMP数据包所携带的数据内容,隐蔽性高。
  • 缺点:ICMP隐蔽传输是无连接的,传输不是很稳定,而且隐蔽通道的带宽很低。利用隧道传输时,需要接触更低层次的协议 ,这就需要高级用户权限。

icmptunnel

服务器暴露在外网上,可以访问外部网络,但是服务上有防火墙,拒绝了敏感端口的连接(比如22端口,3389端口等)。使用icmpsh的目的就是为了能够绕过对敏感端口的限制,此时ICMP作为获取反向shell的通道,进行反向shell。

 #获取icmptunnel
  git clone https://github.com/jamesbarlow/icmptunnel

实验设置
(1)两台虚拟机:攻击者A 服务器B
(2)两台虚拟机安装icmptunnel,建立虚拟网卡tun0。设置ip分别为10.0.0.1和10.0.0.2。(参考readme中的quickstart操作建立连接)
可以从攻击机ssh连接目标机。在不同网卡(eth0和tun)抓包,可以看到所有TCP流量都被装进了ICMP流量中。

但利用iptables等防火墙配置端口规则仍会导致失效,如何理解绕过防火墙仍有待验证。

检测思路

1、检测同一源的ICMP数据包的流量。一个ping命令每秒发送2个数包,而使用ICMP隧道的机器会发送很多ICMP数据包。
2、检查ICMP数据包的协议与标签。例如,icmptunnel会在所有的ICMP payload前添加”TUNL”标记来识别隧道。tunl包请求包和响应包内容不一致,正常icmp包应一致。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

Quickstart

First, disable ICMP echo responses on both the client and server. This prevents the kernel from responding to ping packets itself.

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

On the server-side, start icmptunnel in server mode, and assign an IP address to the new tunnel interface.

# ./icmptunnel –s
opened tunnel device: tun0
(ctrl-z)
bg
/sbin/ifconfig tun0 10.0.0.1 netmask 255.255.255.0

On the client-side, point icmptunnel at the server, and assign an IP address.

# ./icmptunnel <server>
(./icmptunnel 192.168.0.103)
opened tunnel device: tun0
connection established.
(ctrl-z)
bg
/sbin/ifconfig tun0 10.0.0.2 netmask 255.255.255.0

At this point, you should have a functioning point-to-point tunnel via ICMP packets. The server side is 10.0.0.1, and the client-side is 10.0.0.2. On the client, try connecting to the server via SSH:

# ssh root@10.0.0.1
Password:

To use the remote server as an encrypted SOCKS proxy:

# ssh -D 8080 -N root@10.0.0.1
Password:

Now point your web browser at the local SOCKS server.

参考资料:

ICMP隧道通信原理与通信特征
浅析Icmp原理及隐蔽攻击的方式
内网隧道之icmptunnel

Tyfrank
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于ICMP隐蔽传输/隐蔽通信代码(包含实验报告+完整说明)可直接运行
05-11
使用Python编写的,基于ICMP隐蔽传输的实验代码,包含第三方依赖库以及详细的配置过程,包含详细的实验报告,有创新点,可实现Windows到Windows、Windows到Ubuntu间的隐蔽通信。也可在本地单独测试。
ICMP隐蔽隧道工具Pingtunnel搭建隧道(附搭建环境避坑超详细)
huayimy的博客
01-02 1099
服务端(中间跳板机):192.168.19.21(lan区段) & 192.168.203.144(nat模式)提前检查被控机win7的远程连接是否为开启状态,确认开启后,使用windows自带的远程桌面进行连接。在安装PingTunnel前,我们必须先要安装它的运行环境,否则安装失败。一台服务端(linux服务端,用于内网中转,lan区段+nat模式)一台客户端(kali攻击机,lan区段)一台远控机器(win7,lan区段)-da:指定要转发的目标机器的IP。一台靶机(win7,nat模式)
内网渗透系列:内网隧道icmptunnel(DhavalKapil师傅的)
闵行小鱼塘
04-10 2389
本文研究ICMP隧道的一个工具,DhavalKapil师傅的icmptunnel
icmp端口_icmptunnel搭建icmp隧道
weixin_39685762的博客
12-01 648
介绍icmptunnel也是用来搭建icmp隧道的,地址:https://github.com/jamesbarlow/icmptunnel,看它的说明意思是对IP流量进行封装到ICMP包中,这里也看了它参数的说明,没有设置其他协议的参数。也就是说在支持的协议上,可能就是tcp这种,而上篇记录的pingtunnel支持的tcp、udp和sock5,不过这个工具使用感觉还是很舒服的。icm...
ICMP隐蔽隧道工具--icmptunnel流量特征检测分析
qq_36259703的博客
01-24 769
icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。
ICMP隧道检测分析--icmptunnel
shutdown -s -t
09-29 1261
简介 icmptunnel的工作原理是将你的IP流量封装在ICMP echo数据包中,并将其发送到你自己的代理服务器。代理服务器解压缩数据包并转发IP流量。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。IP流量是在ICMP数据包的 "data "字段中发送的。 icmptunnel通过创建一个虚拟的隧道接口来工作。客户端主机上的所有用户流量被路由到icmptunnel在这个接口上监听IP数据包。这些数据包被封装在一个ICMP echo数据包中(即ICMP数据包的payloa
内网渗透系列:内网隧道icmptunnel(jamesbarlow师傅的)
闵行小鱼塘
04-10 1645
本文研究ICMP隧道的一个工具,jamesbarlow师傅的icmptunnel
ICMP隐藏通信隧道技术
lonmar的博客
08-04 2052
文章目录简介icmpshPingTunnel实验一实验二Icmptunnel 简介 ICMP隧道简单实用,是一个比较特殊的协议.在一般的通信里,两台主机要进行通信必须开放端口.而ICMP协议就不需要. 最常见的ICMP协议就是ping命令的回复 常见的ICMP隧道工具有icmpsh,PingTunnel,icmptunnel,powershell icmpICMP隧道搭建条件: 目标主机必须支持ICMP协议的进出 探测ICMP协议是否支持: 目标主机与攻击主机能够相互PING通即可 icmpsh i
内网渗透系列:内网隧道ICMP隧道
闵行小鱼塘
07-06 2797
最近开始研究隧道相关,如前做了个整理——内网渗透系列:内网穿透(隧道)学习,本篇专门来学习ICMP隧道
icmp隧道的利用
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 7875
icmp隧道的利用
【渗透测试】ICMP隧道技术之icmpsh使用(含流量分析)
SunnyCat
09-29 2700
目录一、环境二、工具三、操作1、CentOS72、Win103、反弹成功四、C2流量分析1、正常的icmp流量2、恶意的icmp流量3、C2数据总结 一、环境 Win10:10.95.16.112 CentOS7:10.95.16.103 二、工具 icmpsh python2 三、操作 win10关闭防火墙,病毒检测,不然icmpsh.exe会被自动删除 centOS7安装python2对应的库文件用于支持icmpsh工具 pip2 install impacket 1、CentOS7 sysctl
通信网络中的移动IPv4的安全分析
11-14
下面从安全的角度,对这些机制和协议消息进行分析,指出潜在的安全威胁。  (1)代理发现机制  家乡代理和外地代理每隔一定周期广播代理通告,移动节点收到该消息后,通过检查其内容来判断自己是在家乡链路还是...
基于SVM的ICMP网络存储隐蔽信道检测.pdf
08-14
基于SVM的ICMP网络存储隐蔽信道检测 漏洞案例
ICMP.rar_ICMP通信实现_icmp
09-20
用于单片机实现网络通信.用C8051F完成. 已经验证过.
网络通信安全:防火墙规则配置与优化.pdf
06-23
防火墙规则配置与优化 一、 实验目的 理解等级保护中对访问控制的要求,学习如何配置防火墙访问控制规则,并优化访问控制 规则。 二、 实验软硬件要求 华为ensp 仿真模拟软件。 三、 等级保护2.0 相关要求 应在网络...
网络安全(黑客技术)—2024自学手册
Dasdwer的博客
04-17 1136
很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习导航三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。(文末有福利~)
网络安全之反弹Shell
小飞的博客
04-12 1591
网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
端点安全时刻影响着网络安全,我们应该如何保护
最新发布
dexunjiaqiang的博客
04-19 644
以软件定义、智能主动、贴合业务的产品技术理念,依托SDP、AI、零信任技术架构和世界前茅安全厂商,形成应用安全和抗DDoS两大安全产品系列,一站式解决互联网业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁,同时提高应用性能和可靠性。是网络通信中的一个重要概念,指的是网络通信中的发送或接收信息的设备或节点。在网络架构中,端点可以是网络的边缘设备,如客户端计算机或移动设备,也可以是网络内部的设备,如服务器或中间件。在云服务和分布式计算环境中,端点可能指的是云服务的接入点,或者是分布式系统中的各个节点。
网络安全(黑客技术)—2024自学
TDJYGC的博客
04-17 1317
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
icmp异常流隧道检测
07-22
ICMP异常流隧道检测是一种网络安全技术,用于检测和阻止通过ICMP(Internet Control Message Protocol)协议进行的异常流量或隧道通信ICMP是一种用于在IP网络中传递控制消息的协议,通常用于网络故障排除和错误...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值