Python3实现ICMP远控后门(中)之“嗅探”黑科技

最新推荐文章于 2020-05-15 14:25:12 发布
最新推荐文章于 2020-05-15 14:25:12 发布
阅读量1.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiye_/article/details/80544342
版权


ICMP后门

前言

 

第一篇:Python3实现ICMP远控后门(上)

第二篇:Python3实现ICMP远控后门(上)_补充篇

 

在上两篇文章中,详细讲解了ICMP协议,同时实现了一个具备完整功能的ping工具,完整的代码发布在https://github.com/qiyeboy/LuLunZi/blob/master/NetWork/ping.py中。本次讲的是嗅探,为什么要讲嗅探呢?和ICMP后门有什么关系呢?本篇的干货有点多。。。

 

第一节 ICMP后门结构    

设计的ICMP后门采用的是典型的C/S结构,分为客户端和服务端,根据客户端和服务端的位置又分为正向连接和反向连接。对于TCP和UDP后门来说,正向和反向连接是有很大区别的,反向连接的目的之一就是为了规避正向连接时防火墙拦截端口绑定的问题。下面先讲一下正向连接和反向连接的概念。早期采用的是正向连接,现在更常见的是反向连接。

正向连接

 

 

 

 

正向连接时,server位于受控端,拥有公网ip,同时监听端口,等待连接。正向连接为什么逐渐被淘汰了呢?有几点原因,首先受控端的server程序需要绑定端口,容易被主机上的防火墙拦截发现,例如下图的情景。

 

 

接着是由于随着连接的控制端增多,受控端负载过大,易被发现,而且不适合大规模控制。最后是假如受控端是在内网中,正向连接就失去作用。

 

反向连接

 

 

反向连接就很好的规避了正向连接中的问题,受控端可以有公网ip,也可以没有,需要控制端拥有一个公网的主机即可,一般都是用VPS。

ICMP协议和TCP,UDP协议有很大的区别,ICMP没有端口的概念,就是说它不是通过端口来识别ICMP发送与接收进程的,也就没有端口绑定被拦截的问题,也避开了通过端口反查进程的检测手段

 

正是ICMP协议没有端口的概念,也就无法直接建立两台主机上ICMP应用程序的通信,记住我说的是应用程序。大家肯定会疑问ping不就可以吗?其实ping本质上是位于系统内核。下面通过一张图来说明操作系统对icmp的处理。

 

 

 

假如用我写的ping.py程序,在受控端ping控制端,ICMP请求包通过网络传到控制端,在控制端的系统内核中,就直接生成ICMP响应返回给受控端的ping.py,根本不会由控制端的ping.py响应。也就是说ping.py本质上是ICMP协议的客户端,而不是服务端,服务端始终是主机的系统内核来完成了。

为难的地方也就出现了?服务端不受控制,那我们如何完成受控端应用程序和控制端应用程序的通信呢?其实不一定让两者直接通信,可以间接通信,只要受控端和控制端知道互相发送的内容不就可以了,这就是下一节的知识点

 

第二节 “嗅探”黑科技

 

嗅探不知道大家熟不熟悉?大家肯定用过wireshark抓包吧,这就是嗅探的典型应用。虽然受控端发来的ping包,无法直接发给控制端的ping.py,但是控制端可以通过嗅探的方式抓取传输过来的ping包,获取里面的内容,然后主动发响应包给受控端,同理受控端也是如此。ICMP后门的通信结构就变成了下图所示的样子。

 

 

windows和linux平台嗅探ICMP的方式和编程内容差距有点大,linux相对简单。

windows平台嗅探ICMP

以嗅探ICMP数据包为例,代码如下,请详细看注释哈。

HOST="10.170.19.126"

# 创建原始套接字,然后绑定在公开接口上。在windows上使用ip协议


if os.name == "nt":

    socket_protocol = socket.IPPROTO_IP

else:

    socket_protocol = socket.IPPROTO_ICMP

rawSocket = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket_protocol)



# 该选项可以让多个socket对象绑定到相同的地址和端口上

rawSocket.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)



我们调用bind方法,来绑定socket

rawSocket.bind((HOST, 0))



#通过setsockopt函数来设置数据保护IP头部,IP头部我们就可以接收到

rawSocket.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)



# 在WIN平台上,需要设置IOCTL以启用混杂模式

if os.name == "nt":

    rawSocket.ioctl(socket.SIO_RCVALL, socket.RCVALL_ON)

  

在上述代码中,我们主要说的是bind,bind HOST其实绑定的是HOST所对应的网卡,一台电脑其实可以多个网卡的,包括虚拟的。在windows中,需要我们将网卡设置为混杂模式,这样就可以接受到所有经过本网卡的数据包。至于混杂模式的解释,百度百科中有。

 

 

 经过上面的设置,raw socket就可以嗅探了,下面把嗅探的内容打印出来,代码如下:

while True:

        pkt = rawSocket.recvfrom(2048)

        print(pkt)

  

通过管理员权限运行这个程序,ping一下自己的ip,看到ICMP报文被抓住了。

 

 

Linux平台嗅探 ICMP

嗅探ICMP数据包,代码如下,请详细看注释哈。

 

#设置监听ICMP数据包

rawSocket = socket.socket(socket.AF_INET,socket.SOCK_RAW,socket.IPPROTO_ICMP)



#通过setsockopt函数来设置数据保护IP头部,IP头部我们就可以接收到

rawSocket.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)

while True:

            pkt= rawSocket.recvfrom(2048)

            print(pkt)

  

最后

如果觉得本文还可以,一定记得推荐哟。欢迎关注我的公众号。

 

回复【1】:领取 Python数据分析 教程大礼包
回复【2】:领取 Python Flask 全套教程 
回复【3】:领取 机器学习 全套教程 

qiye_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python库 | icmplib-1.2.2-py3-none-any.whl
02-16
python库,解压后可用。 资源全名:icmplib-1.2.2-py3-none-any.whl
基于python的端口扫描_python基于socket函数实现端口扫描
weixin_39881575的博客
12-09 344
本文实例为大家分享了python基于socket实现端口扫描的具体代码,供大家参考,具体内容如下自学Python一段时间,写个端口扫描器练练手。有什么不足之处,请见谅这是基于socket函数对端口进行端口扫描所以,首先要导入socket模块from socket import *其次,通过正侧表达式来判断输入的是不是IP地址compile_ip = re.compile('^(1\d{2}|2[0...
Socket网络编程---利用SOCK_RAW实现ping命令功能
0xff
04-28 3612
一、SOCK_RAW SOCK_RAW(原始套接字)是一种底层的SOCKET编程接口,它在系统核心实现,需要用户自行构造数据报文,编程比较复杂。 然而,原始套接字能做什么呢? 首先来说,普通的套接字无法处理ICMP、IGMP等网络报文,而SOCK_RAW可以;其次,SOCK_RAW也可以处理特殊的IPv4报文;此外,利用原始套接字,可以通过IP_HDRINCL套接字选项由用户构造IP头。总体来说,...
socket()的一些参数
Armstrong的专栏
06-11 5051
<br />原文链接:http://nhp19850407.blog.163.com/blog/static/241587520104129953564/sock_raw(注意一定要在root下使用)原始套接字编程可以接收到本机网卡上的数据帧或者数据包,对与监听网络的流量和分析是很有作用的.一共可以有3种方式创建这种socket 1.socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)发送接收ip数据包,不能用IPPROTO_IP,因
Python网络管理
weixin_45636702的博客
05-15 2358
网络 网络可以将多台主机进行连接,使得网络的主机可以相互通信。在网络通信,使用最广泛的通信协议是TCP/IP协议簇,因此,Python也提供了相应的应用程序接口(API), 使得工程师可以在Python程序创建网络连接、进行网络通信。 计算机之间可以相互通信以后,就开始涉及网络安全问题。现如今网络情况复杂安全环境恶劣。 2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库“永恒之蓝”攻击程序发起的网络攻击事件。
vc++实现无进程无DLL无硬盘文件无启动项的ICMP后门后门程序
尹成的技术博客
03-29 9679
客户端 #include #include #include #pragma comment(lib,"ws2_32.lib")char SendMsg[256];/* The IP header */typedef struct iphdr {unsigned int h_len:4; //4位首部长度unsigned int version:4; //IP版本号,4表示I
icmp后门的编写
liujiayu2的专栏
03-15 1845
1 关于icmp的介绍      ICMP 的全称为(Internet Control Message Protocal)。它是一种差错报告机制,可以被用来向目的主机报告或者请求各种网络信息。这些信息包括回送应答(ping),目的地不可达,源站抑制,回送请求,掩码请求和掩码应答,还有是路由跟踪等。这些信息是用ICMP数据报报头一个字节长度的类型码来区别的。     ICMP协议有一个
linux安装ICMP shell(icmp后门
weixin_34006468的博客
06-10 436
一:安装ICMP SHELL 首先下载ish-v0.2.tar.gz程序,下载地址:http://cdnetworks-kr-1.dl.sourceforge.net/project/icmpshell/ish/v0.2/ish-v0.2.tar.gz,或者可以到附件去下载。 wgethttp://cdnetworks-kr-1.dl.sourc...
ping探测工具
09-27
ping探测工具,用于测试网络存活IP,亲测软件可用。
tcping-端口嗅探
08-27
测试端口链接,通过tcp协议查询到对端服务器的开放情况
python3 多线程种子嗅探
09-26
基于网上python2版本改写,多线程,实现了KRPC协议的主要功能,代码简洁,最终打印的是磁力链接,我只打印announce_peer的结果,实话讲自己运行几天发现嗅探到的不多,如果也打印get_peers提供的资源,则获取的磁力...
CDDHTsniffer python3 基于协程的种子嗅探
09-26
基于网上python2版本改写,使用gevent模块实现协程,实现了KRPC协议的主要功能,最终打印的是磁力链接,我只打印announce_peer的结果,实话讲自己运行几天发现嗅探到的不多,如果也打印get_peers提供的资源,则获取...
python-sniffer:python简单数据包嗅探器的简单实现
06-23
Python嗅探器 在 python 简单的数据包嗅探器的简单实现。 适用于 Windows 和 Linux(可能还有其他 POSIX 系统,但未经测试)。
基于Python实现的DHT嗅探器.zip
06-15
资源包含文件:开发过程文档word+代码 详细介绍参考:https://blog.csdn.net/sheziqiong/article/details/125302882
基于C语言+Python实现的网络嗅探器设计.zip
10-23
资源包含文件:课程论文报告word+项目源码+项目截图 流量数据包的抓取与分析,对各层协议的具体分析,能够捕获使用HTTP、FTP、TELNET协议传输的用户名和密码。详细介绍参考:...
满意度调查行·知dr.pptx
04-25
满意度调查行·知dr.pptx
基于B2C的网上拍卖系统_秒杀与竞价.zip
最新发布
04-25
基于B2C的网上拍卖系统主要用于帮助人们应用互联网方便快捷买到自己所意的商品,并参与到秒杀与竞拍当。 主要功能包括: 1.前台模块 (1)普通用户登录/注册。 (2)分类查看商品(普通商品与促销商品) (3)查看商品详细信息 (4)查看秒杀商品 (5)查看竞拍商品 (6)将商品加入购物车 (7)购买,结算功能 (8)留言 2.后台模块 (1)修改密码 (2)商品管理: -- 编辑/删除 -- 设置/取消促销 (3)秒杀商品:设置/取消秒杀 (4)竞拍商品:设置/取消竞拍 (5)订单管理:查看订单 (5)留言管理:查看/删除留言 项目访问路径: 前台:http://localhost:8080/sale 后台:http://localhost:8080/sale/user/adminlogin
用python语言实现网络嗅探检测syn flood攻击
06-08
可以使用 Python 的 Scapy 库实现网络嗅探,并检测 SYN Flood 攻击。具体实现步骤如下: 1. 导入 Scapy 库 ```python from scapy.all import * ``` 2. 监听网络数据包,并过滤出 TCP 协议的数据包 ```python def packet_callback(packet): if packet.haslayer(TCP): # 在这里添加检测 SYN Flood 攻击的代码 pass sniff(prn=packet_callback, filter="tcp") ``` 3. 检测 SYN Flood 攻击 SYN Flood 攻击是指攻击者向目标主机发送大量的 SYN 报文,目的是占用目标主机的资源。因此,我们可以通过统计某个 IP 地址发送的 SYN 报文数量,来判断是否有 SYN Flood 攻击。 具体实现步骤如下: - 初始化一个字典,用于存储每个 IP 地址发送的 SYN 报文数量: ```python syn_packets = {} ``` - 每当收到一个 SYN 报文时,判断该报文是否为 SYN 报文,并统计该报文所属 IP 地址的 SYN 报文数量: ```python if packet[TCP].flags == "S": src_ip = packet[IP].src if src_ip not in syn_packets: syn_packets[src_ip] = 0 syn_packets[src_ip] += 1 ``` - 每隔一段时间(比如 10 秒),遍历字典的所有 IP 地址,判断是否有 SYN Flood 攻击: ```python for src_ip, count in syn_packets.items(): if count > SYN_THRESHOLD: print(f"{src_ip} 发送了 {count} 个 SYN 报文,可能存在 SYN Flood 攻击!") ``` 完整代码如下: ```python from scapy.all import * import time # 设置 SYN Flood 阈值 SYN_THRESHOLD = 100 # 初始化一个字典,用于存储每个 IP 地址发送的 SYN 报文数量 syn_packets = {} # 处理每个数据包的回调函数 def packet_callback(packet): if packet.haslayer(TCP): # 判断是否为 SYN 报文 if packet[TCP].flags == "S": src_ip = packet[IP].src # 统计该 IP 地址发送的 SYN 报文数量 if src_ip not in syn_packets: syn_packets[src_ip] = 0 syn_packets[src_ip] += 1 # 每隔一段时间检测是否存在 SYN Flood 攻击 if int(time.time()) % 10 == 0: for src_ip, count in syn_packets.items(): if count > SYN_THRESHOLD: print(f"{src_ip} 发送了 {count} 个 SYN 报文,可能存在 SYN Flood 攻击!") # 监听网络数据包 sniff(prn=packet_callback, filter="tcp") ``` 当检测到 SYN Flood 攻击时,程序将会输出相应的警告信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值