ICMP隧道检测分析--icmptunnel

最新推荐文章于 2024-01-24 17:43:04 发布
最新推荐文章于 2024-01-24 17:43:04 发布
阅读量1.4k 收藏 2
点赞数 2
分类专栏: 安全研究 文章标签: tcp/ip icmp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15174755/article/details/118372787
版权

简介

icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的代理服务器。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。

icmptunnel通过创建一个虚拟的隧道接口来工作。客户端主机上的所有用户流量被路由到icmptunnel在这个接口上监听IP数据包。这些数据包被封装在一个ICMP echo数据包中(即ICMP数据包的payload只是原始IP数据包)。这个新产生的ICMP数据包被发送到客户机外,通过受限的互联网连接发送到代理服务器。

代理服务器收到这些ICMP数据包并解压缩原始IP数据包。再进行IP伪装后被重新传送到互联网上。因此,目标相信是代理服务器发出的请求。然后,目标用一个IP数据包回应代理服务器。这又被icmptunnel捕获,封装在一个ICMP回复包中,并发回给客户端。

在客户端,IP数据包被从ICMP回复数据包的payload中解析和注入。用户应用程序从这个虚拟接口读取,从而获得适当的IP数据包。

+--------------+                         +------------+
|              |       ICMP traffic      |            |       IP traffic
|    Client    |  ------------------->   |   Proxy    |   ------------------>
|              |  <-------------------   |   Server   |   <------------------
|              |    through restricted   |            |     proper internet
+--------------+         internet        +------------+

github仓库:https://github.com/DhavalKapil/icmptunnel

安装使用

  • 编译
git clone https://github.com/DhavalKapil/icmptunnel
cd icmptunnel/
make
  • 在服务器端以root权限运行的隧道:
icmptunnel -s 10.0.1.1
  • 在客户端执行route -n,找到你的网关和相应信息:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.100.2    0.0.0.0         UG    0      0        0 ens33
  • 编辑client.sh
  • 用代理服务器的IP替换
  • 用上面的Gateway地址替换
  • 用上面的Iface替换
  • 在客户端,以root权限运行:
icmptunnel -c <server>

现在隧道应该成功运行,客户端应该能够访问互联网。所有流量都将通过 ICMP 隧道进行传输。

分析特征

ICMP TTL的设置一般情况下与主机的操作系统相关,当然也可以手动去修改。

操作系统TTL
UNIX255
Linux64
MS Windows 95/98/NT 3.5132
MS Windows NT 4.0/2000/XP/2003 Server128
FreeBSD 2.1R64
VMS/Multinet64
Windows XP128

在源代码icmp.c中233行可以看到TTL被固定为255,从流量中也可以看到TTL为255。

void prepare_headers(struct iphdr *ip, struct icmphdr *icmp)
{
  ip->version = 4;
  ip->ihl = 5;
  ip->tos = 0;
  ip->id = rand();
  ip->frag_off = 0;
  ip->ttl = 255;
  ip->protocol = IPPROTO_ICMP;

  icmp->code = 0;
  icmp->un.echo.sequence = rand();
  icmp->un.echo.id = rand();
  icmp->checksum = 0;   
}

检测思路

  • 检测同一来源 ICMP 数据包的数量。一个正常的 ping 每秒最多只会发送两个数据包。而使用 ICMP 隧道的浏览器在同一时间会产生上千个 ICMP 数据包。
  • 寻找那些响应数据包中 payload 跟请求数据包不一致的 ICMP 数据包。
  • 如果在内网中,可以检查 ICMP 数据包的协议TTL值,icmptunnel 默认会设置所有的 ICMP 的IP层TTL值为255。内网拓扑容易确定具体的跳数,简单计算可以印证。
B1u3Buf4
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ICMP隧道分析与实现
墨痕诉清风的博客
05-20 753
ICMP数据包封装过程 ICMP头部分为三个字段 type 类型 (0回应,8请求) code 代码 checksum 校验和 所以在封装ICMP报文的时候也要按顺序去封装这几个字段 其余部分三个部分为为 标识符 ( identifier ),一般填写进程 PID 以区分其他 ping 进程; 报文序号 ( sequence number ),用于编号报文序列; 数据 ( data ),可以是任意数据; ICMP协议在实际传输中数据包:
ICMP隐蔽隧道工具--icmptunnel流量特征检测分析
最新发布
qq_36259703的博客
01-24 953
icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。
icmp隧道
热门推荐
03-16 1万+
ICMP 隧道 原理 icmp报文中除了必须要有的类型、校验和等等还可以携带一定长度的可选数据,这也就是我们可以用来搭建隧道的原因,不过每次报文携带得的字节不会很多,所以有点慢。 icmpsh icmpsh是一款使用简单,而且不需要管理员权限即可运行的程序,可以较为简答的搭建隧道并同时获得目标shell 攻击机是kali, IP地址:192.168.220.129 下载icmpsh 到本地 git clone https://github.com/inquisb/icmpsh.git #下载工具 apt-
ICMPTunnel
qq_45781155的博客
07-25 263
ICMPTUNNEL icmptunnel下载地址: http://freshmeat.sourceforge.net/projects/ptunnel 按照命令linux: tar zxf PingTunnel-0.72.tar.gz cd PingTunnel make && makeinstall 构建PCAP: apt-get install flex wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz tar zxf
ICMP隐蔽隧道工具--pingtunnel流量特征检测分析
qq_36259703的博客
01-24 1750
通过伪造ping,把tcp/udp/sock5流量通过远程服务器转发到目的服务器上。用于突破某些运营商封锁TCP/UDP流量。
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议_wireshark以太网帧分析-CSDN博客.html
11-10
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议_wireshark以太网帧分析-CSDN博客.html
ICMP--Senior-development.zip_trace_vc6.0
09-20
ICMP(Internet Control Message Protocol,互联网控制消息协议)是TCP/IP协议族中的一个重要组成部分,用于在IP网络上提供错误报告和诊断信息。它允许主机和路由器报告错误情况或提供有关异常情况的信息。在这个名...
7.3.2 ICMP 类型和消息 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
7.3.2 ICMP 类型和消息 - Wireshark 数据包分析实战(第 3 版) - 知乎书店7.3.2 ICMP类型和消息正如刚才所说,ICMP数据
TCP、UDP端口及ICMP网络扫描工具-网络安全代码类资源
02-04
基于vc6.0开发网络扫描工具,利用select+connect进行TCP端口扫描,利用ICMP端口不可达报文进行UDP端口扫描,可以完成对TCP、UDP端口的探测,ICMP你懂的。利用GetBestRoute和GetIpAddrTable来判定使用本地接口IP,不...
头歌ICMP Ping实现-封装并发送ICMP报文
01-03
ICMP Ping实现-封装并发送ICMP报文ICMP Ping实现-封装并发送ICMP报文ICMP Ping实现-封装并发送ICMP报文ICMP Ping实现-封装并发送ICMP报文ICMP Ping实现-封装并发送ICMP报文ICMP Ping实现-封装并发送ICMP报文ICMP ...
内网渗透系列:内网隧道icmptunnel(jamesbarlow师傅的)
闵行小鱼塘
04-10 1711
本文研究ICMP隧道的一个工具,jamesbarlow师傅的icmptunnel
ICMP隐蔽隧道攻击分析检测
2301_76725413的博客
07-28 682
进行隐蔽隧道传输的时候,被控端(防火墙内部)运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,被控端接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。样本利用ICMP协议同C2进行通信,ICMP协议中的data字段可写入任意自定义数据,样本会将上线数据填充1024个字节放在ICMP协议的data字段,并且返回的ICMP数据包的data字段也是固定的1024个字节。
icmp端口_icmptunnel搭建icmp隧道
weixin_39685762的博客
12-01 666
介绍icmptunnel也是用来搭建icmp隧道的,地址:https://github.com/jamesbarlow/icmptunnel,看它的说明意思是对IP流量进行封装到ICMP包中,这里也看了它参数的说明,没有设置其他协议的参数。也就是说在支持的协议上,可能就是tcp这种,而上篇记录的pingtunnel支持的tcp、udp和sock5,不过这个工具使用感觉还是很舒服的。icm...
网络层隧道技术之ICMP隧道(pingTunnel/IcmpTunnel)
谢公子的博客
03-05 6115
目录 ICMP隧道 使用ICMP搭建隧道(PingTunnel) 使用ICMP搭建隧道(Icmptunnel) ICMP隧道 ICMP隧道简单实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见的ping命令就是利用的ICMP协议,攻击者可以利用命令行得到比回复更多的ICMP请求。在通常情况下,每个ping命令都有相...
6、ICMP隧道
Fly_鹏程万里
06-08 1353
写在前面信息安全里面攻击与防御一直都是像是光与影子的关系,防御得手段多种多样,攻击得方法也是花样百出。在一些高难度得渗透测试过程中往往会遇到比较完善得安全防护策略、安全防护硬件、安全防护软件,一个小小得恶意动作或者一段恶意代码得运行都可能会引起安全设备向管理员发起警告,如果渗透方已经到达内网寻找数据阶段被防守方发现了那不就是前功尽弃或者得不偿失呢,渗透方如果能够通过技术手段隐藏自己得攻击过程或者痕...
内网渗透系列:内网隧道ICMP隧道
闵行小鱼塘
07-06 3119
最近开始研究隧道相关,如前做了个整理——内网渗透系列:内网穿透(隧道)学习,本篇专门来学习ICMP隧道
【内网学习笔记】6、ICMP隧道工具使用
TeamsSix 的 CSDN 空间
04-07 755
1、介绍 在内网中,如果攻击者使用 HTTP、DNS 等应用层隧道都失败了,那么或许可以试试网络层的 ICMP 隧道ICMP 协议最常见的场景就是使用 ping 命令,而且一般防火墙都不会禁止 ping 数据包。 因此我们便可以将 TCP/UDP 数据封装到 ICMP 的 ping 数据包中,从而绕过防火墙的限制。 2、建立 ICMP 隧道工具 用于建立 ICMP 隧道的工具常见有:ptunnelicmpsh、icmptunnel 等 ptunnel ptunnel 全称 PingTunnel,Kali
内网渗透系列:内网隧道icmptunnel(DhavalKapil师傅的)
闵行小鱼塘
04-10 2491
本文研究ICMP隧道的一个工具,DhavalKapil师傅的icmptunnel
adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 的详细解释
06-13
```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 是一个修改 iptables 规则的命令,它的含义如下: - ```-A```:表示添加(append)一个新的规则到规则链的末尾。 - ```INPUT```:表示规则链的名称,该规则将被添加到输入规则链中。 - ```-p icmp```:表示该规则适用于 ICMP 协议。 - ```--icmp-type echo-request```:表示该规则匹配 ICMP 的 echo-request 消息,即 ping 请求。 - ```-j ACCEPT```:表示如果规则匹配,将执行 ACCEPT 操作,即允许流量通过。 因此,```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 命令将添加一个新的规则到输入规则链中,该规则将允许 ICMP 的 echo-request(ping 请求)通过防火墙。这将使得 Android 主机可以 ping 通其他主机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值