ICMP隐蔽隧道工具--icmptunnel流量特征检测分析

已于 2024-01-24 17:49:56 修改
阅读量909 收藏 21
点赞数 17
文章标签: web安全
于 2024-01-24 17:49:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36259703/article/details/135828143
版权
本文介绍了icmptunnel工具,它通过封装数据在ICMPecho数据包中实现通信,能绕过防火墙限制,支持加密,并在Linux环境下运行。文章详细讲解了其工作原理、环境配置、测试方法以及Server和Client的逻辑分析。
摘要由CSDN通过智能技术生成

工具介绍

项目地址
https://github.com/DhavalKapil/icmptunnel
说明
icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的代理服务器。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。
特点

  • 绕过防火墙
  • 绕过协议限制
  • 通信加密

流量&逻辑分析

环境&测试准备

环境配置
Server Kali 192.168.2.139
Client Ubantu 192.168.2.129
看相关的文件发现引入了部分至于Linux才有的头文件,正常一般只能在Linux环境中运行,同时需要注意针对客户端需要修改部分内容,详情可参考README.md。
测试方式

  1. Kali上运行

./icmptunnel -s 192.168.2.139

image.png

  1. Ubantu运行命令

./icmptunnel -c 192.168.2.139

image.png

  1. kali通过tun0通道进行ssh连接

image.png
image.png
image.png

检测特征

+--------------+                         +------------+
|              |       ICMP traffic      |            |       IP traffic
|    Client    |  ------------------->   |   Proxy    |   ------------------>
|              |  <-------------------   |   Server   |   <------------------
|              |    through restricted   |            |     proper internet
+--------------+         internet        +------------+

image.png整体入口逻辑都在icmptunnel.c#20#main函数中。
image.png
不管Server还是Client都会进入run_tunnel流程,详细跟踪一下相关流程,如下:

/**
 * Function to run the tunnel
 */
void run_tunnel(char *dest, int server)
{
  struct icmp_packet packet;
  int tun_fd, sock_fd;
  fd_set fs;
  //新建tun0虚拟网卡
  tun_fd = tun_alloc("tun0", IFF_TUN | IFF_NO_PI);
  //ICMP Socket
  sock_fd = open_icmp_socket();
  //绑定ICMP Socket
  if (server) {
    bind_icmp_socket(sock_fd);
  }
  //依据不同类型执行server.sh或者client.sh来进行网络配置
  configure_network(server);
  while (1) {
    FD_ZERO(&fs);
    FD_SET(tun_fd, &fs);
    FD_SET(sock_fd, &fs);
    //监控所有的文件句柄变化
    select(tun_fd>sock_fd?tun_fd+1:sock_fd+1, &fs, NULL, NULL, NULL);
	//Reading data from tun device and sending ICMP packet
    if (FD_ISSET(tun_fd, &fs)) {
      // Preparing ICMP packet to be sent
      memset(&packet, 0, sizeof(struct icmp_packet));
      //DEFAULT_ROUTE为0.0.0.0
      if (sizeof(DEFAULT_ROUTE) > sizeof(packet.src_addr)){
        close(tun_fd);
        close(sock_fd);
        exit(EXIT_FAILURE);
      }
      strncpy(packet.src_addr, DEFAULT_ROUTE, strlen(DEFAULT_ROUTE) + 1);
      if ((strlen(dest) + 1) > sizeof(packet.dest_addr)){
        ...
      }
      strncpy(packet.dest_addr, dest, strlen(dest) + 1);
      //设置type
      if(server) {
        set_reply_type(&packet);
      }
      else {
        set_echo_type(&packet);
      }
      //依照MTU分配空间,默认为1472
      packet.payload = calloc(MTU, sizeof(uint8_t));
      if (packet.payload == NULL){
        exit(EXIT_FAILURE);
      }
      //tun_read用于从搭建的Tun中读取数据
      packet.payload_size  = tun_read(tun_fd, packet.payload, MTU);
      if(packet.payload_size  == -1) {
        exit(EXIT_FAILURE);
      }
      // Sending ICMP packet
      send_icmp_packet(sock_fd, &packet);
      free(packet.payload);
    }
    if (FD_ISSET(sock_fd, &fs)) {
      // Reading data from remote socket and sending to tun device
      // Getting ICMP packet
      memset(&packet, 0, sizeof(struct icmp_packet));
      //用于从socket信道接受packet
      receive_icmp_packet(sock_fd, &packet);
      // Writing out to tun device
      tun_write(tun_fd, packet.payload, packet.payload_size);
      strncpy(dest, packet.src_addr, strlen(packet.src_addr) + 1);
      free(packet.payload);
    }
  }

}

Server逻辑分析

icmptunnel的Server逻辑和client基本一致,逻辑基本是相同的,只是一些细微地方存在差异。

Server逻辑分析

Server端逻辑也很简单,也主要是监听、发送功能,没啥特殊的。

whereGoAn
关注
  • 17
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网络层隧道技术之ICMP隧道(pingTunnel/IcmpTunnel)
谢公子的博客
03-05 6090
目录 ICMP隧道 使用ICMP搭建隧道(PingTunnel) 使用ICMP搭建隧道(Icmptunnel) ICMP隧道 ICMP隧道简单实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见的ping命令就是利用的ICMP协议,攻击者可以利用命令行得到比回复更多的ICMP请求。在通常情况下,每个ping命令都有相...
威胁狩猎-ICMP流量分析
m0_61101264的博客
10-18 363
ICMP隧道通常用于绕过防火墙或者其他网络限制,将数据封装在ICMP消息的Data字段中,可以将数据包看作是ICMP消息,因此可以在允许ICMP协议通信的网络中传输信息。ICMP后门通常是一种隐蔽的攻击技术,因为ICMP流量通常被认为是合法的网络流量,很少受到严格的防火墙或入侵检测系统的监视和过滤。不同的Type和Code值表示不同的ICMP报文类型,对应了数据包处理过程中可能出现的不同错误情况,不同类型的ICMP报文又分为差错报文和查询报文两种,如下表所示。其内容取决于ICMP消息的类型和代码。
ICMP隐蔽隧道工具--pingtunnel流量特征检测分析
qq_36259703的博客
01-24 1636
通过伪造ping,把tcp/udp/sock5流量通过远程服务器转发到目的服务器上。用于突破某些运营商封锁TCP/UDP流量
【网络安全ICMP隐蔽隧道通信与检测
Sun_study的博客
01-17 1236
在一些网络环境中,如果攻击者使用各类上层隧道(例如HTTP隧道,DNS隧道,正反向端口转发等)进行操作均失败。那么可以尝试使用ICMP建立隧道ICMP协议不需要端口的开放,因为其基于IP工作的,所以我们将其归结到网络层,ICMP消息最为常见的就是ping命令的回复,将TCP/UDP数据包封装到ICMP的ping数据包中,从而穿过防火墙**(通常防火墙是不会屏蔽ping数据包的)**
ICMP隧道
javaEE_zero的博客
11-23 240
ICMP隧道的实现原理和防御方式
【渗透测试】ICMP隧道技术之icmpsh使用(含流量分析
SunnyCat
09-29 2808
目录一、环境二、工具三、操作1、CentOS72、Win103、反弹成功四、C2流量分析1、正常的icmp流量2、恶意的icmp流量3、C2数据总结 一、环境 Win10:10.95.16.112 CentOS7:10.95.16.103 二、工具 icmpsh python2 三、操作 win10关闭防火墙,病毒检测,不然icmpsh.exe会被自动删除 centOS7安装python2对应的库文件用于支持icmpsh工具 pip2 install impacket 1、CentOS7 sysctl
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
综上所述,Wireshark-win64-2.9.0是一款强大的网络分析工具,尤其在64位Windows环境下,它能够提供详尽的网络数据包捕获和分析功能,对于网络管理和故障排查至关重要。下载并安装"Wireshark-win64-2.9.0.exe"文件,...
TCP、UDP端口及ICMP网络扫描工具-网络安全代码类资源
02-04
基于vc6.0开发网络扫描工具,利用select+connect进行TCP端口扫描,利用ICMP端口不可达报文进行UDP端口扫描,可以完成对TCP、UDP端口的探测,ICMP你懂的。利用GetBestRoute和GetIpAddrTable来判定使用本地接口IP,不...
CTF-NetA V0.3.2 流量分析工具(自动提取flag)
最新发布
02-21
CTF-NetA是一款专门针对CTF比赛的网络流量分析工具,可以对常见的网络流量进行分析和提取flag,而且还有UI,不需要使用者具备任何基础能力。 CTF-NetA具有以下功能: 检测明文和常规编码的flag文本 USB流量还原...
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
10-05
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
利用Visual C#实现ICMP网络协议
05-19
利用Visual C#实现ICMP网络协议
icmp隧道
热门推荐
03-16 1万+
ICMP 隧道 原理 icmp报文中除了必须要有的类型、校验和等等还可以携带一定长度的可选数据,这也就是我们可以用来搭建隧道的原因,不过每次报文携带得的字节不会很多,所以有点慢。 icmpsh icmpsh是一款使用简单,而且不需要管理员权限即可运行的程序,可以较为简答的搭建隧道并同时获得目标shell 攻击机是kali, IP地址:192.168.220.129 下载icmpsh 到本地 git clone https://github.com/inquisb/icmpsh.git #下载工具 apt-
隐秘通信-使用PingTunnel搭建ICMP隧道实验
帮助别人等于帮助自己 ——MXi4oyu
08-09 553
Internet Control Message Protocol Internet控制报文协议,简称ICMP协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。CMP协议主要提供两种功能,一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。
ICMPTunnel
qq_45781155的博客
07-25 253
ICMPTUNNEL icmptunnel下载地址: http://freshmeat.sourceforge.net/projects/ptunnel 按照命令linux: tar zxf PingTunnel-0.72.tar.gz cd PingTunnel make && makeinstall 构建PCAP: apt-get install flex wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz tar zxf
内网渗透系列:内网隧道icmptunnel(DhavalKapil师傅的)
闵行小鱼塘
04-10 2437
本文研究ICMP隧道的一个工具,DhavalKapil师傅的icmptunnel
内网渗透系列:内网隧道icmptunnel(jamesbarlow师傅的)
闵行小鱼塘
04-10 1684
本文研究ICMP隧道的一个工具,jamesbarlow师傅的icmptunnel
icmp端口_icmptunnel搭建icmp隧道
weixin_39685762的博客
12-01 659
介绍icmptunnel也是用来搭建icmp隧道的,地址:https://github.com/jamesbarlow/icmptunnel,看它的说明意思是对IP流量进行封装到ICMP包中,这里也看了它参数的说明,没有设置其他协议的参数。也就是说在支持的协议上,可能就是tcp这种,而上篇记录的pingtunnel支持的tcp、udp和sock5,不过这个工具使用感觉还是很舒服的。icm...
通过 ICMP 协议实现 Ping Tunnel 建立可穿透网络隧道
林兴陆
04-26 7171
Twitter via Ping Tunnel周四 Cola 没去幼儿园,中午带着他去 KFC 吃东西。回来的时候小林指着西总布胡同说走这条路回去还是原路返回,他说还是...
ICMP隧道检测分析--icmptunnel
shutdown -s -t
09-29 1340
简介 icmptunnel的工作原理是将你的IP流量封装在ICMP echo数据包中,并将其发送到你自己的代理服务器。代理服务器解压缩数据包并转发IP流量。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。IP流量是在ICMP数据包的 "data "字段中发送的。 icmptunnel通过创建一个虚拟的隧道接口来工作。客户端主机上的所有用户流量被路由到icmptunnel在这个接口上监听IP数据包。这些数据包被封装在一个ICMP echo数据包中(即ICMP数据包的payloa
adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 的详细解释
06-13
```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 是一个修改 iptables 规则的命令,它的含义如下: - ```-A```:表示添加(append)一个新的规则到规则链的末尾。 - ```INPUT```:表示规则链的名称,该规则将被添加到输入规则链中。 - ```-p icmp```:表示该规则适用于 ICMP 协议。 - ```--icmp-type echo-request```:表示该规则匹配 ICMP 的 echo-request 消息,即 ping 请求。 - ```-j ACCEPT```:表示如果规则匹配,将执行 ACCEPT 操作,即允许流量通过。 因此,```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 命令将添加一个新的规则到输入规则链中,该规则将允许 ICMP 的 echo-request(ping 请求)通过防火墙。这将使得 Android 主机可以 ping 通其他主机。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值