【网络安全】ICMP隐蔽隧道通信与检测

最新推荐文章于 2025-09-11 14:59:50 发布
原创 最新推荐文章于 2025-09-11 14:59:50 发布 · 2.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络 #服务器

ICMP隐蔽隧道利用ICMP协议的特性进行数据传输,避开防火墙限制,具有高隐蔽性但稳定性差、带宽低。icmptunnel工具可建立ICMP隧道,绕过对特定端口的封锁。检测方法包括分析异常ICMP流量和检查协议标签。文章还提供了设置与使用ICMP隧道的快速入门指南。

ICMP隐蔽隧道通信与检测

技术背景

在一些网络环境中,如果攻击者使用各类上层隧道(例如HTTP隧道,DNS隧道,正反向端口转发等)进行操作均失败。那么可以尝试使用ICMP建立隧道,ICMP协议不需要端口的开放,因为其基于IP工作的,所以我们将其归结到网络层,ICMP消息最为常见的就是ping命令的回复,将TCP/UDP数据包封装到ICMP的ping数据包中,从而穿过防火墙**(通常防火墙是不会屏蔽ping数据包的)**

技术原理

由于ICMP报文自身可以携带数据,而且ICMP报文是由系统内核处理的,不占用任何端口,因此具有很高的隐蔽性。
通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文,把数据隐藏在ICMP数据包包头的选项域中,利用ping命令建立隐蔽通道。
进行隐蔽传输的时候,防火墙内部主机运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,被攻击者接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。

在这里插入图片描述

优缺点

  • 优点:防火墙对ICMP_ECHO数据包是放行的,并且内部主机不会检查ICMP数据包所携带的数据内容,隐蔽性高。
  • 缺点:ICMP隐蔽传输是无连接的,传输不是很稳定,而且隐蔽通道的带宽很低。利用隧道传输时,需要接触更低层次的协议 ,这就需要高级用户权限。

icmptunnel

服务器暴露在外网上,可以访问外部网络,但是服务上有防火墙,拒绝了敏感端口的连接(比如22端口,33

最低0.47元/天 解锁文章
隐秘通信-使用PingTunnel搭建ICMP隧道实验
帮助别人等于帮助自己 ——MXi4oyu
08-09 1456
Internet Control Message Protocol Internet控制报文协议,简称ICMP协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。CMP协议主要提供两种功能,一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。
ICMP隐蔽隧道流量分析
最新发布
aihua002的博客
10-12 1100
ICMP协议是为弥补IP层缺陷设计的网络层协议,具有错误诊断、拥塞控制等功能。其报文由8字节首部和可变数据部分组成,分为差错报文和查询报文两大类。正常ping流量在Windows和Linux平台具有固定特征,而ICMP隐蔽隧道会表现出异常特征:数据包频率高、负载大小异常、请求响应内容不一致等。检测ICMP隧道可关注数据包数量、负载内容、特殊标记等异常特征,如"TUNL"标记或系统命令。本文详述了ICMP协议功能、报文格式及分类,并对比分析了正常流量隧道流量的区别特征。
基于ICMP协议的网络隐蔽通道技术的分析
03-21
分析了几种基于ICMP协议的网络隐蔽通道技术
ICMP隐蔽隧道工具Pingtunnel搭建隧道(附搭建环境避坑超详细)
huayimy的博客
01-02 2941
服务端(中间跳板机):192.168.19.21(lan区段) & 192.168.203.144(nat模式)提前检查被控机win7的远程连接是否为开启状态,确认开启后,使用windows自带的远程桌面进行连接。在安装PingTunnel前,我们必须先要安装它的运行环境,否则安装失败。一台服务端(linux服务端,用于内网中转,lan区段+nat模式)一台客户端(kali攻击机,lan区段)一台远控机器(win7,lan区段)-da:指定要转发的目标机器的IP。一台靶机(win7,nat模式)
浅析Icmp原理及隐蔽攻击的方式
MSB_WLAQ的博客
10-13 2758
一、ICMP隧道技术解析 1.icmp协议 Internet Control Message Protocol Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用 ICMP协议主要提供两种功能, 一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。常见的差.
基于Gost工具的ICMP隐蔽隧道通信分析
GCKJ_0824的博客
02-01 635
近期,观成科技安全研究团队在现网中检测到了利用Gost工具实现加密隧道的攻击行为。Gost是一款支持多种协议的隧道工具,使用go语言编写。该工具实现了多种协议的隧道通信方法,例如TCP/UDP协议,Websocket,HTTP/2,QUIC,TLS等。2022年11月,Gost更新了V3新版本,在新版本中新增了ICMP隧道功能。
ICMP隐藏通信隧道技术
lonmar的博客
08-04 2659
文章目录简介icmpshPingTunnel实验一实验二Icmptunnel 简介 ICMP隧道简单实用,是一个比较特殊的协议.在一般的通信里,两台主机要进行通信必须开放端口.而ICMP协议就不需要. 最常见的ICMP协议就是ping命令的回复 常见的ICMP隧道工具有icmpsh,PingTunnel,icmptunnel,powershell icmpICMP隧道搭建条件: 目标主机必须支持ICMP协议的进出 探测ICMP协议是否支持: 目标主机攻击主机能够相互PING通即可 icmpsh i
ICMP隐蔽隧道工具--pingtunnel流量特征检测分析
qq_36259703的博客
01-24 2241
通过伪造ping,把tcp/udp/sock5流量通过远程服务器转发到目的服务器上。用于突破某些运营商封锁TCP/UDP流量。
AI安全初探——利用深度学习检测DNS隐蔽通道
weixin_34319374的博客
11-16 423
AI安全初探——利用深度学习检测DNS隐蔽通道 目录 AI安全初探——利用深度学习检测DNS隐蔽通道 1、DNS隐蔽通道简介 2、 算法前的准备工作——数据采集 3、 利用深度学习进行DNS隐蔽通道检测 4、 验证XShell的检测效果 5、 结语 1、DNS隐蔽通道简介 DNS通道是隐蔽通道的一种,通过将其他协议封装在DNS协议中进行数据传输...
ICMP隐蔽隧道工具--icmptunnel流量特征检测分析
qq_36259703的博客
01-24 1494
icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。
利用机器学习进行DNS隐蔽通道检测——数据收集,利用iodine进行DNS隐蔽通道样本收集...
weixin_33866037的博客
11-09 443
我们在使用机器学习做DNS隐蔽通道检测的过程中,不得不面临样本收集的问题,没办法,机器学习没有样本真是“巧妇难为无米之炊”啊! 本文简单介绍了DNS隐蔽通道传输工具iodine,并介绍如何从iodine的网络流量中抓取DNS报文生成pcap包,并将其转化为机器学习检测算法所能够识别的文本文件。 1、环境准备和iodine安装 DNS隐蔽通道工具iodin...
基于ICMP隐蔽传输/隐蔽通信代码(包含实验报告+完整说明)可直接运行
05-11
使用Python编写的,基于ICMP隐蔽传输的实验代码,包含第三方依赖库以及详细的配置过程,包含详细的实验报告,有创新点,可实现Windows到Windows、Windows到Ubuntu间的隐蔽通信。也可在本地单独测试。
《基于DNS的隐蔽通道流量检测》.pdf
10-31
《基于DNS的隐蔽通道流量检测》,总结了DNS隐蔽隧道通信的一些特征,可以参考这些特征来构建自己的机器学习模型以通过机器学习检测网络内部的DNS隐蔽隧道通信,防范网络间谍程序或APT(高级可持续性威胁)病毒。个人研究或IDS(入侵检测设备)制造商可以参考
隐蔽通道分析
06-04
介绍了当前的隐蔽通道分析背景以及主要方法,并给出了实例分析如何实现。
ICMP协议测试工具
08-26
本程序采用VC++ 6.0 设计完成,根据ICMP 协议原理设计网络模型和监听线程,对目标主机执行Ping 服务,是学习ICMP 协议的好例子
C2 隐蔽通信:利用 PingTunnel 建立 ICMP 隧道绕过防火墙策略
Siegeler的博客
09-11 1418
本文介绍了一种通过ICMP隧道绕过网络限制的渗透测试技术,适用于目标服务器入站和出站流量严格受限的场景。文章详细讲解了使用PingTunnel工具建立ICMP隧道的完整流程,包括环境配置、服务端和客户端启动、C2监听器设置等操作步骤,并提供了流量特征分析和防御建议。该技术通过将TCP/UDP数据封装到ICMP数据包中,伪装成普通ping请求绕过网络监控,最后给出了检测和防御此类攻击的方法建议。
隧道搭建技术
2301_81555343的博客
08-29 1139
隧道搭建
DNS隐蔽隧道工具--dnscat2流量特征检测分析
qq_36259703的博客
10-09 1523
dnscat2是一个DNS隧道工具,通过DNS协议创建加密的命令和控制通道,它的一大特色就是服务端会有一个命令行控制台,所有的指令都可以在该控制台内完成。包括:文件上传、下载、反弹Shell……最新版本为几年前的 v0.07版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值