ICMP隐蔽隧道流量分析

最新推荐文章于 2025-10-18 09:18:30 发布
原创 最新推荐文章于 2025-10-18 09:18:30 发布 · 1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#威胁分析 #安全

一、ICMP协议概述

ICMP:Internet控制报文协议(internet control message protocol

因为IP是一种不可靠协议,没有差错控制,所以ICMP是来弥补IP层缺陷的。

ICMP提供网络层的错误诊断、拥塞控制、路径控制、查询服务四大功能项。

ICMP可用于Ping、、Traceroute、路由表动态更新、路径MTU发现、提供发现问题的线 索、服务拒绝(UDP)、作为攻击手段、识别目标操作系统、识别目标上开启的服务 类型、非授权的修改路由表等。

二、ICMP报文格式

ICMP是网络层协议,需要封装IP数据报,才会被传递到下一层。在IP数据报中,协议值字段为1,则表示为ICMP协议。

ICMP报文由一个8字节的首部和可变长度的数据部分组成。虽然对每一种报文类型,首部的一般格式都是不同的,但前4个字节对所有类型都是相同的。

  1. 类型(TYPE):标识ICMP报文类型,占用1字节。
  2. 代码(CODE):标识对应ICMP报文的代码,它与类型字段共同标识ICMP报文的详细类型,占用1字节。
  3. 校验和(CHECKSUM):对整个ICMP数据报文的校验和,以校验ICMP报文在传输过程中是否出现了差错,其计算方法与IP报头中校验和计算方法一致;占用2个字节。

首部的其余部分对每一种类型的报文都是特有的。

三、ICMP报文分类

从类型值来看ICMP报文可以分为两大类:第一类是差错报文,第二类是查询报文

Type

Code

描述

报文类型

0-Echo响应

0

Echo响应报文

查询

3-目的不可达

0

目标网络不可达报文

差错

1

目标主机不可达报文

差错

2

目标协议不可达报文

差错

最低0.47元/天 解锁文章
隐秘通信-使用PingTunnel搭建ICMP隧道实验
帮助别人等于帮助自己 ——MXi4oyu
08-09 1446
Internet Control Message Protocol Internet控制报文协议,简称ICMP协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。CMP协议主要提供两种功能,一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。
【网络安全ICMP隐蔽隧道通信与检测
Sun_study的博客
01-17 2400
在一些网络环境中,如果攻击者使用各类上层隧道(例如HTTP隧道,DNS隧道,正反向端口转发等)进行操作均失败。那么可以尝试使用ICMP建立隧道ICMP协议不需要端口的开放,因为其基于IP工作的,所以我们将其归结到网络层,ICMP消息最为常见的就是ping命令的回复,将TCP/UDP数据包封装到ICMP的ping数据包中,从而穿过防火墙**(通常防火墙是不会屏蔽ping数据包的)**
内网安全隧道技术详解
qq_61553520的博客
06-06 8640
SMB(Server Message Block)协议是一种在计算机网络中共享文件、打印机和其他资源的通信协议。它最初由微软开发,用于在局域网中的计算机之间共享文件和资源,445端口运行打印机共享:SMB协议支持打印机的共享,允许用户在网络中使用共享打印机进行打印操作。通过SMB协议,用户可以连接到其他计算机上的共享打印机,并发送打印任务进行打印。文件共享:SMB协议允许计算机之间共享文件和目录。通过SMB协议,用户可以在网络中访问其他计算机上的共享文件夹,并进行文件的读取、写入和管理操作。
【渗透测试】ICMP隧道技术之icmpsh使用(含流量分析
一个偶尔更新,有点神经质的开发人员,专注于网络安全和人工智能应用领域。
09-29 3279
目录一、环境二、工具三、操作1、CentOS72、Win103、反弹成功四、C2流量分析1、正常的icmp流量2、恶意的icmp流量3、C2数据总结 一、环境 Win10:10.95.16.112 CentOS7:10.95.16.103 二、工具 icmpsh python2 三、操作 win10关闭防火墙,病毒检测,不然icmpsh.exe会被自动删除 centOS7安装python2对应的库文件用于支持icmpsh工具 pip2 install impacket 1、CentOS7 sysctl
ICMP隧道搭建
dzqxwzoe的博客
08-09 222
通过本次对icmp隧道穿透的讲解,我们掌握了如何在目标服务器不出网的情况下上线c2服务端的方法,后续我们将继续学习通过dns来搭建隧道的方法。通过本次对icmp隧道穿透的讲解,我们掌握了如何在目标服务器不出网的情况下上线c2服务端的方法,后续我们将继续学习通过dns来搭建隧道的方法。
【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS
xt350488的博客
08-24 1378
本文详细讲解了在内网渗透中,当常规的网络通信手段(如TCP协议)受阻时,如何利用ICMP隧道技术实现MSF和CS的上线。通过搭建PingTunnel服务器,将TCP数据包封装在ICMP数据包中,利用ICMP协议进行数据传输,从而绕过网络限制。文章还详细解释了ICMP隧道的工作原理,并通过实际案例展示了其应用过程。
基于Gost工具的ICMP隐蔽隧道通信分析
GCKJ_0824的博客
02-01 627
近期,观成科技安全研究团队在现网中检测到了利用Gost工具实现加密隧道的攻击行为。Gost是一款支持多种协议的隧道工具,使用go语言编写。该工具实现了多种协议的隧道通信方法,例如TCP/UDP协议,Websocket,HTTP/2,QUIC,TLS等。2022年11月,Gost更新了V3新版本,在新版本中新增了ICMP隧道功能。
wireshark 如何分析隐蔽隧道流量
01-04
Wireshark是一个功能强大的网络协议分析工具,可以用于分析各种类型的网络流量,包括隐蔽隧道流量。下面是使用Wireshark分析隐蔽隧道流量的步骤: 1. 打开Wireshark并选择要分析的网络接口。 2. 在过滤器栏中输入...
利用ICMP隧道实现隐蔽后门:icmpsh实验分享
Bruce_xiaowei的博客
10-18 902
本文详细介绍了利用ICMP隧道工具icmpsh建立隐蔽后门的技术方法。作者通过Kali Linux攻击机和Windows 10目标机的实验环境,演示了从工具获取、配置到实际攻击的全过程,包括禁用ICMP回复、启动监听器、执行客户端等关键步骤。文章深入分析ICMP隧道的技术优势(高隐蔽性、绕过网络限制)和防御措施(速率限制、深度包检测),并探讨了数据封装和规避检测的进阶技术。特别强调该技术仅限合法授权使用,为安全专业人员提供了防御此类攻击的参考依据。
icmp隧道搭建(pingtunnel的使用)
Innocence_0的博客
07-26 553
在上个星期一个风和日丽得早上,上班刚打开电脑,师兄就发来了这样一条消息然后我就去测试了,访问页面如下,页面显示探针路径C:/phpStudy/WWW/l.php随手输了个root root检测,没想到真的是(靶场嘛,比较简单,大家勿喷哈~)使用phpmyadmin连接MySQL,输入root:root。
ICMP隐蔽隧道工具--icmptunnel流量特征检测分析
qq_36259703的博客
01-24 1482
icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。
Linux -- 网络层
2301_79389054的博客
10-11 1444
本文介绍了网络层的基本概念和IP协议相关内容。首先阐述了网络层的作用是解决不同主机间报文转发和路径选择问题。详细解析了IP协议格式,包括版本号、首部长度、服务类型、生存时间等关键字段。重点讲解了网段划分原理,解释了网络号和主机号的作用,并对比了传统的五类IP地址划分与CIDR无类别路由方案。此外还介绍了特殊IP地址、解决IP地址短缺的技术(动态分配、NAT、IPv6)、私有与公网IP划分。最后说明了路由表的工作原理和数据包转发过程,通过具体示例展示了路由选择机制。
第二章,第二节-ICMP协议,ICMP重定向和ICMP泛洪攻击
2302_78999016的博客
12-19 1562
TTL字段的意思是此帧数据可经过的最大节点数,每经过一个节点,TTL的值都会减1,直到为0,TTL值为0时,便会向原主机发送一个差错报告的ICMP报文,利用这个原理,我们就可以知道从原主机到目标主机中间经历了哪几个网关的转发以及这些网关的IP地址都是多少。原理:当一个主机收到icmp重定向信息时就会根据这个信息来更新自己的路由表,由于缺乏必要的合理性检查,黑客如果想要被攻击的受害机修改它的路由表,就可以发送icmp重定向信息给受害机,让受害机按照自己的需求来修改路由表,从而完成进一步攻击。
网络安全技术之内网安全-03-ICMP隧道
caigai5424的博客
07-10 972
icmp隧道技术,绕过防火墙限制
穿越防火墙的隐形通道:ICMP隧道技术深度解析
最新发布
Bruce_xiaowei的博客
10-18 737
本文深入解析了ICMP隧道技术的原理与应用。文章首先揭示了ICMP协议被忽视的隐蔽通信潜力,详细介绍了icmpsh工具的客户端-服务器架构及其对ICMP数据包的改造方式。随后提供了环境搭建的技术细节,包括ICMP流量控制、网络适应性调整等。重点剖析了通信会话建立过程、高级使用技巧及检测对抗策略,包括异常流量识别特征和企业级防护方案。最后探讨了技术演进趋势、实际应用场景及伦理合规问题,强调该技术既是攻击手段,也是对安全防御体系的压力测试。文章指出,理解此类技术有助于构建更全面的防御体系,推动安全技术创新。
ICMP隐蔽隧道工具Pingtunnel搭建隧道(附搭建环境避坑超详细)
huayimy的博客
01-02 2929
服务端(中间跳板机):192.168.19.21(lan区段) & 192.168.203.144(nat模式)提前检查被控机win7的远程连接是否为开启状态,确认开启后,使用windows自带的远程桌面进行连接。在安装PingTunnel前,我们必须先要安装它的运行环境,否则安装失败。一台服务端(linux服务端,用于内网中转,lan区段+nat模式)一台客户端(kali攻击机,lan区段)一台远控机器(win7,lan区段)-da:指定要转发的目标机器的IP。一台靶机(win7,nat模式)
浅析Icmp原理及隐蔽攻击的方式
MSB_WLAQ的博客
10-13 2757
一、ICMP隧道技术解析 1.icmp协议 Internet Control Message Protocol Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用 ICMP协议主要提供两种功能, 一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。常见的差.
ICMP隧道通信原理与通信特征
蚁景网安学院
12-05 1058
ICMP 隧道技术解析 ICMP协议ICMP(InternetControl MessageProtocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在I...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值