开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

ICMP 隧道——将流量封装进 IMCP 的 ping 数据包中，旨在利用 ping 穿透防火墙的检测

ICMP 隧道是一种通信技术，它将流量封装进 ICMP（Internet Control Message Protocol，互联网控制报文协议）的 ping 数据包中，旨在利用 ping 穿透防火墙的检测。通过这种技术，数据包可以通过防火墙、NAT设备等，实现穿越或绕过这些设置，从而实现不同网络之间的通信。

具体来说，ICMP 隧道的工作原理是将需要发送的数据包与 ICMP 数据包中的类型字段和代码字段进行匹配，然后将这些数据包封装到新的 ICMP 数据包中，并将 ICMP 数据包的 ID 字段设置为原 ICMP 数据包的 ID 字段加一个特定的数字，以便于接收方能够识别出来。这个过程可以简单地将数据包与 ICMP 类型字段进行匹配，也可以将数据包重新组织，以便于更好地适应不同的防火墙和 NAT 设备。

ICMP 隧道在一些特定的场景下可能会非常有价值，例如在防火墙上配置了访问控制列表的情况。在这种情况下，使用 ICMP 隧道可以在一定程度上绕过防火墙的检测。但是，由于防火墙和 NAT 设备是提供网络安全的重要机制之一，使用 ICMP 隧道可能导致安全隐患，因此一般不建议使用。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

利用ICMP进行命令控制和隧道传输

在这篇文章中，你会了解到通过ICMP命令控制和ICMP隧道进行数据窃取的RED TEAM行动，使用这两种方法在网络中产生的畸形流量，有助于规避防火墙规则。...利用ICMP协议进行命令控制我们发布的很多内容中都讨论了C2通道，又叫做命令控制，具体内容可以在这里找到。而在这篇文章中，你会了解到如何将ICMP协议用作命令控制通道。...和我们预期的结果完全一样，而且由于数据是利用PING请求/回复报文通过网络层传输，因此并不需要指定服务或者端口。这种流量是无法被基于代理的防火墙检测到的，因此这种方式可能绕过一些防火墙规则。 ?...ICMP隧道搭建 ICMP隧道是指将TCP连接通过ICMP包进行隧道传送的一种方法。在此我们会获取一个被封装到ICMP包中的ssh会话。...流量封装到ICMP echo请求和回复（ping）包中的隧道工具，是在允许ping的网络中进行拓展、绕过防火墙的一种半隐蔽方式。

1.4K2 1

ATT&CK视角下的红蓝对抗:十五.内网穿透之利用ICMP协议进行隧道穿透

一.前言本文介绍了利用ICMP协议进行隧道穿透的方法。ICMP协议不需要开放端口，可以将TCP/UDP数据封装到ICMP的Ping数据包中，绕过防火墙限制。...文件传输技巧详解 ATT&CK视角下的红蓝对抗:十四.内网穿透之反弹流量分析与检测方法 ATT&CK视角下的红蓝对抗:十五.内网穿透之利用ICMP协议进行隧道穿透三.利用ICMP协议进行隧道穿透下面将介绍通过...这种手段的优点是不需要开放端口就可将TCP/UDP数据封装到ICMP的Ping数据包中，从而绕过防火墙的限制，攻击者可以利用较短的命令得到大量的ICMP响应，常见的ICMP隧道穿透通常可以利用Icmpsh...，默认 1000ms -l 本地的地址，发到这个端口的流量将转发到服务器 -s 服务器的地址，流量将通过隧道转发到这个服务器 -t 远端服务器转发的目的地址，流量将转发到这个地址 -timeout 记录连接超时的时间...四.本篇总结本文介绍了利用ICMP协议进行隧道穿透的方法。ICMP协议不需要开放端口，可以将TCP/UDP数据封装到ICMP的Ping数据包中，绕过防火墙限制。

3446 0

IMCP协议的魅力——IMCP隧道

1、ICMP隧道的建立同样是建立在ICMP未被防火墙禁用的情况下使用的，就是PING命令，其原理就是在ICMP报文传输的时候，替换其中的Data部分的数据，并且对端通过一样的工具进行ICMP畸形包的处理...从而将恶意流量隐藏在ICMP数据包中，形成ICMP隧道。适用于被攻击主机可ping攻击机，可作为临时绕过防火墙。.../icmpsh_m.py （可能为内网防火墙的地址，可通过TcpDump 监听ICMP ,在受害主机上进行PING V** 从而得知，两者要能互相PING...5、总结：Icmpsh 使用简单，通过imcp协议绕过防火墙对其他协议的阻拦。要求是两者能够相互ping通信，可直接反弹shell。...或者D主机 ssh -p 22 192.168.137.129 即可 6、总结：ptunnel 用于内网流量的中转，以ICMP协议为通道，起到一个内网跳板机的作用。

5861 0

基于统计分析的ICMP隧道检测方法与实现

由于防火墙对ICMP协议开放，恶意攻击者常会利用ICMP协议进行非法通信。...，而黑客又需要回传文件，这个时候如果黑客可以ping通远程计算机，就可以尝试建立ICMP隧道，ICMP隧道是将流量封装进 ping 数据包中，旨在利用 ping数据穿透防火墙的检测。...本文将为大家介绍一种简单而有效的icmp隧道检测技术。我们将利用Spark Streaming，来帮助我们检测ICMP隧道。...正常ping每秒只会发送2个数据包，而ICMP隧道可以每秒发送很多个；检测数据包中 payload 的大小。...正常ping产生的数据包请求响应内容一致，而ICMP隧道请求响应数据包可以一致，也可以不一致；检测数据包中 payload 的内容。

1.4K3 0

内网隧道穿透之流量检测与防护

ICMP隧道检测与防护在真实环境中，ICMP协议经常会被用来检测网络连通状态，而防火墙是会默认允许ICMP协议通信，因此越来越多的攻击者会利用ICMP协议进行非法通信，通过ICMP协议搭建隐蔽隧道加密恶意流量...ICMP隧道技术的核心是改变操作系统默认填充的Data，替换成我们自己的数据，但是正常的ping数据包和利用ICMP隧道发送的异常ping数据包是不同的，因此可以检测分析PING数据包的数量、数据包中payload...2.DNS隧道流量检测与防护DNS隧道是一种隐蔽隧道，通过将数据或命令封装到DNS协议进行数据、命令等传输的隧道，其利用原理为防火墙针对DNS报文不会进行拦截阻断，而且目前的杀毒软件、入侵检测防护等安全策略很少对...载荷分析是根据正常的DNS域名满足 zipf定律，而DNS隧道的域名遵循的是随机分布这一原则去检测主机名，将超过52个字符的DNS请求作为识别DNS隧道的特征，流量监测则是检测网络中的DNS流量变化情况...HTTP隧道核心技术是将HTTP正常流量作为隧道流量在通信过程中嵌入隧道流量，实现对目标主机的恶意攻击行为，HTTP隐蔽隧道可以利用HTTP头隐蔽隧道和HTTP载荷隐蔽隧道进行检测分析，在HTTP隧道中

3781 0

内网渗透基石篇-- 隐藏通信隧道技术（上）

防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装，然后穿过防火墙，与对方进行通信。当封装的数据包到达目的地时，将数据包还原，并将还原后的数据包发送到相应服务器上。...常见的运行流量流出的端口有80，8080 ，443，53，110，1213等 1.ICMP协议场景：两台机器间，除了允许互ping，其他的TCP/UDP端口一律不允许，此时可以考虑使用ICMP进行穿透...此外HTTP隧道是没有进行加密的，不安全的，一般再嵌套一个SSH安全隧道场景 1.内网防火墙具有协议检测和识别能力且仅允许HTTP流量出去外网 2.内网具备深度包检测能力且仅允许HTTP流量出去外网但可以检测明文传输的...3.关闭系统的Ping应答 ? 4.然后进入目录，运行./run.sh ? ? 5.然后运行成功。 ? 3.防御icmcp隧道攻击的方法 1.检测同一来源的icmp数据包的数量。...一个正常的ping命令每秒最多发送两个数据包，而使用icmp隧道的浏览器会在很短的时间内产生上千个icmp数据包 2.注意那些payload大与64bit的icmp数据包 3.寻找响应数据包中的payload

2.2K3 2

ATT&CK视角下的红蓝对抗：二. 内网探测协议出网

当我们遇到这种情况时，可以通过本章节中所讲到的方法，利用各种包含该协议的方式探测目标主机允许哪些协议出网，根据探测到的协议信息进行隧道穿透。...在使用nc开启监听执行连接的过程中，会发起TCP请求和响应时，同时也会产生数据包，通过在本地主机中使用Wireshark流量分析软件来抓取发起连接过程的数据包，后续通过抓取到的数据包来查看TCP三次握手连接过程...1.Windows系统探测ICMP协议出网（1）Ping命令 Ping命令想必是大家最熟悉的命令了，Ping命令经常用于测试网络连通性，由于该命令是基于ICMP协议来实现的，因此Ping是ICMP...图片五.本篇总结随着隧道技术的不断更新迭代，越来越多的攻击者利用隧道技术攻击企业内网，通过本篇文章从多维度分析隧道隐蔽技术的划分及对隧道技术整体来讲解，其中包含基础知识概括和相关隧道工具的利用方式及隧道隐蔽技术的检测防护方法...，并且通过大量的案例来演示了多个实际常见的隧道场景，比如我们通过拿到系统权限后利用多个协议实现隧道穿透、端口转发、内网穿透，总之，希望本篇内容对读者有所帮助。

96116 2

内网渗透测试研究：隐藏通讯隧道技术

在实际的网络中，通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况，如果发现异样，就会对通信进行阻断。那么什么是隧道呢？这里的隧道，就是一种绕过端口屏蔽的通信方式。...防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装，然后穿过防火墙，与对方进行通信。当封装的数据包到达目的地时，将数据包还原，并将还原后的数据包发送到相应服务器上。...将 IPv6封装在IPv4中的过程与其他协议封装相似：隧道一端的节点把IPv6数据报作为要发送给隧道另一端节点的IPv4包中的净荷数据，这样就产生了包含IPv6数据报的IPv4数据报流。...在一些网络环境中，如果攻击者使用各类上层隧道（例如HTTP隧道、DNS隧道、常规端口转发等）进行的操作都失败了，由于防火墙不会屏蔽ping数据包，所以常常会通过ping命令访问远程主机，尝试建立ICMP...隧道，将TCP/UDP数据封装到ICMP的ping数据包中，从而穿过防火墙，实现不受限制的网络访问。

1.9K6 0

内网转发及隐蔽隧道 | 网络层隧道技术之ICMP隧道(pingTunnelIcmpTunnel)

在一般的通信协议里，如果两台设备要进行通信，肯定需要开放端口，而在ICMP协议下就不需要。最常见的ping命令就是利用的ICMP协议，攻击者可以利用命令行得到比回复更多的ICMP请求。...在一些网络环境中，如果攻击者使用各类上层隧道(例如：HTTP隧道、DNS隧道、常规正/反向端口转发等)进行的操作都失败了，常常会通过ping命令访问远程计算机，尝试建立ICMP隧道，将TCP/UDP数据封装到...ICMP的ping数据包中，从而穿过防火墙(防火墙一般不会屏蔽ping的数据包)，实现不受限制的访问访问。...隧道是指将TCP连接通过ICMP包进行隧道传送的一种方法。...icmptunnel是一个将IP流量封装到 ICMP echo请求和回复（ping）包中的隧道工具，是在允许 ping 的网络中进行拓展、绕过防火墙的一种半隐蔽方式。

2.7K1 0

传统恶意程序通信方式的演变及检测

随着防火墙还有边界检测产品的出现，对TCP的数据格式端口进行了限制，普通的TCP反弹又变得很难生存，这个时候出现了数据封装，比如传递数据的时候使用http使用smt隧道等统称为数据封装。...HTTP恶意流量检测方法 1、基于情报：域名、IP 2、基于规则：数据包特征（URI、参数、user-agent、host等） 3、将文件从流量中还原只要从流量中下载了文件，我把这个文件给它提取出来还原...像这些信息ICMP防火墙通常不会拦截。 2-9.png ICMP协议主要有两类，第一类称为差错报文。当主机A给B发送一个数据包的时候，网络中传输中间可能要经过很多台路由器。...ICMP恶意流量的检测方法ICMP的优势： 1、穿透防火墙 2、绕过传统的基于数据包规则检测检测方法： 1、频率：检测同一来源ICMP数据包的频率 2、payload长度 3、数据一致性：请求与相应的...DNS隧道的检测办法DNS隧道通信的优势： 1、穿透防火墙 2、绕过传统的基于数据包规则检测；直连型检测方法 1、频率 2、请求类型为TXT且无A记录解析结果 3、是否为可信DNS服务器 4、数据特征

1.9K3 0

内网隧道之ICMP隧道

ICMP隧道简介 ICMP是一个比较特殊的协议，在一般的通信协议里如果两台设备要进行通信，肯定需要开放端口，而在ICMP协议下就不需要，最常见的ICMP消息为ping命令的回复，攻击者可以利用命令行得到比回复更多的...ICMP请求，在通常情况下，每个ping命令都有相对应的回复与请求在一些内部网络环境中，大部分系统都位于防火墙和公司代理之后以便控制入站和出站Internet流量，防火墙可以阻止反向并绑定TCP连接，...但是大多数情况下允许ICMP流量，因此，可以将此协议用作隐蔽通道，以便获取shell并在目标主机上远程执行命令 ICMP隧道使用常用的ICMP隧道工具有icmpsh、PingTunnel、icmptunnel...ICMP数据包分析，以检测恶意ICMP流量，具体方法如下：检测同一来源的ICMP数据包的数量，一个正常的ping命令每秒最多发送两个数据包，而使用ICMP隧道的浏览器会在很短的时间内产生上千个ICMP...数据包注意哪些Payload大于64bit的ICMP数据包 寻找响应数据包中的Payload与请求数据包中的Payload不一致的ICMP数据包。

2.4K1 1

浅析Icmp原理及隐蔽攻击的方式

将这两个值与回送回答报文中的相同字段值一比较，送行方计算机就能够简单地检测回送回答是否正确了。...两种报文，把数据隐藏在ICMP数据包包头的选项域中，利用ping命令建立隐蔽通道。...所以现在的ICMP隧道技术，基本采用修改ICMPECHO和ICMPECHOREPLY两种报文，把消息隐藏在数据中，利用ping或 tracert 命令建立隐蔽通道。...优缺点优点： 防火墙对ICMP_ECHO数据包是放行的，并且内部主机不会检查ICMP数据包所携带的数据内容，隐蔽性高缺点： ICMP隐蔽传输是无连接的，传输不是很稳定，而且隐蔽通道的带宽很低利用隧道传输时...隧道攻击的方式： 1、检测同一源的ICMP数据包的流量。

1.9K1 0

一个图形化PING测试工具

这种灵活性使得可以将数据包封装在ICMP消息中，并通过网络传输，因为数据字段的内容并不受到太多的限制，只要它在特定的消息类型和代码下合法。...封装和解封装：发送端将要传输的数据包封装在一个ICMP消息中，然后将该ICMP消息封装在一个IP数据包中，以便将其发送到目标。...隧道技术： ICMP隧道技术利用了ICMP消息的封装和解封装能力，使得数据包可以在ICMP消息中进行传输。...通常，ICMP隧道软件会将要传输的数据分割成小块，并将每个小块封装在不同的ICMP消息中，然后发送到目标。...隐蔽性： ICMP隧道通常不太容易被网络审查或防火墙检测到，因为ICMP消息在网络中非常常见，用于各种网络管理任务。这使得ICMP隧道成为一种潜在的隐蔽通信方法。

2325 0

计算机网络——抓包与分析

端口镜像：利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。 ARP欺骗：交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。...图片他可以调用ICMP协议，给指定的一个IP地址发送一个封装好的数据包，如果那个IP存在，再次经过IMCP协议的处理，会返货一个同样大小的数据包会来。...ping命令是一个很好的连通性检测工具，但是也并不是ping命令结果为超时就代表这个指定IP不存在，由IP的底层原理就可以看出，想要ping命令生效，检测的双方必须都支持ICMP协议，如果指定IP的那个一方的防火墙被设定为不支持...地址进行ping，由于我们访问的目的IP是存在的，那我们的数据包是经过追踪出的每一个IP转发出去的，这些IP在公网中一定是存在的，但是由于其不支持ICMP协议，显然ping命令不能检测到他们，证明ping...ping命令产生的数据包详解 ping命令本身属于应用层，在执行的时候会通过调用网络层TCP/IP协议簇中的ICMP协议，此时首先会产生一个IMCP数据报文，报文的所有内容如如下图所示：图片

7912 0

浅谈IPv6的风险防御

如图所示，因为目标服务器客户已经在防火墙上设置了禁ping，所以这里我们只看解析的地址，很明显，这是ipv4地址。那么我们如何解析为ipv6的地址，让它走ipv6的流量呢。...利用IPv6协议漏洞的攻击，目前已知的IPv6攻击手段有NDP欺骗攻击、路由重定向攻击、ICMPv6协议攻击（Overlarge Ping等）、基于IPv6的SYN Flood攻击等，其中NDP中欺骗攻击...双栈机制允许访问路径沿途设备同时支持IPv4与IPv6数据包，如果攻击者控制一台IPv4设备，可以建立IPv6地址的隧道，使用两种协议协同作战，从而绕过防火墙或者IDS设备。...本次验证，假设攻击者已控制服务端主机，通过尝试建立IPv6隧道，测试对IDS设备的穿透效果。测试用例设计如下： ?...2）安全设备对通过IPv6over4隧道实施的内网穿透检测能力不足。此类内网穿透，通常发生在防火墙内部，防火墙难以检测。通过建立IP6over4隧道，又使得攻击隐蔽，可以绕过IPS等安全设备

2K4 0

如何实现支持NAT的ICMP隧道

这里连接管理的主要目的有：数据包重组，保证接收顺序与发送顺序一致数据包确认，丢包重传，保证可靠传输保活检测，及时发现连接中断因此，可以看出，需要设计一套类似于TCP的协议与算法，考虑到ICMP无法全双工的问题...由于ICMP隧道不支持全双工，只能由客户端发送PING包，服务端返回PONG包（上层定义的PING/PONG，非ICMP层的PING/PONG）。...同时，由于NAT会检查ICMP PING和PONG的id与seq字段的一致性，这里保活时发送的PING包还可以起到穿透NAT的作用。...流量控制在网络较差的环境中，过快地发送数据包可能会导致无法及时对数据包进行确认，从而达到超时时间进行重传，又可能进一步降低了网络的可用性。因此，需要需要控制处于发送中状态的数据包数量。...；服务端将收到的客户端数据转发给目标服务，而客户端是将服务端返回的数据转发给隧道创建者隧道创建者或目标服务关闭时都会触发关闭隧道的操作，该操作会通过close事件指定流ID发送给对端，从而关闭流并删除流

7883 0

内网转发及隐蔽隧道 | 使用ICMP进行命令控制(Icmpsh)

使用ICMP进行命令控制(Icmpsh) 目录 ICMP隧道使用ICMP进行命令控制(Icmpsh) ICMP隧道 ICMP隧道简单实用，是一个比较特殊的协议。...在一般的通信协议里，如果两台设备要进行通信，肯定需要开放端口，而在ICMP协议下就不需要。最常见的ping命令就是利用的ICMP协议，攻击者可以利用命令行得到比回复更多的ICMP请求。...在一些网络环境中，如果攻击者使用各类上层隧道(例如：HTTP隧道、DNS隧道、常规正/反向端口转发等)进行的操作都失败了，常常会通过ping命令访问远程计算机，尝试建立ICMP隧道，将TCP/UDP数据封装到...ICMP的ping数据包中，从而穿过防火墙(防火墙一般不会屏蔽ping的数据包)，实现不受限制的访问访问。...-t x.x.x.x -d 500 -b 30 -s 128 抓包，可以看到两者之间通信都是icmp的数据包 相关文章：内网转发及隐蔽隧道 | 网络层隧道技术之ICMP隧道(pingTunnel

6481 0

Python 实现Ping命令状态检测

ping 是一种因特网包探索器，用于测试网络连接量的程序，Ping是工作在TCP/IP网络体系结构中应用层的一个服务命令，主要是向特定的目的主机发送 ICMP 请求报文，测试目的站是否可达及了解其有关状态...数据包的二进制转换 icmp_packet = self.request_ping(data_type, data_code, data_checksum, data_ID, data_Sequence...数据包的二进制转换 icmp_packet = ping.request_ping(data_type, data_code, data_checksum, data_ID, data_Sequence...(dst_addr, icmp_packet) # 数据包传输时间 times = ping.reply_ping(send_request_ping_time, rawsocket...= -1): print("已经连通, 抖动值: {}".format(ref)) 输出测试效果如下：如上我们就可以实现对特定主机执行Ping检测了,接下来我们开始编写一个能够计算出特定范围内主机数的

1K1 0

匿名信使：木马隐蔽通信浅谈

ICMP协议经常会被路由器各种转发，只有type为0和8的ICMP包（ICMP请求与响应，就是通俗说的ping包）更容易通过各种网络。...ICMP和DNS隧道的检测方法类似，均可以使用机器学习来解决：ICMP包的目标、大小、频率、内容来建立基线，是很容易发现异常通信的。...Windows/Linux下的ping包内容就很工整，AI学习下网络里常见的ICMP包内容就行了。...…… 当然，七层的数据包也需要关注，特别是常见的正常的加密协议流量 —— 在我看来，未来的网络流量分析一是要关注正常的加密流量，另一个就是低层协议。...//zhuanlan.zhihu.com/p/33539224 [3] 利用ICMP进行命令控制和隧道传输，https://www.freebuf.com/news/210450.html [4] 基于机器学习的恶意软件加密流量检测研究分享

9542 0

利用ICMP隧道加密隐藏通信Shell - 渗透红队笔记

最常见的ICMP消息为Ping命令的回复，攻击者可以利用命令得到比回复更多的ICMP请求。在通常情况下，每个Ping命令都有相对应的回复与请求。...在一些条件下，如果攻击者使用各类隧道技术（HTTP，DNS，常规正反端口转发等）操作都失败了，常常会通过ping命令访问远程计算机，尝试进行ICMP隧道，将TCP/UDP数据封装到ICMP的ping数据包中...，从而穿过防火墙（通常防火墙不会屏蔽ping数据包），实现不受限制的网络访问。...上篇文章我讲了Icmpsh反弹shell的使用过程：利用ICMP(icmpsh)协议反弹Shell - 渗透红队笔记这篇文章我们来了解一下Icmp的一些特殊情况反弹shell技术。...连接不了内网PC的机子（做了限制），最后我们发现我们的跳板可以和内网PC能够Ping通，那么我们就可以通过ICMP协议隧道来进行远程桌面登陆。

1.4K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭