网安知识
ICMP隧道通信原理与通信特征
2019-12-05 11:11

一 ICMP 隧道技术解析

ICMP协议

ICMP(InternetControl MessageProtocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

主要概念有:

1.确认ip数据包是否成功到达目的地

2.通知源主机发送ip数据包丢失的原因

3.ICMP是基于IP协议工作的

4.ICMP只能作用于IPV4,IPV6下,使用ICMPv6

ICMP帧格式如下所示

图片1.png

其中,类型和代码字段决定了ICMP报文的类型,如下图所示

图片2.png


ICMP隧道技术原理

由于ICMP报文自身可以携带数据,而且ICMP报文是由系统内核处理的,不占用任何端口,因此具有很高的隐蔽性。

通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文,把数据隐藏在ICMP数据包包头的选项域中,利用ping命令建立隐蔽通道。

图片3.png

进行隐蔽传输的时候,肉鸡(防火墙内部)运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,肉鸡接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。

图片3.png

简单的说就是,利用ICMP的请求和应答数据包,伪造Ping命令的数据包形式,实现绕过防火墙和入侵检测系统的阻拦。


ICMP隧道优缺点

优点:

1.防火墙对ICMP_ECHO数据包是放行的,并且内部主机不会检查ICMP数据包所携带的数据内容,隐蔽性高。

缺点:

1.ICMP隐蔽传输是无连接的,传输不是很稳定,而且隐蔽通道的带宽很低

2.利用隧道传输时,需要接触更低层次的协议,这就需要高级用户权限


二 ICMP隧道攻击实现以及流行工具展示

icmpsh

这一工具简单并且便携。受控端(客户端)使用C语言实现。只能运行在目标Windows机器上,而主控端(服务端)由于已经有C和Perl实现的版本,而且之后又移植到了Python上,因此可以运行在任何平台的攻击者机器中。

icmpsh建立隧道及数据包分析

图片5.jpg

可以看到已经实现成功。抓包,可以看到我们输入的命令

图片6.jpg

icmptunnel

icmptunnel是通过创建虚拟网卡,将所有流量都经过这个虚拟网卡。即ICMP隧道

icmptunnel建立隧道及数据包分析

客户端主机上的所有用户流量都路由到虚拟网卡tun0。icmptunnel在此接口上侦听IP数据包。这些数据包封装在ICMP回显数据包中。

图片7.png

建立ICMP隧道

图片8.jpg

此时所有流量都通过虚拟网卡,即icmp隧道

图片9.png

图片0.png

ptunnel

ptunnel支持大多数具有libpcap的操作系统,从版本0.7开始,ptunnel也可以在Windows上编译。

前提是需要装WinPcap

petunnel 建立隧道及数据包分析

图片11.png

图片12.png

使用命令建立ICMP隧道

图片13.png

三 检测icmp隧道通信特征

icmp会话中数据包的总数

一个正常的 ping每秒最多只会发送两个数据包,而使用ICMP隧道的浏览器在同一时间会产生大量ICMP 数据包。

图片14.png

隧道数据通常比较大

ICMP隧道数据包中DATA 往往大于64 比特

图片15.png

请求包和响应包内容不一致

图片16.png

图片17.png

而正常的icmp数据包里,请求和回应部分数据是一致的

图片18.png

图片19.png

部分隧道工具会显示tun的标志

图片20.png


看完文章,可以上合天网安实验室学习哦!

Wireshark数据抓包分析之互联网控制报文协议http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015072017274900001


上一篇:浅析Shiro Padding Oracle Attack
下一篇:攻击和审计Docker容器01
版权所有 合天智汇信息技术有限公司 2013-2018 湘ICP备14001562号-6
Copyright © 2013-2018 Heetian Corporation, All rights reserved
4006-123-731