首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

ICMP 隧道——将流量封装进 IMCP 的 ping 数据包中,旨在利用 ping 穿透防火墙的检测

ICMP 隧道是一种通信技术,它将流量封装进 ICMP(Internet Control Message Protocol,互联网控制报文协议)的 ping 数据包中,旨在利用 ping 穿透防火墙的检测。通过这种技术,数据包可以通过防火墙、NAT设备等,实现穿越或绕过这些设置,从而实现不同网络之间的通信。

具体来说,ICMP 隧道的工作原理是将需要发送的数据包与 ICMP 数据包中的类型字段和代码字段进行匹配,然后将这些数据包封装到新的 ICMP 数据包中,并将 ICMP 数据包的 ID 字段设置为原 ICMP 数据包的 ID 字段加一个特定的数字,以便于接收方能够识别出来。这个过程可以简单地将数据包与 ICMP 类型字段进行匹配,也可以将数据包重新组织,以便于更好地适应不同的防火墙和 NAT 设备。

ICMP 隧道在一些特定的场景下可能会非常有价值,例如在防火墙上配置了访问控制列表的情况。在这种情况下,使用 ICMP 隧道可以在一定程度上绕过防火墙的检测。但是,由于防火墙和 NAT 设备是提供网络安全的重要机制之一,使用 ICMP 隧道可能导致安全隐患,因此一般不建议使用。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

利用ICMP进行命令控制和隧道传输

在这篇文章,你会了解到通过ICMP命令控制和ICMP隧道进行数据窃取RED TEAM行动,使用这两种方法在网络中产生畸形流量,有助于规避防火墙规则。...利用ICMP协议进行命令控制 我们发布很多内容中都讨论了C2通道,又叫做命令控制,具体内容可以在这里找到。而在这篇文章,你会了解到如何ICMP协议用作命令控制通道。...和我们预期结果完全一样,而且由于数据是利用PING请求/回复报文通过网络层传输,因此并不需要指定服务或者端口。这种流量是无法被基于代理防火墙检测,因此这种方式可能绕过一些防火墙规则。 ?...ICMP隧道搭建 ICMP隧道是指TCP连接通过ICMP包进行隧道传送一种方法。在此我们会获取一个被封装到ICMPssh会话。...流量封装到ICMP echo请求和回复(ping)包隧道工具,是在允许ping网络中进行拓展、绕过防火墙一种半隐蔽方式。

1.5K21

ATT&CK视角下红蓝对抗:十五.内网穿透利用ICMP协议进行隧道穿透

一.前言 本文介绍了利用ICMP协议进行隧道穿透方法。ICMP协议不需要开放端口,可以TCP/UDP数据封装到ICMPPing数据包,绕过防火墙限制。...文件传输技巧详解 ATT&CK视角下红蓝对抗:十四.内网穿透之反弹流量分析与检测方法 ATT&CK视角下红蓝对抗:十五.内网穿透利用ICMP协议进行隧道穿透 三.利用ICMP协议进行隧道穿透 下面介绍通过...这种手段优点是不需要开放端口就可将TCP/UDP数据封装到ICMPPing数据包,从而绕过防火墙限制,攻击者可以利用较短命令得到大量ICMP响应,常见ICMP隧道穿透通常可以利用Icmpsh...,默认 1000ms -l 本地地址,发到这个端口流量转发到服务器 -s 服务器地址,流量通过隧道转发到这个服务器 -t 远端服务器转发目的地址,流量转发到这个地址 -timeout 记录连接超时时间...四.本篇总结 本文介绍了利用ICMP协议进行隧道穿透方法。ICMP协议不需要开放端口,可以TCP/UDP数据封装到ICMPPing数据包,绕过防火墙限制。

50860
  • IMCP协议魅力——IMCP隧道

    1、ICMP隧道建立同样是建立在ICMP未被防火墙禁用情况下使用,就是PING命令,其原理就是在ICMP报文传输时候,替换其中Data部分数据,并且对端通过一样工具进行ICMP畸形包处理...从而将恶意流量隐藏在ICMP数据包,形成ICMP隧道。 适用于被攻击主机可ping攻击机,可作为临时绕过防火墙。.../icmpsh_m.py (可能为内网防火墙地址,可通过TcpDump 监听ICMP ,在受害主机上进行PING V** 从而得知,两者要能互相PING...5、总结:Icmpsh 使用简单,通过imcp协议绕过防火墙对其他协议阻拦。要求是两者能够相互ping通信,可直接反弹shell。...或者D主机 ssh -p 22 192.168.137.129 即可 6、总结:ptunnel 用于内网流量中转,以ICMP协议为通道,起到一个内网跳板机作用。

    62910

    基于统计分析ICMP隧道检测方法与实现

    由于防火墙ICMP协议开放,恶意攻击者常会利用ICMP协议进行非法通信。...,而黑客又需要回传文件,这个时候如果黑客可以ping通远程计算机,就可以尝试建立ICMP隧道ICMP隧道流量装进 ping 数据包旨在利用 ping数据穿透防火墙检测。...本文将为大家介绍一种简单而有效icmp隧道检测技术。我们利用Spark Streaming,来帮助我们检测ICMP隧道。...正常ping每秒只会发送2个数据包,而ICMP隧道可以每秒发送很多个; 检测数据包 payload 大小。...正常ping产生数据包请求响应内容一致,而ICMP隧道请求响应数据包可以一致,也可以不一致; 检测数据包 payload 内容。

    1.8K30

    内网隧道穿透流量检测与防护

    ICMP隧道检测与防护 在真实环境ICMP协议经常会被用来检测网络连通状态,而防火墙是会默认允许ICMP协议通信,因此越来越多攻击者会利用ICMP协议进行非法通信,通过ICMP协议搭建隐蔽隧道加密恶意流量...ICMP隧道技术核心是改变操作系统默认填充Data,替换成我们自己数据,但是正常ping数据包利用ICMP隧道发送异常ping数据包是不同,因此可以检测分析PING数据包数量、数据包payload...2.DNS隧道流量检测与防护DNS隧道是一种隐蔽隧道,通过数据或命令封装到DNS协议进行数据、命令等传输隧道,其利用原理为防火墙针对DNS报文不会进行拦截阻断,而且目前杀毒软件、入侵检测防护等安全策略很少对...载荷分析是根据正常DNS域名满足 zipf定律,而DNS隧道域名遵循是随机分布这一原则去检测主机名,超过52个字符DNS请求作为识别DNS隧道特征,流量监测则是检测网络DNS流量变化情况...HTTP隧道核心技术是HTTP正常流量作为隧道流量在通信过程嵌入隧道流量,实现对目标主机恶意攻击行为,HTTP隐蔽隧道可以利用HTTP头隐蔽隧道和HTTP载荷隐蔽隧道进行检测分析,在HTTP隧道

    89610

    内网渗透基石篇-- 隐藏通信隧道技术(上)

    防火墙两端数据包通过防火墙所允许数据包类型或端口进行封装,然后穿过防火墙,与对方进行通信。当封装数据包到达目的地时,数据包还原,并将还原后数据包发送到相应服务器上。...常见运行流量流出端口有80,8080 ,443,53,110,1213等 1.ICMP协议 场景:两台机器间,除了允许互ping,其他TCP/UDP端口一律不允许,此时可以考虑使用ICMP进行穿透...此外HTTP隧道是没有进行加密,不安全,一般再嵌套一个SSH安全隧道 场景 1.内网防火墙具有协议检测和识别能力且仅允许HTTP流量出去外网 2.内网具备深度包检测能力且仅允许HTTP流量出去外网但可以检测明文传输...3.关闭系统Ping应答 ? 4.然后进入目录,运行./run.sh ? ? 5.然后运行成功。 ? 3.防御icmcp隧道攻击方法 1.检测同一来源icmp数据包数量。...一个正常ping命令每秒最多发送两个数据包,而使用icmp隧道浏览器会在很短时间内产生上千个icmp数据包 2.注意那些payload大与64biticmp数据包 3.寻找响应数据包payload

    2.5K32

    ATT&CK视角下红蓝对抗:二. 内网探测协议出网

    当我们遇到这种情况时,可以通过本章节中所讲到方法,利用各种包含该协议方式探测目标主机允许哪些协议出网,根据探测到协议信息进行隧道穿透。...在使用nc开启监听执行连接过程,会发起TCP请求和响应时,同时也会产生数据包,通过在本地主机中使用Wireshark流量分析软件来抓取发起连接过程数据包,后续通过抓取到数据包来查看TCP三次握手连接过程...1.Windows系统探测ICMP协议出网(1)Ping命令 Ping命令想必是大家最熟悉命令了,Ping命令经常用于测试网络连通性,由于该命令是基于ICMP协议来实现,因此PingICMP...图片五.本篇总结 随着隧道技术不断更新迭代,越来越多攻击者利用隧道技术攻击企业内网,通过本篇文章从多维度分析隧道隐蔽技术划分及对隧道技术整体来讲解,其中包含基础知识概括和相关隧道工具利用方式及隧道隐蔽技术检测防护方法...,并且通过大量案例来演示了多个实际常见隧道场景,比如我们通过拿到系统权限后利用多个协议实现隧道穿透、端口转发、内网穿透,总之,希望本篇内容对读者有所帮助。

    1.6K162

    内网渗透测试研究:隐藏通讯隧道技术

    在实际网络,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。那么什么是隧道呢?这里隧道,就是一种绕过端口屏蔽通信方式。...防火墙两端数据包通过防火墙所允许数据包类型或端口进行封装,然后穿过防火墙,与对方进行通信。当封装数据包到达目的地时,数据包还原,并将还原后数据包发送到相应服务器上。... IPv6装在IPv4过程与其他协议封装相似:隧道一端节点把IPv6数据报作为要发送给隧道另一端节点IPv4包净荷数据,这样就产生了包含IPv6数据报IPv4数据报流。...在一些网络环境,如果攻击者使用各类上层隧道(例如HTTP隧道、DNS隧道、常规端口转发等)进行操作都失败了,由于防火墙不会屏蔽ping数据包,所以常常会通过ping命令访问远程主机,尝试建立ICMP...隧道TCP/UDP数据封装到ICMPping数据包,从而穿过防火墙,实现不受限制网络访问。

    2K60

    内网转发及隐蔽隧道 | 网络层隧道技术之ICMP隧道(pingTunnelIcmpTunnel)

    在一般通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见ping命令就是利用ICMP协议,攻击者可以利用命令行得到比回复更多ICMP请求。...在一些网络环境,如果攻击者使用各类上层隧道(例如:HTTP隧道、DNS隧道、常规正/反向端口转发等)进行操作都失败了,常常会通过ping命令访问远程计算机,尝试建立ICMP隧道TCP/UDP数据封装到...ICMPping数据包,从而穿过防火墙(防火墙一般不会屏蔽ping数据包),实现不受限制访问访问。...隧道是指TCP连接通过ICMP包进行隧道传送一种方法。...icmptunnel是一个IP流量封装到 ICMP echo请求和回复(ping)包隧道工具,是在允许 ping 网络中进行拓展、绕过防火墙一种半隐蔽方式。

    3.3K10

    内网隧道ICMP隧道

    ICMP隧道简介 ICMP是一个比较特殊协议,在一般通信协议里如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要,最常见ICMP消息为ping命令回复,攻击者可以利用命令行得到比回复更多...ICMP请求,在通常情况下,每个ping命令都有相对应回复与请求 在一些内部网络环境,大部分系统都位于防火墙和公司代理之后以便控制入站和出站Internet流量防火墙可以阻止反向并绑定TCP连接,...但是大多数情况下允许ICMP流量,因此,可以将此协议用作隐蔽通道,以便获取shell并在目标主机上远程执行命令 ICMP隧道使用 常用ICMP隧道工具有icmpsh、PingTunnel、icmptunnel...ICMP数据包分析,以检测恶意ICMP流量,具体方法如下: 检测同一来源ICMP数据包数量,一个正常ping命令每秒最多发送两个数据包,而使用ICMP隧道浏览器会在很短时间内产生上千个ICMP...数据包 注意哪些Payload大于64bitICMP数据包 寻找响应数据包Payload与请求数据包Payload不一致ICMP数据包

    2.7K11

    传统恶意程序通信方式演变及检测

    随着防火墙还有边界检测产品出现,对TCP数据格式端口进行了限制,普通TCP反弹又变得很难生存,这个时候出现了数据封装,比如传递数据时候使用http使用smt隧道等统称为数据封装。...HTTP恶意流量检测方法 1、基于情报:域名、IP 2、基于规则:数据包特征(URI、参数、user-agent、host等) 3、文件从流量还原 只要从流量中下载了文件,我把这个文件给它提取出来还原...像这些信息ICMP防火墙通常不会拦截。 2-9.png ICMP协议主要有两类,第一类称为差错报文。 ​ 当主机A给B发送一个数据包时候,网络传输中间可能要经过很多台路由器。...ICMP恶意流量检测方法ICMP优势: 1、穿透防火墙 2、绕过传统基于数据包规则检测 检测方法: 1、频率:检测同一来源ICMP数据包频率 2、payload长度 3、数据一致性:请求与相应...DNS隧道检测办法DNS隧道通信优势: 1、穿透防火墙 2、绕过传统基于数据包规则检测; 直连型检测方法 1、频率 2、请求类型为TXT且无A记录解析结果 3、是否为可信DNS服务器 4、数据特征

    2K30

    浅析Icmp原理及隐蔽攻击方式

    这两个值与回送回答报文中相同字段值一比较,送行方计算机就能够简单地检测回送回答是否正确了。...两种报文,把数据隐藏在ICMP数据包包头选项域中,利用ping命令建立隐蔽通道。...所以现在ICMP隧道技术,基本采用修改ICMPECHO和ICMPECHOREPLY两种报文,把消息隐藏在数据利用ping或 tracert 命令建立隐蔽通道。...优缺点 优点: 防火墙ICMP_ECHO数据包是放行,并且内部主机不会检查ICMP数据包所携带数据内容,隐蔽性高 缺点: ICMP隐蔽传输是无连接,传输不是很稳定,而且隐蔽通道带宽很低 利用隧道传输时...隧道攻击方式: 1、检测同一源ICMP数据包流量

    2.3K10

    一个图形化PING测试工具

    这种灵活性使得可以数据包封装在ICMP消息,并通过网络传输,因为数据字段内容并不受到太多限制,只要它在特定消息类型和代码下合法。...封装和解封装:发送端将要传输数据包封装在一个ICMP消息,然后将该ICMP消息封装在一个IP数据包,以便将其发送到目标。...隧道技术: ICMP隧道技术利用ICMP消息封装和解封装能力,使得数据包可以在ICMP消息中进行传输。...通常,ICMP隧道软件会将要传输数据分割成小块,并将每个小块封装在不同ICMP消息,然后发送到目标。...隐蔽性: ICMP隧道通常不太容易被网络审查或防火墙检测到,因为ICMP消息在网络中非常常见,用于各种网络管理任务。这使得ICMP隧道成为一种潜在隐蔽通信方法。

    34750

    浅谈IPv6风险防御

    如图所示,因为目标服务器客户已经在防火墙上设置了禁ping,所以这里我们只看解析地址,很明显,这是ipv4地址。 那么我们如何解析为ipv6地址,让它走ipv6流量呢。...利用IPv6协议漏洞攻击,目前已知IPv6攻击手段有NDP欺骗攻击、路由重定向攻击、ICMPv6协议攻击(Overlarge Ping等)、基于IPv6SYN Flood攻击等,其中NDP欺骗攻击...双栈机制允许访问路径沿途设备同时支持IPv4与IPv6数据包,如果攻击者控制一台IPv4设备,可以建立IPv6地址隧道,使用两种协议协同作战,从而绕过防火墙或者IDS设备。...本次验证,假设攻击者已控制服务端主机,通过尝试建立IPv6隧道,测试对IDS设备穿透效果。测试用例设计如下: ?...2)安全设备对通过IPv6over4隧道实施内网穿透检测能力不足。此类内网穿透,通常发生在防火墙内部,防火墙难以检测。通过建立IP6over4隧道,又使得攻击隐蔽,可以绕过IPS等安全设备

    2.1K40

    如何实现支持NATICMP隧道

    这里连接管理主要目的有:数据包重组,保证接收顺序与发送顺序一致数据包确认,丢包重传,保证可靠传输保活检测,及时发现连接中断因此,可以看出,需要设计一套类似于TCP协议与算法,考虑到ICMP无法全双工问题...由于ICMP隧道不支持全双工,只能由客户端发送PING包,服务端返回PONG包(上层定义PING/PONG,非ICMPPING/PONG)。...同时,由于NAT会检查ICMP PING和PONGid与seq字段一致性,这里保活时发送PING包还可以起到穿透NAT作用。...流量控制在网络较差环境,过快地发送数据包可能会导致无法及时对数据包进行确认,从而达到超时时间进行重传,又可能进一步降低了网络可用性。因此,需要需要控制处于发送状态数据包数量。...;服务端收到客户端数据转发给目标服务,而客户端是服务端返回数据转发给隧道创建者隧道创建者或目标服务关闭时都会触发关闭隧道操作,该操作会通过close事件指定流ID发送给对端,从而关闭流并删除流

    89630

    计算机网络——抓包与分析

    端口镜像:利用交换机接口,局域网网络流量转发到指定电脑网卡上。 ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端MAC地址,从而获取局域网网络流量。...图片 ​ 他可以调用ICMP协议,给指定一个IP地址发送一个封装好数据包,如果那个IP存在,再次经过IMCP协议处理,会返货一个同样大小数据包会来。...ping命令是一个很好连通性检测工具,但是也并不是ping命令结果为超时就代表这个指定IP不存在,由IP底层原理就可以看出,想要ping命令生效,检测双方必须都支持ICMP协议,如果指定IP那个一方防火墙被设定为不支持...地址进行ping,由于我们访问目的IP是存在,那我们数据包是经过追踪出每一个IP转发出去,这些IP在公网中一定是存在,但是由于其不支持ICMP协议,显然ping命令不能检测到他们,证明ping...ping命令产生数据包详解 ​ ping命令本身属于应用层,在执行时候会通过调用网络层TCP/IP协议簇ICMP协议,此时首先会产生一个IMCP数据报文,报文所有内容如如下图所示: 图片

    97620

    Python 实现Ping命令状态检测

    ping 是一种因特网包探索器,用于测试网络连接量程序,Ping是工作在TCP/IP网络体系结构应用层一个服务命令,主要是向特定目的主机发送 ICMP 请求报文,测试目的站是否可达及了解其有关状态...数据包二进制转换 icmp_packet = self.request_ping(data_type, data_code, data_checksum, data_ID, data_Sequence...数据包二进制转换 icmp_packet = ping.request_ping(data_type, data_code, data_checksum, data_ID, data_Sequence...(dst_addr, icmp_packet) # 数据包传输时间 times = ping.reply_ping(send_request_ping_time, rawsocket...= -1): print("已经连通, 抖动值: {}".format(ref)) 输出测试效果如下: 如上我们就可以实现对特定主机执行Ping检测了,接下来我们开始编写一个能够计算出特定范围内主机数

    1.2K10

    内网转发及隐蔽隧道 | 使用ICMP进行命令控制(Icmpsh)

    使用ICMP进行命令控制(Icmpsh) 目录 ICMP隧道 使用ICMP进行命令控制(Icmpsh) ICMP隧道 ICMP隧道简单实用,是一个比较特殊协议。...在一般通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见ping命令就是利用ICMP协议,攻击者可以利用命令行得到比回复更多ICMP请求。...在一些网络环境,如果攻击者使用各类上层隧道(例如:HTTP隧道、DNS隧道、常规正/反向端口转发等)进行操作都失败了,常常会通过ping命令访问远程计算机,尝试建立ICMP隧道TCP/UDP数据封装到...ICMPping数据包,从而穿过防火墙(防火墙一般不会屏蔽ping数据包),实现不受限制访问访问。...-t x.x.x.x -d 500 -b 30 -s 128 抓包,可以看到两者之间通信都是icmp数据包 相关文章: 内网转发及隐蔽隧道 | 网络层隧道技术之ICMP隧道(pingTunnel

    74710

    内网穿透之IPv6隧道构建使用

    ,可以直接发送报文,如果不知道IP地址就需要将域名解析为IP地址,在实际网络,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异常,就会对通信进行阻断 隧道是指一种绕过端口屏蔽通信方式...,防火墙两端数据包通过防火墙所允许数据包类型或者端口进行封装,然后穿过防火墙与对方进行通信,当被封装数据包到达目的地时,再将数据包还原,并将还原数据包发送到相应服务器上,常见隧道列举如下:...常见允许流量流出端口有80、8080、443、53、110、123等,常用内网连通性判断方法如下: ICMP协议 执行命令"ping ",如下图所示: TCP协议 netcat(...DNS探测命令,其用法如下所示: 代理服务器 还有一种情况是流量不能直接流出,需要在内网设置代理服务器,常用于通过企业办公网段上网场景,常用判断方法如下: 查看网络连接,判断是否存在与其他机器8080...IPv6隧道技术是指通过IPv4隧道传送到IPv6数据报文技术,为了在IPv4海洋传递IPv6信息,可以IPv4作为隧道载体,IPv6报文整个封装在IPv4数据报文中,使IPv6报文能够穿过IPv4

    43310

    匿名信使:木马隐蔽通信浅谈

    ICMP协议经常会被路由器各种转发,只有type为0和8ICMP包(ICMP请求与响应,就是通俗说ping包)更容易通过各种网络。...ICMP和DNS隧道检测方法类似,均可以使用机器学习来解决:ICMP目标、大小、频率、内容来建立基线,是很容易发现异常通信。...Windows/Linux下ping包内容就很工整,AI学习下网络里常见ICMP包内容就行了。...…… 当然,七层数据包也需要关注,特别是常见正常加密协议流量 —— 在我看来,未来网络流量分析一是要关注正常加密流量,另一个就是低层协议。...//zhuanlan.zhihu.com/p/33539224 [3] 利用ICMP进行命令控制和隧道传输,https://www.freebuf.com/news/210450.html [4] 基于机器学习恶意软件加密流量检测研究分享

    1K20
    领券