這篇文章將為大家詳細講解有關(guān)ICMP隧道通信原理與通信特征是什么，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供未央企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站建設(shè)、成都做網(wǎng)站、html5、小程序制作等業(yè)務(wù)。10年已為未央眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進行中。

一、ICMP 隧道技術(shù)解析

ICMP協(xié)議

ICMP（Internet Control Message Protocol）Internet控制報文協(xié)議。它是TCP/IP協(xié)議簇的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。

主要概念有：

1.確認(rèn)ip數(shù)據(jù)包是否成功到達目的地

2.通知源主機發(fā)送ip數(shù)據(jù)包丟失的原因

3.ICMP是基于IP協(xié)議工作的

4.ICMP只能作用于IPV4，IPV6下，使用ICMPv6

ICMP幀格式如下所示

其中，類型和代碼字段決定了ICMP報文的類型，如下圖所示

ICMP隧道技術(shù)原理

由于ICMP報文自身可以攜帶數(shù)據(jù)，而且ICMP報文是由系統(tǒng)內(nèi)核處理的，不占用任何端口，因此具有很高的隱蔽性。

通常ICMP隧道技術(shù)采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY兩種報文，把數(shù)據(jù)隱藏在ICMP數(shù)據(jù)包包頭的選項域中，利用ping命令建立隱蔽通道。

進行隱蔽傳輸?shù)臅r候，肉雞(防火墻內(nèi)部)運行并接受外部攻擊端的ICMP_ECHO數(shù)據(jù)包，攻擊端把需要執(zhí)行的命令隱藏在ICMP_ECHO數(shù)據(jù)包中，肉雞接收到該數(shù)據(jù)包，解出其中隱藏的命令，并在防火墻內(nèi)部主機上執(zhí)行，再把執(zhí)行結(jié)果隱藏在ICMP_ECHOREPLY數(shù)據(jù)包中，發(fā)送給外部攻擊端。

簡單的說就是，利用ICMP的請求和應(yīng)答數(shù)據(jù)包，偽造Ping命令的數(shù)據(jù)包形式，實現(xiàn)繞過防火墻和入侵檢測系統(tǒng)的阻攔。

ICMP隧道優(yōu)缺點

優(yōu)點：

1.防火墻對ICMP_ECHO數(shù)據(jù)包是放行的，并且內(nèi)部主機不會檢查ICMP數(shù)據(jù)包所攜帶的數(shù)據(jù)內(nèi)容，隱蔽性高。

缺點：

1.ICMP隱蔽傳輸是無連接的，傳輸不是很穩(wěn)定，而且隱蔽通道的帶寬很低

2.利用隧道傳輸時，需要接觸更低層次的協(xié)議 ，這就需要高級用戶權(quán)限

二、ICMP隧道攻擊實現(xiàn)以及流行工具展示

icmpsh

這一工具簡單并且便攜。受控端（客戶端）使用C語言實現(xiàn)。只能運行在目標(biāo)Windows機器上，而主控端（服務(wù)端）由于已經(jīng)有C和Perl實現(xiàn)的版本，而且之后又移植到了Python上，因此可以運行在任何平臺的攻擊者機器中。

icmpsh建立隧道及數(shù)據(jù)包分析

可以看到已經(jīng)實現(xiàn)成功。

抓包，可以看到我們輸入的命令

icmptunnel

icmptunnel是通過創(chuàng)建虛擬網(wǎng)卡，將所有流量都經(jīng)過這個虛擬網(wǎng)卡。即ICMP隧道

1. icmptunnel建立隧道及數(shù)據(jù)包分析

客戶端主機上的所有用戶流量都路由到虛擬網(wǎng)卡tun0。icmptunnel在此接口上偵聽IP數(shù)據(jù)包。這些數(shù)據(jù)包封裝在ICMP回顯數(shù)據(jù)包中。

建立ICMP隧道

此時所有流量都通過虛擬網(wǎng)卡，即icmp隧道

ptunnel

ptunnel支持大多數(shù)具有l(wèi)ibpcap的操作系統(tǒng)，從版本0.7開始，ptunnel也可以在Windows上編譯。

前提是需要裝WinPcap

1. petunnel 建立隧道及數(shù)據(jù)包分析

使用命令建立ICMP隧道

三、檢測icmp隧道通信特征

icmp會話中數(shù)據(jù)包的總數(shù)

一個正常的 ping 每秒最多只會發(fā)送兩個數(shù)據(jù)包，而使用 ICMP隧道的瀏覽器在同一時間會產(chǎn)生大量 ICMP 數(shù)據(jù)包。

隧道數(shù)據(jù)通常比較大

ICMP隧道 數(shù)據(jù)包中DATA 往往大于 64 比特

請求包和響應(yīng)包內(nèi)容不一致

而正常的icmp數(shù)據(jù)包里，請求和回應(yīng)部分?jǐn)?shù)據(jù)是一致的

部分隧道工具會顯示tun的標(biāo)志

關(guān)于ICMP隧道通信原理與通信特征是什么就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

網(wǎng)頁標(biāo)題：ICMP隧道通信原理與通信特征是什么
文章地址：http://sd-ha.com/article46/josohg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、標(biāo)簽優(yōu)化、手機網(wǎng)站建設(shè)、App開發(fā)、App設(shè)計、用戶體驗

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)