标签:协议 隧道 渗透 通信 IPv4 IPv6 ICMP 隐藏
前言
完成内网信息收集工作后,渗透测试人员需要判断流量是否出的去、进的来,隐藏通信隧道技术通常用在访问受限的网络环境中追踪数据流向和在非受信任的网络中实现安全的信息传输。
隐藏通信隧道基础知识
隐藏通信隧道概述
一般的网络通信,先在两台机器之间建立TCP连接,然后进行正常的数据通信。但是在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接的情况,如果发生异常,就会对通信进行阻断。
隧道,就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装,然后穿过防火墙,与对方进行通信。当被封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应的服务器上。常见的隧道列举如下:
- 网络层:IPv6隧道、ICMP隧道、GRE隧道
- 传输层:TCP隧道、UDP隧道、常规端口转发
- 应用层:SSH隧道、HTTP隧道、HTTS隧道、DNS隧道
判断内网的连通性
判断内网的连通性是指判断机器能否上外网等。要综合判断各种协议(TCP、HTTP、DNS、ICMP等)及其端口的通信情况,常见的允许流量流出的端口有80、8080、443、53、110、123等。
几个判断内网连通性的方法:
-
ICMP协议
- 执行命令"ping<IP地址或域名>"
-
TCP协议
- 使用netcat工具,执行命令"nc<IP地址 端口号>"
-
HTTP协议
- 使用curl工具,执行命令"curl<IP地址:端口号>"
-
DNS协议
- nslookup -h 查看命令帮助 Windows操作系统
- dig -h 查看命令帮助 Linux操作系统
网络层隧道协议
IPv6
IPv6隧道
"IPv6"是"Internet Protrol Version 6"的缩写,也被称为是下一代互联网协议,它是由IETF(The Internet Engineering Task Force,国际互联网工程任务组)设计用来代替现行的IPv4协议的一种新的IP协议,IPv4协议已经使用了20多年,目前面临着地址匮乏等一系列问题,而IPv6则能从根本上解决这些问题,现在,由于IPv4资源几乎耗尽,IPv6开始进入过渡阶段。
IPv6隧道技术
- IPv6隧道技术指的是通过IPv4隧道传送IPv6数据报文的技术,为了在IPv4的海洋中传输IPv6信息,可以将IPv4作为隧道载体,将IPv6报文整体封装在IPv4数据报文中,使IPv6能够穿越IPv4的海洋,到达另一个IPv6小岛。
- 攻击者有时会通过恶意软件来配置允许进行IPv6通信的设备,以避开防火墙和入侵检测系统。
- 支持IPv6的隧道工具有socat、6tunnel、nt6tunnel等。
防御IPv6隧道攻击的办法
针对IPv6隧道攻击,最好的防御办法是:了解IPv6的具体漏洞,结合其他协议,通过防火墙和深度防御系统过滤IPv6通信,提高主机和应用程序的安全性。
ICMP隧道
ICMP隧道介绍
- ICMP隧道简单、实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见的ICMP消息为ping命令的回复,攻击者可以利用命令得到比回复更多的ICMP请求。
- 常用的ICMP隧道工具有icmpsh、PingTunel、icmptunel、powershell icmp等。
防御ICMP隧道攻击的办法
许多管理员会阻止ICMP通信进入站点。但是在出站方向,ICMP通信是被允许的,而且目前大多数的网站通信和边界设备不会过滤ICMP流量。使用ICMP协议会产生大量的ICMP数据包。我们可以通过Wireshark进行ICMP数据分析,以检测恶意的ICMP流量。
标签:协议,隧道,渗透,通信,IPv4,IPv6,ICMP,隐藏 来源: https://www.cnblogs.com/catt1e/p/12725596.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。