内网后渗透攻击--隐藏通信隧道技术（网络层隧道技术）

用途限制声明，本文仅用于网络安全技术研究、教育与知识分享。文中涉及的渗透测试方法与工具，严禁用于未经授权的网络攻击、数据窃取或任何违法活动。任何因不当使用本文内容导致的法律后果，作者及发布平台不承担任何责任。渗透测试涉及复杂技术操作，可能对目标系统造成数据损坏、服务中断等风险。读者需充分评估技术能力与潜在后果，在合法合规前提下谨慎实践。

一、介绍

隐藏通信隧道技术是一种通过封装、伪装或复用合法网络协议，将真实通信流量隐藏在正常网络交互中的技术。其核心目的是绕过网络监控、防火墙、入侵检测系统（IDS）或访问控制策略，实现隐蔽的信息传输。该技术既可能用于合法场景（如企业内部安全通信、规避不合理网络审查），也可能被恶意利用（如黑客渗透、数据窃取、恶意命令控制）。

二、核心原理

隐藏通信隧道的本质是 “协议封装与流量伪装”：通过将目标流量（如敏感数据、控制指令）封装到另一种被网络允许的 “合法协议” 数据包中，使隧道流量看起来与正常网络交互一致，从而规避检测。

隐藏通信隧道的实现依赖以下核心手段：

1. 协议封装
   将真实流量（载荷）嵌入另一种 “常用且被允许” 的协议数据包中，通过目标网络的 “合法通道” 传输。例如：

   • 若目标网络允许 DNS 协议（用于域名解析），则将数据编码到 DNS 查询的子域名中（如data123.example.com中的data123），通过 DNS 服务器转发；
   • 若允许 HTTP/HTTPS（Web 访问），则将数据伪装成 HTTP 请求的参数（如 URL、POST 表单、Cookie）或 HTTPS 加密会话的载荷，利用 80/443 端口传输。

   到达目的地后，再从封装的协议中解出原始流量，完成通信。

2. 流量伪装与特征隐藏
   仅封装协议不足以完全隐藏，还需模仿正常流量的 “行为特征”，避免被检测系统识别为异常。例如：

   • 控制数据包大小：正常 HTTP 请求的大小通常在一定范围（如几 KB），隧道会限制单包数据量，避免过大包触发异常；
   • 模仿交互频率：正常 DNS 查询不会持续高频发送，隧道会控制请求间隔，接近真实用户的域名解析行为；
   • 伪造协议字段：如 HTTP 隧道会伪造 User-Agent（浏览器标识）、Referer（来源页面）等字段，使其看起来像真实浏览器发起的请求。

3. 规避检测机制
   针对网络中常见的检测技术（如深度包检测 DPI、特征匹配、行为分析），隧道会通过以下方式规避：

   • 加密：使用 HTTPS、SSH 等加密协议封装流量，DPI 无法解析加密内容，只能识别为 “合法加密流量”；
   • 动态特征：随机化数据包的部分字段（如 DNS 子域名的前缀、HTTP 请求的参数名），避免被固定特征规则匹配；
   • 协议复用：利用已建立的合法连接（如用户正常浏览网页的 HTTPS 连接）“混加” 隧道流量，使检测系统难以区分正常与隧道数据。

三、常见的隧道

1、网络层隧道

网络层隧道通过封装整个 IP 数据包实现跨网络传输，主要用于协议转换或跨异构网络通信：

1. GRE 隧道

   • 原理：将任意网络层协议（如 IPv6、MPLS）封装在 GRE 头部中，再通过 IPv4 网络传输。
   • 场景：跨运营商网络传输 IPv6 数据，或在 IP 网络中传输组播流量（如视频会议）。

2. IPv6 over IPv4 隧道

   • 原理：将 IPv6 数据包封装在 IPv4 头部中，实现 IPv6 孤岛间的互通，包括手动隧道、6to4（自动分配 IPv6 地址）、ISATAP（基于 IPv4 的 IPv6 自动隧道）等模式。
   • 场景：过渡期网络中，支持 IPv6 的设备通过 IPv4 骨干网通信。

3. ICMP 隧道

   • 原理：将 TCP/UDP 数据嵌入 ICMP Echo Request/Reply 的载荷中，利用防火墙对 ping 流量的默认放行特性。
   • 场景：渗透测试中绕过防火墙限制，或在仅允许 ICMP 的网络中建立隐蔽通道。

2、传输层隧道

传输层隧道通过封装传输层连接（如 TCP/UDP）实现端口转发或加密通信：

1. SSH 隧道

   • 原理：通过 SSH 协议（端口 22）的加密通道转发其他端口的流量，支持本地端口转发（将本地端口映射到远程服务）和远程端口转发（将远程端口映射到本地服务）。
   • 场景：安全访问内部数据库（如将本地 3306 端口转发到远程 MySQL 服务器），或绕过网络审查访问受限资源。

2. SSL/TLS 隧道

   • 原理：通过 SSL/TLS 协议加密应用层数据，伪装成 HTTPS 流量。例如，OpenVPN 可基于 SSL/TLS 建立隧道，支持 TCP 或 UDP 传输。
   • 场景：加密 P2P 文件传输或即时通信，规避深度包检测（DPI）。

3. SOCKS5 代理

   • 原理：工作在会话层（OSI 第 5 层），但常被视为传输层工具，通过代理服务器转发 TCP/UDP 流量，支持身份验证和 UDP 穿透。
   • 场景：匿名浏览或绕过区域限制（如访问国外流媒体平台）。

3、应用层隧道

应用层隧道利用现有应用协议（如 HTTP、DNS）封装其他流量，伪装成正常业务数据：

1. HTTP 隧道

   • 原理：将非 HTTP 流量（如 SSH、VNC）封装在 HTTP 请求 / 响应中，通过 80/443 端口传输。例如，使用stunnel工具将 SMTP 流量封装为 HTTPS。
   • 场景：绕过企业防火墙对非 Web 端口的封锁。

2. DNS 隧道

   • 原理：将数据编码为 DNS 查询的子域名（如data.example.com）或 TXT 记录，利用 DNS 协议的合法性传输。
   • 场景：渗透测试中建立 C2（命令与控制）通道，或在仅开放 DNS 的网络中传输数据。

3. FTP 隧道

   • 原理：通过 FTP 协议的 PORT/PASV 模式传输其他协议流量，例如将 SSH 流量嵌入 FTP 数据连接中。
   • 场景：在仅允许 FTP 的网络中建立反向 Shell。

4. SMTP 隧道

   • 原理：将数据伪装成邮件内容（如附件或正文），通过 SMTP 协议传输。例如，使用exiftool在图片元数据中隐藏命令。
   • 场景：隐蔽传输敏感文件或绕过邮件过滤规则。

5. ICMP 隧道（特殊场景）

   • 说明：尽管 ICMP 属于网络层，但实际应用中常被归类为应用层工具（如ptunnel），因其利用 ICMP 的 echo 功能模拟应用层通信。

四、使用

隐藏通信隧道技术是内网渗透中突破网络限制、维持控制、规避检测的核心手段。内网环境通常存在严格的访问控制（如防火墙、ACL）、网络隔离（如 VLAN 划分）、流量监控（如 IDS/IPS）等安全机制，隧道技术通过封装、加密、伪装等方式，帮助攻击者在复杂内网中建立隐蔽的通信链路，实现渗透目标。

接下来就是介绍网络层隧道技术中的IPv6隧道和ICMP隧道，在进行这个之前，我们需要的是先判断内网的连通性，判断内网连通性是网络诊断、内网渗透或日常运维中的基础操作，目的是确认目标主机（或服务）是否在线、网络链路是否通畅、以及特定协议 / 服务是否可用。下面介绍几种协议来判断内网连通性

基于 ICMP 协议的连通性判断（网络层）

ICMP（互联网控制消息协议）是网络层的辅助协议，常用于诊断网络连通性，最典型的工具是ping命令。其原理是通过发送ICMP Echo Request（回声请求）报文，若目标主机在线且未屏蔽 ICMP，会返回ICMP Echo Reply（回声应答），以此判断主机可达性。

操作方法与工具

1. 基础命令（Windows/Linux 通用）：

   # 向目标IP发送ICMP请求（默认4次）
   ping 192.168.1.100  
   

   若收到回复（如 “Reply from 192.168.1.100: bytes=32 time=12ms TTL=128”），说明网络层连通（目标主机可达）

2. 进阶参数：

   • Linux：ping -c 10 192.168.1.100（指定发送 10 次）、ping -i 2 192.168.1.100（间隔 2 秒发送一次）；
   • Windows：ping -n 10 192.168.1.100（指定发送 10 次）、ping -t 192.168.1.100（持续发送直到中断）。

基于 TCP 协议的连通性判断（传输层）

TCP 是传输层的面向连接协议，通过 “三次握手” 建立连接。判断 TCP 连通性的核心是检测目标主机的特定 TCP 端口是否开放（即能否完成三次握手），适用于 ICMP 被屏蔽时的补充验证，或需确认端口状态的场景（如判断服务是否启动）。

操作方法与工具

1. telnet 命令（简单检测）：

   # 尝试连接目标IP的目标端口（如80、3389）
   telnet 192.168.1.100 80  
   

   若显示 “Connected to 192.168.1.100”，说明端口开放且 TCP 连通；

2. netcat（nc，更灵活）：

   • 输出 “succeeded!” 说明端口开放；无响应或 “Connection refused” 说明端口关闭 / 不可达。

3. nmap（端口扫描工具）：

   # TCP全连接扫描（-sT），检测目标主机常见端口
   nmap -sT -p 1-100 192.168.1.100  
   

特点

• 比 ICMP 更贴近 “服务可用性”：端口开放通常意味着对应服务在运行（如 80 端口开放可能有 HTTP 服务）；
• 可绕过 ICMP 限制：若防火墙仅禁 ICMP 但允许特定 TCP 端口，可通过 TCP 判断连通性。

基于 HTTP 协议的连通性判断（应用层）

HTTP 协议运行在应用层（基于 TCP），通过发送 HTTP 请求并接收响应，可判断目标主机的 HTTP 服务是否正常，同时间接验证网络层（IP）和传输层（TCP 80/8080 等端口）的连通性。

操作方法与工具

1. curl 命令（跨平台）：

   # 向目标IP的80端口发送HTTP GET请求
   curl http://192.168.1.100  
   # 若端口非80，需指定端口（如8080）
   curl http://192.168.1.100:8080  
   

    
   • 若返回 HTML 内容或状态码（如<HTML>...</HTML>），说明 HTTP 服务正常（网络层、传输层、应用层均连通）；
   • 若返回 “Connection refused”，可能是 80 端口未开放；若 “Timeout”，可能是主机离线或网络中断。

2. wget 命令（下载验证）：

   wget http://192.168.1.100/index.html  
   

    
   • 若成功下载文件，说明 HTTP 连通；若 “Unable to connect”，则服务不可用。

3. 浏览器或 Postman：
   在浏览器地址栏输入http://192.168.1.100，若能显示网页，说明连通；若显示 “无法访问此网站”，则服务异常。

特点

• 直接验证应用层服务状态：不仅判断网络连通，还能确认 HTTP 服务是否正常响应；
• 依赖服务运行：若目标主机未部署 HTTP 服务（即使 IP 和端口可达），也会返回失败（需结合 TCP 检测区分 “端口未开” 和 “服务未运行”）。

基于 DNS 协议的连通性判断（应用层）

DNS 协议用于域名解析（基于 UDP 53 端口，部分场景用 TCP 53），通过检测内网 DNS 服务器是否能正常解析域名，可判断与 DNS 服务器的连通性，同时间接验证网络层和传输层（UDP 53 端口）的通畅性。

操作方法与工具

1. nslookup 命令（Windows/Linux 通用）：

   # 查询内网域名（如内网服务器域名），验证DNS服务器是否连通
   nslookup server1.internal.lan 192.168.1.2  # 192.168.1.2为内网DNS服务器IP
   

    
   • 若返回解析结果（如 “Address: 192.168.1.100”），说明 DNS 服务器可达且能正常解析（连通）；
   • 若显示 “DNS request timed out”，可能是 DNS 服务器离线、UDP 53 端口被屏蔽，或域名不存在。

2. dig 命令（Linux 更常用）：

   # 向指定DNS服务器查询内网域名
   dig @192.168.1.2 server1.internal.lan  
   

    
   • 结果中 “ANSWER SECTION” 有 IP 记录，说明 DNS 连通；无结果或 “timed out” 则连通失败。

3. ping 内网域名（间接验证）：

   ping server1.internal.lan  
   

   若能解析出 IP 并收到 ICMP 回复，说明 DNS 解析正常且主机可达（DNS 和 ICMP 均连通）；

特点

• 适用于依赖 DNS 的内网环境：许多内网服务通过域名访问，DNS 连通性是其基础；
• 可绕过部分限制：UDP 53 端口常被内网允许（因 DNS 是基础服务），即使 ICMP/TCP 被限，仍可通过 DNS 判断连通性。

总结：不同协议的适用场景

五、网络层隧道技术

这里就介绍如何使用两个常用的网络层隧道协议IPv6以及ICMP

1、IPv6隧道

IPv6 隧道技术是 IPv6 过渡阶段的核心技术之一，其核心目的是在以 IPv4 为主要基础设施的网络环境中，实现 IPv6 节点（主机、路由器等）之间的通信。简单来说，它通过将 IPv6 数据包 “包裹” 在 IPv4（或其他网络协议）数据包中，借助现有 IPv4 网络进行传输，从而突破 IPv4 与 IPv6 网络之间的互通障碍。

IPv6 隧道技术的原理

IPv6 隧道的核心是 “封装 - 传输 - 解封装” 的过程，具体分为三个步骤：

1. 封装（Encapsulation）

当源 IPv6 节点需要向另一个 IPv6 节点发送数据，但两者之间的路径需经过 IPv4 网络时，隧道起点（如源节点自身或专门的隧道服务器） 会对 IPv6 数据包进行处理：

2. 传输（Transmission）

封装后的 IPv4 数据包（内部包含 IPv6 载荷）会像普通 IPv4 数据包一样，在 IPv4 网络中按照 IPv4 的路由规则进行转发，最终到达隧道终点（如目的 IPv6 节点或对应的隧道服务器）。

3. 解封装（Decapsulation）

当数据包到达隧道终点后，终点设备会剥离外层的 IPv4 头部，露出内部的原始 IPv6 数据包，然后按照 IPv6 的路由规则将其转发到最终的 IPv6 目的节点。

现阶段的边界设备，防火墙甚至入侵防御系统无法识别IPv6的通信数据，大多数操作系统支持IPv6。所以需要进行人工配置，如图所示

攻击者主要是通过恶意软件来配置允许进行IPv6通信设备，以避开防火墙和入侵检测系统。

支持IPv6的隧道工具有socat、6tunnel、nt6tunnel等。

防御IPv6隧道攻击的方法

过滤隧道流量（网络边界与防火墙层面）

2、ICMP隧道

• 将原始 IPv6 数据包作为 “载荷”（Payload）；
• 在载荷外层添加一个 IPv4 头部，头部中包含隧道起点和终点的 IPv4 地址（即 “封装后的数据包” 以 IPv4 格式在网络中传输）。
• 基于前缀过滤：在防火墙或路由器上配置规则，阻断已知隧道前缀的 IPv6 流量（除非业务必需）：
  • 封锁2002::/16（6to4）、2001::/32（Teredo）、fe80::/64中与 ISATAP 相关的地址。
• 基于协议 / 端口过滤：
  • 阻断 IPv4 协议号 41（6to4 隧道封装）的未授权流量。
  • 限制 UDP 端口 3544（Teredo）的出入站连接，仅允许可信源。
  • 过滤异常 ICMPv6 消息（如 ISATAP 依赖的邻居发现消息），避免被滥用建立隧道。
• 双栈策略一致性：确保 IPv6 与 IPv4 的防火墙规则对等，避免攻击者利用 IPv6 隧道绕过 IPv4 控制（如对 IPv6 流量应用与 IPv4 相同的访问控制列表）。

ICMP 隧道（ICMP Tunnel）是一种利用ICMP 协议（Internet Control Message Protocol，互联网控制消息协议） 的数据字段封装其他网络协议（如 TCP、UDP、HTTP 等）数据，实现跨网络传输的技术。其核心是 “借道” ICMP 协议的合法报文（如 ping 命令使用的 Echo Request/Reply），绕过基于端口或协议的网络限制（如防火墙、访问控制列表），传输原本被禁止的流量。

ICMP 隧道的原理

ICMP 隧道的核心逻辑是：将需要传输的目标数据（如 TCP/UDP 流量、文件内容等）拆分成小块，嵌入到 ICMP 报文的数据字段中，通过 ICMP 的 “回声请求 / 应答” 机制实现双向传输。

具体流程可分为 3 步：

1. 封装（发送端）

• 发送端（如攻击者的主机）需要传输的数据（例如一个 HTTP 请求、SSH 指令等）被拆分为若干片段，每段大小不超过 ICMP 数据字段的最大限制（通常约 1472 字节，受 MTU 限制）。
• 这些数据片段被嵌入到 ICMP “回声请求” 报文（Type 8）的数据字段中，同时可能添加简单的校验或分片标识（用于接收端重组）。
• 封装后的 ICMP 报文被发送到目标端（如受控的服务器）。

2. 传输（网络层）

• 由于 ICMP 协议通常被防火墙默认允许（因为 ping 是基础诊断工具），封装后的 ICMP 报文会被网络设备（路由器、防火墙）视为 “合法诊断流量” 而放行，绕过对 TCP 端口（如 80、443）或 UDP 端口的限制。

3. 解封装（接收端）

• 接收端（如受控服务器）收到 ICMP “回声请求” 报文后，提取数据字段中的封装数据，按照约定的规则（如分片标识）重组为原始数据。
• 接收端处理原始数据（如响应 HTTP 请求）后，将结果同样拆分为片段，嵌入到 ICMP “回声应答” 报文（Type 0）的数据字段中，回传给发送端。
• 发送端收到 “回声应答” 后，解封装并重组数据，完成一次双向通信。

ICMP隧道的一般使用就是通过使用ping命令访问远程计算机，尝试建立ICMP隧道，将TCP/UDP数据封装到ICMP的ping数据包中，从而穿过防火墙。实现不受控制的访问。

常用的ICMP隧道工具有icmpsh、PingTunnel、icmptunnel、powershell icmpden等

这里主要介绍两种工具icmpsh、PingTunnel，工具的使用这里不再展示，下篇文章展示。

防御ICMP隧道攻击

1. 限制 ICMP 报文类型与方向

   • 防火墙 / ACL（访问控制列表）规则中，仅允许必要的 ICMP 类型（如用于诊断的 “目标不可达”“超时” 等错误报文），严格限制 “回声请求（Type 8）” 和 “回声应答（Type 0）”（即 ping 命令使用的报文，ICMP 隧道的核心载体）。
   • 按方向限制：例如仅允许内部网络向外部发起 ICMP 请求（便于诊断），禁止外部向内部发起 ICMP 请求（阻断隧道入口）；或仅允许特定可信 IP（如管理员主机）使用 ICMP Echo，其他 IP 直接阻断。

2. 流量频率与持续性
   正常 ping 多为间歇性（如用户手动测试），而 ICMP 隧道为维持通信，会产生高频、持续的 ICMP Echo 请求 / 应答（例如每秒数十至上百个报文）。可通过流量分析工具（如 Wireshark、Zeek、Suricata）设置阈值（如 1 分钟内超过 100 个 ICMP Echo 报文），触发告警。

3. 启用 IPS/IDS 的 ICMP 隧道检测规则
   入侵防御系统（IPS）或入侵检测系统（IDS）通常内置针对 ICMP 隧道的特征库（如检测ptunnel、icmptunnel等工具的流量特征）。例如：

   • Suricata 规则可通过匹配 ICMP 数据字段中的特定字符串（如工具标识、协议封装格式）触发告警；
   • 商业 IPS（如 Palo Alto、Cisco Firepower）可通过行为分析识别 “ICMP 承载非 ICMP 数据” 的异常。