2024年3月30日发(作者:)
貌似写了个ICMP的小木马,这里就贴出来大家娱乐娱乐了~~
1. 什么是ICMP协议
ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩
写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制
消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽
然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
ICMP协议在网络上有很多用处,比如ICMP扫描,拒绝服务(DOS)攻击,隧道攻
击,以及我们最常用到的PING程序。而我们就是利用ICMP协议来为我们传送(TCP/UDP)
数据。大家知道一般的防火墙都是过滤了来自外部主机的回送请求(echo Request)报文,
但为了是自己能够探测外部主机的当前状态,防火墙都不会过滤掉回送应答(echo Reply)
数据报,而且ICMP报文可以在广域网上传送,这样我们就可以利用它来突破网关的种种
限制。
2. 为什么选择ICMP协议设计木马
ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常
容易被用于攻击网络上的路由器和主机。比如,可以利用操作系统规定的ICMP数据包最
大尺寸不超过64KB这一规定,向主机发起“Ping of Death”(死亡之Ping)攻击。“Ping
of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现
内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。此外,向目标主机长时间、连续、
大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风
暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
3. ICMP协议木马设计方案
木马的设计需要两个程序,一个是作为木马服务端,一个是木马客户端,一个不权威
的划分将历史上的木马分为5代,结果图如下:
传统EXE木马是最简单和常见的木马形式,不过这种木马由于广泛应用,所有各大杀
毒软件都会把它kill掉,不过,后来有黑客发展出ICMP木马或反弹端口木马来逃过查杀,
我这次设计的木马就是基于ICMP报文的木马,效果非常不错。
传统DLL/VxD木马是一类不会自己运行的木马,它是通过系统进程来加载的,所以
一般的任务管理器是看不出来有没有莫名的EXE程序在运行的,不过这类木马一般当执行
时需要开启一个系统端口,而对于1024以上的端口一般的杀毒软件是一直在监控的,所
以这类木马当执行木马任务时会轻而易举的被杀毒软件发现,我也就没有采取这类木马设
发布评论