2024年3月30日发(作者:)

貌似写了个ICMP的小木马,这里就贴出来大家娱乐娱乐了~~

1. 什么是ICMP协议

ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩

写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制

消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽

然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

ICMP协议在网络上有很多用处,比如ICMP扫描,拒绝服务(DOS)攻击,隧道攻

击,以及我们最常用到的PING程序。而我们就是利用ICMP协议来为我们传送(TCP/UDP)

数据。大家知道一般的防火墙都是过滤了来自外部主机的回送请求(echo Request)报文,

但为了是自己能够探测外部主机的当前状态,防火墙都不会过滤掉回送应答(echo Reply)

数据报,而且ICMP报文可以在广域网上传送,这样我们就可以利用它来突破网关的种种

限制。

2. 为什么选择ICMP协议设计木马

ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常

容易被用于攻击网络上的路由器和主机。比如,可以利用操作系统规定的ICMP数据包最

大尺寸不超过64KB这一规定,向主机发起“Ping of Death”(死亡之Ping)攻击。“Ping

of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现

内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。此外,向目标主机长时间、连续、

大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风

暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。

3. ICMP协议木马设计方案

木马的设计需要两个程序,一个是作为木马服务端,一个是木马客户端,一个不权威

的划分将历史上的木马分为5代,结果图如下:

传统EXE木马是最简单和常见的木马形式,不过这种木马由于广泛应用,所有各大杀

毒软件都会把它kill掉,不过,后来有黑客发展出ICMP木马或反弹端口木马来逃过查杀,

我这次设计的木马就是基于ICMP报文的木马,效果非常不错。

传统DLL/VxD木马是一类不会自己运行的木马,它是通过系统进程来加载的,所以

一般的任务管理器是看不出来有没有莫名的EXE程序在运行的,不过这类木马一般当执行

时需要开启一个系统端口,而对于1024以上的端口一般的杀毒软件是一直在监控的,所

以这类木马当执行木马任务时会轻而易举的被杀毒软件发现,我也就没有采取这类木马设