Python3實現ICMP遠控后門(中)之“嗅探”黑科技

ICMP后門

前言

 

第一篇：Python3實現ICMP遠控后門(上)

第二篇：Python3實現ICMP遠控后門(上)_補充篇

 

在上兩篇文章中，詳細講解了ICMP協議，同時實現了一個具備完整功能的ping工具，完整的代碼發布在https://github.com/qiyeboy/LuLunZi/blob/master/NetWork/ping.py中。本次講的是嗅探，為什么要講嗅探呢？和ICMP后門有什么關系呢？本篇的干貨有點多。。。

 

第一節 ICMP后門結構    

設計的ICMP后門采用的是典型的C/S結構，分為客戶端和服務端，根據客戶端和服務端的位置又分為正向連接和反向連接。對於TCP和UDP后門來說，正向和反向連接是有很大區別的，反向連接的目的之一就是為了規避正向連接時防火牆攔截端口綁定的問題。下面先講一下正向連接和反向連接的概念。早期采用的是正向連接，現在更常見的是反向連接。

正向連接

 

 

 

 

正向連接時，server位於受控端，擁有公網ip，同時監聽端口，等待連接。正向連接為什么逐漸被淘汰了呢？有幾點原因，首先受控端的server程序需要綁定端口，容易被主機上的防火牆攔截發現，例如下圖的情景。

 

 

接着是由於隨着連接的控制端增多，受控端負載過大，易被發現，而且不適合大規模控制。最后是假如受控端是在內網中，正向連接就失去作用。

 

反向連接

 

 

反向連接就很好的規避了正向連接中的問題，受控端可以有公網ip，也可以沒有，需要控制端擁有一個公網的主機即可，一般都是用VPS。

ICMP協議和TCP，UDP協議有很大的區別，ICMP沒有端口的概念，就是說它不是通過端口來識別ICMP發送與接收進程的，也就沒有端口綁定被攔截的問題，也避開了通過端口反查進程的檢測手段。

 

正是ICMP協議沒有端口的概念，也就無法直接建立兩台主機上ICMP應用程序的通信，記住我說的是應用程序。大家肯定會疑問ping不就可以嗎？其實ping本質上是位於系統內核。下面通過一張圖來說明操作系統對icmp的處理。

 

 

 

假如用我寫的ping.py程序，在受控端ping控制端，ICMP請求包通過網絡傳到控制端，在控制端的系統內核中，就直接生成ICMP響應返回給受控端的ping.py，根本不會由控制端的ping.py響應。也就是說ping.py本質上是ICMP協議的客戶端，而不是服務端，服務端始終是主機的系統內核來完成了。

為難的地方也就出現了？服務端不受控制，那我們如何完成受控端應用程序和控制端應用程序的通信呢？其實不一定讓兩者直接通信，可以間接通信，只要受控端和控制端知道互相發送的內容不就可以了，這就是下一節的知識點。

 

第二節 “嗅探”黑科技

 

嗅探不知道大家熟不熟悉？大家肯定用過wireshark抓包吧，這就是嗅探的典型應用。雖然受控端發來的ping包，無法直接發給控制端的ping.py，但是控制端可以通過嗅探的方式抓取傳輸過來的ping包，獲取里面的內容，然后主動發響應包給受控端，同理受控端也是如此。ICMP后門的通信結構就變成了下圖所示的樣子。

 

 

windows和linux平台嗅探ICMP的方式和編程內容差距有點大，linux相對簡單。

windows平台嗅探ICMP

以嗅探ICMP數據包為例，代碼如下，請詳細看注釋哈。

HOST="10.170.19.126"

# 創建原始套接字，然后綁定在公開接口上。在windows上使用ip協議


if os.name == "nt":

    socket_protocol = socket.IPPROTO_IP

else:

    socket_protocol = socket.IPPROTO_ICMP

rawSocket = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket_protocol)



# 該選項可以讓多個socket對象綁定到相同的地址和端口上

rawSocket.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)



我們調用bind方法，來綁定socket

rawSocket.bind((HOST, 0))



#通過setsockopt函數來設置數據保護IP頭部,IP頭部我們就可以接收到

rawSocket.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)



# 在WIN平台上，需要設置IOCTL以啟用混雜模式

if os.name == "nt":

    rawSocket.ioctl(socket.SIO_RCVALL, socket.RCVALL_ON)

　　

在上述代碼中，我們主要說的是bind，bind HOST其實綁定的是HOST所對應的網卡，一台電腦其實可以多個網卡的，包括虛擬的。在windows中，需要我們將網卡設置為混雜模式，這樣就可以接受到所有經過本網卡的數據包。至於混雜模式的解釋，百度百科中有。

 

 

 經過上面的設置，raw socket就可以嗅探了，下面把嗅探的內容打印出來，代碼如下：

while True:

        pkt = rawSocket.recvfrom(2048)

        print(pkt)

　　

通過管理員權限運行這個程序，ping一下自己的ip,看到ICMP報文被抓住了。

 

 

Linux平台嗅探 ICMP

嗅探ICMP數據包，代碼如下，請詳細看注釋哈。

 

#設置監聽ICMP數據包

rawSocket = socket.socket(socket.AF_INET,socket.SOCK_RAW,socket.IPPROTO_ICMP)



#通過setsockopt函數來設置數據保護IP頭部,IP頭部我們就可以接收到

rawSocket.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)

while True:

            pkt= rawSocket.recvfrom(2048)

            print(pkt)

　　

最后

如果覺得本文還可以，一定記得推薦喲。歡迎關注我的公眾號。

 

回復【1】：領取 Python數據分析 教程大禮包
回復【2】：領取 Python Flask 全套教程 
回復【3】：領取 機器學習 全套教程