我目前正在试验哪个Tunnelshell。因此,我在受害者和攻击者身上启动它,通过 Tunnelshell 执行命令并通过 Wireshark 捕获流量以查看幕后情况。据我所知,所有分片必须在原始未分片的数据包中携带其偏移量,以确保它们可以在目标主机上重新组装。但是,正如您在以下屏幕截图中看到的那样:
它们都有相同的偏移量。此外,除了最后一个片段外,所有片段都必须设置“更多片段”标志,但我在任何片段数据包中都找不到。相反,设置了“不要分段”标志:
它们如何在攻击者的主机上成功重组?
使用隐蔽通道时,碎片 IP 数据包中的相同偏移量
网络工程
IPv4
ip
线鲨
隧道
碎片化
2022-03-02 06:41:15
1个回答
这是隐蔽通道的一点,它们不按正常规则播放。这个想法是,如果你遵循标准的重组算法,数据看起来完全无害。推测 Tunnelshell 直接在数据包层上运行并绕过正常的重组代码。
其它你可能感兴趣的问题