在一些访问控制做的比较严格的环境中,由内到外的TCP流量会被阻断掉。但是对于UDP(DNS、ICMP) 相关流量通常不会拦截。
ICMP
主要原理就是利用ICMP中可控的data字段进行数据传输,具体原理请参考:https://zhuanlan.zhihu.co
开源工具:ICMP后门项目地址:GitHub - andreafabrizi/prism: PRISM is an user space stealth reverse shell backdoor, written in pure C.
DNS
在大多数的网络里环境中IPS/IDS或者硬件防火墙都不会监控和过滤DNS流量。主要原理就是将后门载荷隐藏在拥有PTR记录和A记录的DNS域中(也可以利用AAAA记录和IPv6地址传输后门),具体请参考:
开源工具:DNS后门项目地址:GitHub - DamonMohammadbagher/NativePayload_DNS: C# code for Transferring Backdoor Payloads by DNS Traffic and Bypassing Anti-viruses
协议后门检测:对于DNS/ICMP这种协议后门,直接查看网络连接即可,因为在使用过程中会产生大量的网络连接
清除:kill进程、删除文件即可