网络攻防对抗蓝队视角下的ICMP和HTTP隧道流量分析和应急响应.pdf

安全技术中国宽带▪2025年5月

网络攻防对抗蓝队视角下的ICMP和HTTP隧道

流量分析和应急响应

1211通讯作者

■王一凡蔡晶晶周智豪郭敏

从2016年开展网络攻防对抗，伴随参演单位越来越多，实战化水平越来越高，越来越多系统被攻破到

【摘要】

内网阶段；从防守方角度而言，专业化程度也越来越高，防守经验需要从单一互联网WEB层面防护到内网横向穿透和

外网WEB防护综合转变；从另一个角度而言，WEB类型漏洞检测随着边界安全设备、WAF的部署，检测效率已经越

来越高效，漏洞随着近年来的重视修补和系统安全性加强，越来越难以利用；面对内网阶段，隧道技术应用使得攻击

流量伪装成正常业务流量而规避IDS和态势感知检测，传统检测模型越来越难以应对日渐复杂的内网穿透，本文从防

守方视角对通过隧道技术伪装的攻击流量进行分析和应急处置，总结一些隧道恶意流量检测分析方法，并且以ICMP、

HTTP隧道实例进行分析探讨。

内网穿透；流量分析；检测模型；隧道

【关键词】

DOI：10.20167/ki.ISSN1673-7911.2025.05.19

0引言采用的检测模型的基本原理。

近年来，随着习近平主席对网络安全的重视，网络入侵检测[1]系统定义：用来检测破坏信息系统的完

攻防对抗陆续开展，从实战化的角度对各单位的系统进整性、保密性、可用性的检测系统，并具有明确界别合

行安全性摸底，也从攻击思路帮助防守团队找出信息系法边界和非法边界能力。

统薄弱点。攻防演练通过模拟攻击者的方式来帮助防守CIDF[2]检测模型：定义入侵检测系统由事件产生器、

方发现系统中存在的漏洞，提高网络安全防护水平和应事件分析器、响应单元和事件数据库组成。事件产生器

急处置能力。是从整个计算环境中获得事件，并向系统的其他部分提

首先我们梳理下网络攻防对抗中红方常见攻击思路。供事件。事件分析器分析所得到的数据，并产生分析结果。

（1）通过前期信息资产收集和社工、钓鱼邮件、弱口令响应单元对分析结果做出反应，如切断网络连接、改变

到WEB普通用户权限；（2）通过通用OA提权、命令执行、文件属性、简单报警等应急响应。事件数据库存放各种

任意文件上传等获取网站WEBSHELL，进而获取服务器中间和最终数据，数据存放的形式可以是复杂的数据库

权限；（3）通过DMZ的WEB服务器搭建内网穿透隧也可以是简单的文本文件。

道，暴露内网资产，到内网资产横向越权。内网资产对检测原理如下：

企业至关重要，仅做好边界安全，已无法应对复杂攻击。误用检测：建立非法行为特征，根据已知的攻击特

内网渗透常利用隧道技术暴露内网资产，便于收集内网征检测入侵，可以直接检测出入侵行为。具有检测准确

IP、域名主机、数据资产主机、操作系统、中间件信息，度高，技术相对成熟，便于系统维护等特点。

甚至获取黄金票据实现域环境横向越权。异常检测：建立正常安全边界和行为轮廓，实时获

本文以常见内网穿透隧道技术为例，总结隧道流量得的系统或用户的轮廓值与正常值的差异超出指定的阈

分析流程，并以ICMP、HTTP隧道为实例进行分析探讨，值，形成异常行为集合，从中发现入侵行为，异常检测

演示通过内网环境开放正常业务和必要端口，利用正常依赖于异常模型的建立。

业务和系统流量进行伪装，并介绍