基于Gost工具的ICMP隐蔽隧道通信分析

概述

近期，观成科技安全研究团队在现网中检测到了利用Gost工具实现加密隧道的攻击行为。Gost是一款支持多种协议的隧道工具，使用go语言编写。该工具实现了多种协议的隧道通信方法，例如TCP/UDP协议，Websocket，HTTP/2，QUIC，TLS等。

2022年11月，Gost更新了V3新版本，在新版本中新增了ICMP隧道功能。ICMP隧道是利用ICMP协议的Echo类型报文(ping命令所采用)进行数据传输，Gost在ICMP之上利用QUIC协议来实现安全可靠的数据传输，因此该ICMP隧道可以看作是QUIC-over-ICMP数据通道。QUIC协议是一种加密协议，所以该隧道也是一种加密隧道。

隧道的搭建需要客户端和服务端两端，客户端负责接收socks5代理协议，解析后将数据封装成ICMP协议发送到服务端，服务端接收后解析成原始流量并转发。

图 1 隧道示意图

ICMP隧道传输的数据，由两部分构成：MessageHeader和QUIC数据。MessageHeader的长度固定10个字节，前四个字节存放magicNumber，默认为固定字符串“GOST”，最后两字节存放后续载荷的长度。

总　结

利用Gost工具搭建ICMP隧道，攻击者可以将攻击流量隐藏在隧道之中，从而规避流量监测设备，大幅度降低被发现的可能性。目前，越来越多的攻击者利用ICMP、DNS等协议来实现隐蔽隧道加密通信，我们将会保持对此类工具的密切跟踪和研究。