文章总结： 本文介绍存活主机探测与ICMP协议原理，演示利用Suricata编写规则检测ICMP扫描。通过设置阈值参数，在5秒内同源IP发送5次ICMP回显请求时触发告警，有效监控内网横向移动行为，具备实际可操作性。 综合评分： 76 文章分类： 网络安全,内网渗透,安全工具,安全建设,安全运营

存活主机探测攻击检测

原创

网络安全菜鸟

安全孺子牛

2025年12月28日 17:55 陕西

{

点击蓝字

关注我们

}

1、存活主机探测攻击

1.1存活主机探测简介

存活主机探测技术是用于发现网络中存活在线主机的技术，通常也被称为Ping扫描技术。

1.2实现原理

扫描器向目标IP发送ICPM Echo request（回显请求）报文，当收到目标主机响应的ICMP Echo reply（回显回复）报文时，说明目标主机存活。

1.3攻击场景

在渗透攻击横向移动阶段，为了避免发送大量流量进行内网主机探测，导致被安全产品检查，采用ping扫描可以降低检测风险。

2、ICMP协议简介

2.1ICMP简介

全称：Internet 控制消息协议(Internet Control Message Protocol)，是网络层的一个重要协议。ICMP协议用来在网络设备间传递各种差错和控制信息，并对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。

2.2ICMP数据包格式

1. ICMP是工作在网络层，协议号1
2. 报文重要字段：Type+Code
3. type和code的不同组合可以表示不同功能的ICMP报文。

| | | | | — | — | — | | 类型 (type) | 编码(code) | 描述 | | 0 | 0 | Echo Reply | | 3 | 0 | 网络不可达 | | 3 | 1 | 主机不可达 | | 3 | 2 | 协议不可达 | | 3 | 3 | 端口不可达 | | 5 | 0 | 重定向 | | 8 | 0 | Echo Request |

3、检测规则编写测试

3.1编写suricata规则

alert icmp any any -> any any (msg:"检测到ICMP扫描攻击"; itype:8; flow:to_server; threshold:type both, track by_src, count 5, seconds 5; sid:1000002; rev:1;)

# alert icmp any any -> any any：检测源IP、源端口到目的IP、目的端口的ICMP协议。
# itype：检查icmp type值。
# icode：检查icmp code值。
# flow:to_server：关注客户端到服务器方向的流量。
# threshold：根据后面内容实现流量告警抑制。
#   type both：考虑单一方向还是双向流量。
#   track by_src：同一源地址的流量满足条件，则触发报警。
#   count 5, seconds 5;5秒内匹配到5次进行满足条件。
# sid:1000002;本条规则ID编号。
# rev:1;本条规则修订次数。

这条规则的目的是在检测到来自同一源地址在5秒内连续5个ICMP Echo请求（即Ping请求）触发报警，提示可能发生了ICMP Ping扫描攻击。

3.2加载suricata规则

root@suricata:~# suricata -c /etc/suricata/suricata.yaml -S /opt/suricata/local.rules -i ens33 -k none -l /opt/suricata/log

3.3启用suricata日志监控

root@suricata:~# tail -f /opt/suricata/log/fast.log

在Windows系统中发送ping包测试，在Windows系统中默认会发送4个ping包

查看监控日志，没有匹配规则告警产生

3.4进行Ping包测试

ping -n 5 192.168.100.119
# -n 指定发送数据包次数

同时发现已经匹配到告警规则

tail -f /opt/suricata/log/fast.log

你的每个赞和在看，我都喜欢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全孺子牛 网络安全菜鸟《存活主机探测攻击检测》