Apa itu ICMP? Memahami Protokol Pesan Kontrol Internet

Anda mungkin pernah mendengar tentang ICMP dan jika Anda hanya sedikit mengerti teknologi, Anda mungkin akan tahu (setidaknya) bahwa itu ada hubungannya dengan Internet.

ICMP sebenarnya adalah sebuah protokol, seperti halnya IP, TCP dan UDP (yang telah kita bahas dan jelaskan sebelumnya), sehingga memainkan peran yang cukup penting dalam berfungsinya koneksi Internet kita dengan baik.

ICMP lebih berkaitan dengan cara masalah konektivitas dideteksi dan ditangani, tetapi jangan terlalu memanjakan kuliah kita. Teruslah membaca jika Anda ingin tahu apa itu ICMP dan bagaimana ICMP membantu kami menjaga koneksi kami beroperasi pada tingkat yang optimal.

Apa itu ICMP?

Protokol Pesan Kontrol Internet, yang paling dikenal dengan singkatan ICMP yang lebih ramah, adalah protokol yang mendasar untuk memecahkan berbagai masalah terkait konektivitas.

Protokol ini digunakan oleh berbagai perangkat jaringan, termasuk namun tidak terbatas pada router, modem, dan server untuk menginformasikan peserta jaringan lain tentang potensi masalah konektivitas.

Kami telah menyebutkan di atas bahwa ICMP adalah protokol seperti TCP dan UDP, tetapi tidak seperti keduanya, ICMP umumnya tidak digunakan untuk memfasilitasi pertukaran data antar sistem. Selain itu, ini tidak sering digunakan di aplikasi jaringan pengguna akhir, kecuali jika itu adalah alat diagnostik.

Definisi asli ICMP dibuat sketsa oleh Jon Postel , yang berkontribusi besar-besaran dan berkali-kali untuk pengembangan Internet, dan standar pertama ICMP diterbitkan pada April 1981 di RFC 777 .

Jelas, definisi awal mengalami banyak perubahan untuk mencapai bentuk yang kita kenal sekarang. Bentuk stabil dari protokol ini diterbitkan 5 bulan lebih lambat dari definisi awalnya, pada September 1981, di RFC 792, dan juga ditulis oleh Postel.

Bagaimana ICMP bekerja?

Singkatnya, ICMP digunakan untuk pelaporan kesalahan dengan menentukan apakah data mencapai tujuan yang diinginkan dengan relatif cepat atau tidak.

Dalam skenario dasar, dua perangkat terhubung melalui Internet dan bertukar informasi melalui apa yang kita sebut paket data atau datagram. Apa yang dilakukan ICMP adalah menghasilkan kesalahan dan membaginya dengan perangkat yang mengirim data asli jika paket tidak pernah sampai ke tujuan.

Misalnya, jika Anda mengirim paket data yang terlalu besar untuk ditangani oleh router, router pertama-tama akan menjatuhkan paket tersebut kemudian akan menghasilkan pesan kesalahan yang membiarkan perangkat pengirim bahwa paketnya tidak pernah mencapai tujuan yang dituju.

Namun, itulah yang kami sebut sebagai keterampilan pasif karena sama sekali tidak ada yang perlu Anda lakukan untuk menerima pesan kesalahan ini (jika diperlukan). Seperti yang akan Anda temukan segera, ICMP juga memiliki utilitas yang lebih aktif, yang dapat Anda andalkan untuk melakukan berbagai operasi pemecahan masalah jaringan.

Berbeda dengan TCP dan UDP, ICMP tidak memerlukan perangkat yang terhubung untuk mengirim pesan. Dalam koneksi TCP, misalnya, perangkat yang terhubung perlu melakukan jabat tangan multi-langkah, setelah itu data dapat ditransfer.

Dengan ICMP, koneksi tidak perlu dibuat; pesan dapat dengan mudah dikirim sebagai pengganti koneksi. Selanjutnya, pesan ICMP tidak memerlukan port untuk mengarahkan pesan, dibandingkan dengan TCP dan UDP, yang keduanya menggunakan port khusus untuk merutekan informasi. ICMP tidak hanya tidak memerlukan port, tetapi sebenarnya tidak mengizinkan penargetan port tertentu.

Pesan ICMP dibawa oleh paket IP tetapi tidak ditampung olehnya. Sebaliknya, mereka membonceng paket-paket ini, karena mereka hanya dihasilkan jika operator mereka (yaitu paket IP) tidak pernah mencapai tujuan mereka. Lebih sering daripada tidak, keadaan yang memungkinkan paket ICMP untuk menelurkan hasil dari data yang tersedia di header IP paket yang gagal.

Karena ICMP menyertakan data header IP paket yang gagal, alat analisis jaringan dapat digunakan untuk menentukan dengan tepat paket IP mana yang gagal dikirimkan. Namun, header IP bukan satu-satunya jenis informasi yang dibawa oleh paket ICMP.

Paket ICMP menyimpan header IP, diikuti oleh header ICMP, dan delapan byte pertama payload.

• Header IP – berisi detail tentang versi IP, alamat IP sumber dan tujuan, jumlah paket yang dikirim, protokol yang digunakan, panjang paket, waktu tayang (TTL), sinkronisasi data, serta nomor ID untuk paket data tertentu
• Header ICMP – berisi kode yang membantu mengkategorikan kesalahan, sub-kode yang memfasilitasi identifikasi kesalahan dengan menawarkan deskripsi, dan checksum
• Transport Layer header – delapan byte pertama dari payload (ditransfer melalui TCP atau UDP)

Pesan kontrol ICMP

Seperti yang telah kami sebutkan di atas, ketika terjadi kesalahan, nilai di bidang pertama dari header ICMP dapat digunakan untuk mengidentifikasinya. Jenis kesalahan ini, bersama dengan pengidentifikasinya adalah sebagai berikut:

• 0 – Echo Reply – digunakan untuk tujuan ping
• 3 – Tujuan Tidak Terjangkau
• 5 – Redirect Message – digunakan untuk menunjukkan memilih rute yang berbeda
• 8 – Permintaan Echo – digunakan untuk tujuan ping
• 9 – Iklan Router – digunakan oleh router untuk mengumumkan bahwa alamat IP mereka tersedia untuk perutean
• 10 – Permintaan Router – penemuan, permintaan, atau pemilihan router
• 11 – Time Exceeded – TTL kedaluwarsa atau waktu reassembly terlampaui
• 12 – Masalah Parameter: Header IP buruk – panjang yang buruk, opsi yang diperlukan tidak ada, atau kesalahan yang ditunjukkan oleh penunjuk
• 13 – Stempel waktu
• 14 – Balasan stempel waktu
• 41 – digunakan untuk protokol mobilitas eksperimental
• 42 – Permintaan Echo yang Diperpanjang – meminta Echo yang diperpanjang
• 43 – Balasan Echo yang Diperpanjang – membalas 42 permintaan Echo yang diperpanjang
• 253 dan 254 – eksperimental

Bidang TTL (Waktunya untuk Hidup)

Bidang TTL adalah salah satu bidang header IP yang dapat (dan sering kali) menghasilkan kesalahan ICMP. Ini berisi nilai, yang merupakan jumlah maksimum router yang dapat dilalui oleh paket yang dikirim sebelum mencapai tujuan akhirnya.

Setelah paket diproses oleh router, nilai ini berkurang satu, dan proses terus berlanjut hingga salah satu dari dua hal terjadi: paket mencapai tujuannya, atau nilainya mencapai nol, yang biasanya diikuti oleh router menjatuhkan paket. paket dan mengirim pesan ICMP ke pengirim asli.

Jadi tak perlu dikatakan bahwa jika sebuah paket dijatuhkan karena TTL-nya mencapai nol, itu bukan karena data yang rusak di header atau masalah khusus router. TTL sebenarnya dirancang untuk memblokir paket jahat agar tidak menghalangi koneksi dan telah menghasilkan pembuatan alat yang sangat penting untuk pemecahan masalah jaringan: Traceroute.

Penggunaan ICMP dalam diagnostik jaringan

Seperti disebutkan di atas, ICMP dapat digunakan dengan alat diagnostik untuk menentukan berfungsinya koneksi jaringan dengan baik. Anda mungkin belum mengetahui apa itu ICMP sebelum membaca panduan kami, tetapi kami yakin Anda setidaknya pernah mendengar tentang ping, utilitas jaringan terkenal yang memungkinkan Anda mengetahui apakah sebuah host dapat dijangkau atau tidak.

Nah, ping sebenarnya adalah salah satu alat penting yang menggunakan ICMP sebagai tulang punggungnya. Traceroute adalah contoh alat bagus lainnya yang membantu kami mendiagnosis dan memecahkan masalah konektivitas di jaringan kami. Pathping, yang merupakan kombinasi dari ping dan traceroute, adalah alat berbasis ICMP hebat lainnya.

ping

Ping adalah alat Windows bawaan yang dapat diakses melalui CMD dan merupakan salah satu alat terpenting yang menggunakan ICMP untuk memecahkan masalah potensi kesalahan jaringan. Ping menggunakan dua kode dalam daftar di atas, 8 (permintaan gema) dan 0 (balasan gema), untuk lebih spesifik.

Begini tampilan dua contoh perintah ping :

ping 168.10.26.7
ping TipsWebTech360.com

Saat Anda menjalankannya, ping akan mengirim paket ICMP dengan kode 8 di bidang tipenya, dan dengan sabar menunggu balasan tipe 0. Setelah balasan tiba, ping akan menentukan waktu antara permintaan (8) dan balasannya (0) dan akan mengembalikan nilai perjalanan pulang pergi yang dinyatakan dalam milidetik.

Kami telah menetapkan bahwa paket ICMP biasanya dibuat dan dikirim sebagai akibat dari kesalahan. Namun, paket permintaan (tipe 8) tidak memerlukan kesalahan untuk dikirim, oleh karena itu ping juga dapat menerima balasan (0) kembali tanpa memicu kesalahan.

Seperti yang mungkin Anda ketahui dari contoh kami di atas, Anda dapat melakukan ping ke alamat IP atau host. Selain itu, ping memiliki banyak opsi tambahan yang dapat Anda gunakan untuk pemecahan masalah lebih lanjut hanya dengan menambahkan opsi ke perintah.

Misalnya, menggunakan opsi -4 akan memaksa ping untuk menggunakan IPv4 secara eksklusif, sedangkan -6 hanya akan menggunakan alamat IPv6 . Lihat tangkapan layar di bawah untuk daftar lengkap opsi yang dapat Anda tambahkan ke perintah ping Anda .

Kesalahpahaman umum tentang ping adalah bahwa Anda dapat menggunakannya untuk menguji ketersediaan port tertentu pada sistem yang ditargetkan. Singkat cerita, Anda tidak dapat melakukan itu, karena ICMP tidak melakukan pertukaran pesan nyata antara host, tidak seperti TCP atau UDP, dan tidak memerlukan penggunaan port.

Aplikasi pemindai port menggunakan paket TCP atau UDP untuk menentukan apakah port tertentu terbuka dan dapat diakses atau tidak. Alat mengirim paket TCP atau UDP ke port tertentu dan menghasilkan pesan ICMP tipe 3 (host tidak dapat dijangkau) subtipe 3 (port tujuan tidak dapat dijangkau) jika port tersebut tidak aktif.

jalan setapak

Sama seperti ping, traceroute adalah alat pemecahan masalah jaringan lain yang tidak hanya dimiliki oleh setiap admin jaringan di sabuk alatnya tetapi juga dikuasai oleh setiap admin jaringan. Apa yang dilakukan traceroute adalah membantu Anda memetakan rute semua perangkat yang dilewati koneksi Anda hingga mencapai tujuan yang ditentukan.

Jadi, jika Anda tertarik untuk menemukan seluruh rute antara Anda dan komputer lain, traceroute dapat memberi Anda informasi tersebut. Alat ini juga dapat digunakan untuk menentukan apakah ada yang salah di sepanjang rute yang diikuti koneksi Anda.

Jika, misalnya, ada perangkat di jalur koneksi yang mengalami kesulitan meneruskan paket Anda ke tujuan yang diinginkan, traceroute akan memberi tahu Anda router mana yang memberi Anda respons tertunda (atau tidak sama sekali).

Cara kerja traceroute adalah dengan mengirimkan sebuah paket dengan nilai TTL ( Time To Live ) 0, yang akan secara otomatis dijatuhkan oleh router pertama yang ditemuinya, seperti yang sudah kami jelaskan di atas pada bagian TTL. Setelah menjatuhkan paket, router menghasilkan paket ICMP dan mengirimkannya kembali ke traceroute.

Program mengekstrak alamat sumber paket, serta waktu yang dibutuhkan paket untuk kembali, dan kemudian mengirimkan paket lain dengan nilai TTL 1 . Setelah paket kedua melewati gateway, TTL-nya berkurang 1 (menjadi 0 ) dan menuju ke router kedua, yang, setelah mendeteksi nilai TTL nol, menjatuhkan paket dan mengirimkan paket ICMP kembali ke traceroute.

Setiap kali traceroute menerima paket ICMP, itu meningkatkan TTL satu dan mengirimkannya kembali ke jalurnya, dan operasi ini terus berlanjut sampai tujuan yang ditentukan tercapai, atau traceroute kehabisan hop. Secara default, Windows mengalokasikan jumlah maksimum 30 hop, tetapi Anda dapat meningkatkannya dengan menentukannya dalam sintaks perintah.

Berikut adalah contoh bagaimana Anda dapat menjalankan traceroute di CMD:

tracert TipsWebTech360.com

Sama seperti ping, traceroute memiliki serangkaian opsi yang dapat Anda tambahkan ke sintaks jika Anda ingin lebih spesifik. Anda dapat memaksa IPv4 atau IPv6, tetapi Anda juga dapat melewati penyelesaian alamat ke nama host dan meningkatkan jumlah lompatan maksimum untuk mencari target. Lihat tangkapan layar kami di bawah ini untuk contoh penggunaan traceroute dan daftar semua opsi yang dapat Anda gunakan dengannya.

Perlu disebutkan, bagaimanapun, bahwa traceroute hanya dapat memberi Anda informasi waktu nyata. Oleh karena itu, jika Anda mengalami pelambatan dalam sambungan dan ingin menggunakan alat ini untuk menyelidikinya, Anda mungkin menerima hasil yang menyesatkan karena rutenya mungkin telah berubah untuk sementara waktu.

Meskipun mungkin untuk memaksa traceroute mengikuti jalur tertentu dengan menggunakan opsi -j dan menambahkan alamat router secara manual, hal itu menyiratkan bahwa Anda sudah mengetahui jalur yang salah. Ini agak paradoks, karena menemukan jalur di tempat pertama mengharuskan Anda menggunakan traceroute tanpa opsi -j .

Jika Anda bukan penggemar penggunaan alat CLI (Command Line Interface) dan lebih menyukai pendekatan GUI (Graphical User Interface), ada banyak solusi perangkat lunak pihak ketiga untuk traceroute. Traceroute NG SolarWinds  adalah salah satu contoh terbaik yang dapat kami pikirkan. Apakah kami menyebutkan bahwa itu sepenuhnya gratis ?

jalan jalan

Seperti yang telah kami sebutkan secara singkat di atas, pathping melengkapi trifecta alat pemecahan masalah jaringan yang sangat diperlukan. Dari sudut pandang fungsionalitas, patphing adalah kombinasi dari ping dan traceroute, karena menggunakan ketiga jenis pesan yang dieksploitasi oleh duo tersebut: permintaan gema (8), balasan gema (0), serta waktu terlampaui (11).

Paling sering, jalur digunakan untuk mengidentifikasi node koneksi yang dipengaruhi oleh latensi tinggi dan kehilangan paket. Tentu Anda dapat menggunakan traceroute dan kemudian melakukan ping untuk mendapatkan detail ini, tetapi memiliki fungsionalitas kedua alat di bawah satu perintah jauh lebih nyaman bagi administrator jaringan.

Salah satu kelemahan menggunakan pathping adalah dibutuhkan waktu yang cukup lama untuk menyelesaikan penyelidikannya (25 detik per hop untuk menghasilkan statistik ping). Pathping akan menunjukkan kepada Anda rute ke tujuan yang ditentukan dan waktu perjalanan pulang pergi ke sana.

Berbeda dengan ping dan traceroute, pathping akan melakukan ping ke setiap router di jalurnya berulang kali, yang meningkatkan efektivitasnya secara keseluruhan. Namun, jika menemukan router yang telah menonaktifkan fungsi ICMP-nya, pathping akan menghentikan permintaan informasinya, sedangkan ping masih dapat menjangkau router tanpa fitur ICMP, dan traceroute akan melompat ke router berikutnya di jalurnya dan menampilkan serangkaian tanda bintang. untuk setiap router non-ICMP.

Pathping adalah alat bawaan Windows dan sudah seperti itu sejak Windows NT, jadi Anda dapat menggunakannya seperti saat Anda melakukan ping atau tracert: melalui baris perintah.

Berikut adalah contoh bagaimana Anda dapat menggunakan pathping:

pathping TipsWebTech360.com -h 40 -w 2 -4

Perintah di atas akan menunjukkan kepada Anda rute ke situs web kami, serta waktu perjalanan pulang pergi ke setiap router di jalur koneksi. Selain itu, opsi yang kami gunakan dalam contoh kami akan meningkatkan nilai hop maksimum default dari 30 menjadi 40, menambahkan nilai batas waktu 2 milidetik untuk setiap balasan dan memaksa IPv4.

Lihat screenshot kami di bawah ini untuk pathping penggunaan panduan dan daftar pilihan Anda dapat menambahkan untuk sintaks perintah.

Penerapan ICMP dalam serangan cyber

Meskipun jangkauan ICMP memfasilitasi banyak operasi pemecahan masalah konektivitas, protokol ini juga dapat dimanfaatkan untuk melakukan berbagai serangan dunia maya. Jika Anda sudah cukup lama di Internet, Anda mungkin pernah mendengar tentang ping flooding, DDoS, Ping of Death, Smurf Attacks, atau ICMP tunnels.

Sementara beberapa dari serangan ini saat ini berfungsi sebagai PoC (Proof of Concept), yang lain masih digunakan oleh agen jahat untuk merusak sistem yang mendukung Internet atau oleh pakar keamanan untuk menguji kerentanan.

Kita akan mulai dengan yang paling populer, yaitu ping flood (masih banyak digunakan, omong-omong), dan menjelaskan bagaimana ICMP menggunakan ICMP untuk kejahatan.

banjir ping

Menggunakan ping untuk mengirim permintaan gema dan menunggu balasan gema tampaknya tidak berbahaya. Tetapi bagaimana jika, alih-alih menunggu balasan, ping hanya akan mengirim sejumlah besar permintaan gema ICMP? Dalam skenario serangan DoS (Denial of Service) klasik ini , perangkat target akan mengalami kelambatan yang parah, dan bahkan koneksi terputus jika serangan berhasil.

Serangan ini paling efektif jika penyerang memiliki lebih banyak bandwidth daripada korban, dan jika korban mengirimkan balasan gema ICMP ke banyak permintaan yang diterimanya, sehingga menghabiskan bandwidth masuk dan keluar.

Penyerang dapat menentukan opsi "banjir" ke perintah ping, tetapi opsi ini cukup langka dan tidak tertanam dalam alat bawaan sistem operasi. Misalnya, ping Windows tidak memiliki opsi "flood" , tetapi ada beberapa alat pihak ketiga yang mengintegrasikan fitur ini.

Serangan banjir ping benar-benar bisa menjadi bencana besar jika berubah menjadi serangan DDoS (Distributed Denial of Service) . Serangan DDoS menggunakan banyak sistem untuk menargetkan satu sistem, sehingga membanjirinya dengan paket dari beberapa lokasi sekaligus.

Salah satu cara jitu untuk melindungi diri Anda dari banjir ping adalah dengan menonaktifkan fungsi ICMP di router Anda. Anda juga dapat menginstal firewall aplikasi web jika Anda perlu melindungi server web dari serangan semacam itu.

ping kematian

Serangan ini melibatkan pengiriman ping yang salah ke komputer target. Dalam jenis serangan ini, paket yang dikirim akan berisi jumlah pengisi dalam muatan yang terlalu besar untuk diproses sekaligus.

Namun, sebelum dikirim, ping berbahaya ini akan terfragmentasi menjadi bagian-bagian yang lebih kecil, karena mengirimkannya dalam bentuk aslinya yang dirakit tidak mungkin dilakukan oleh prosesor Internet Protocol .

Komputer yang ditargetkan oleh Ping of Death akan menerima potongan dan mencoba untuk memasangnya kembali sebelum mengirim paket berbahaya ke aplikasi tujuan. Di sinilah kerusakan terjadi: jika paket yang dirakit lebih panjang dari memori yang tersedia di komputer target, perakitan ulang dapat mengakibatkan buffer overflow , sistem crash, dan bahkan memungkinkan kode berbahaya disuntikkan ke mesin yang terkena.

Sisi baiknya, Ping of Death bukan lagi hal baru, karena banyak sistem keamanan mengenalinya tanpa gangguan dan berhasil memblokirnya.

serangan smurf

Berbeda dengan dua jenis serangan sebelumnya, serangan Smurf tidak menyerang perangkat secara langsung tetapi menggunakan perangkat lain di jaringan yang sama untuk mengoordinasikan serangan DoS terdistribusi ( DDoS ) ke satu mesin.

Penyerang membutuhkan alamat IP targetnya dan alamat IP broadcast jaringan target. Penyerang menambahkan alamat IP korban ke paket ICMP (memalsukannya) dan kemudian menyiarkannya ke jaringan target dengan menggunakan alamat IP broadcast .

Sebagai tanggapan, sebagian besar perangkat yang terhubung ke jaringan yang sama akan mengirim balasan ke alamat IP sumber (diganti untuk mencerminkan mesin target), yang dapat kewalahan dengan lalu lintas jika jaringannya cukup besar (memiliki sejumlah besar perangkat yang terhubung).

Akibatnya, komputer target dapat melambat dan bahkan tidak dapat digunakan untuk jangka waktu tertentu, jika serangannya cukup parah.

Seperti sebelumnya, Anda dapat menghindari serangan Smurf hanya dengan mematikan kemampuan ICMP router gateway Anda. Cara lain Anda dapat memperoleh perlindungan adalah dengan memasukkan permintaan yang berasal dari alamat IP siaran jaringan Anda ke daftar hitam.

Serangan tusukan

Serangan Twinge dipimpin oleh program yang mengirimkan banjir paket ICMP palsu untuk merusak sistem. Paket ICMP palsu karena semuanya menggunakan alamat IP palsu acak, tetapi pada kenyataannya, paket tersebut berasal dari satu sumber (mesin penyerang).

Dilaporkan, paket ICMP berisi tanda tangan yang dapat memberikan fakta bahwa serangan itu tidak datang dari berbagai sumber, tetapi dikoordinasikan dengan bantuan Twinge.

Meskipun serangan ini dapat menjadi bencana jika direncanakan dengan benar, mematikan ICMP pada router gateway Anda dan memasang firewall atau sistem deteksi penyusupan dapat membantu Anda melindungi diri dari serangan tersebut.

terowongan ICMP

Secara default, router hanya memindai header paket ICMP, sehingga memungkinkan paket yang sebenarnya berisi banyak data tambahan dapat dengan mudah melewati deteksi asalkan berisi bagian ICMP. Jenis serangan ini disebut terowongan ping atau ICMP. Untungnya, utilitas ping standar tidak mampu melakukan tunneling melalui firewall dan gateway, karena tunnel ICMP perlu disesuaikan dengan hati-hati ke jaringan yang dimaksudkan.

Di sisi lain, ada banyak sumber daya online yang dapat digunakan dan ditiru oleh penyerang seperti terowongan, memberikan diri mereka akses gratis melalui jaringan pribadi dan mesin yang terhubung dengannya. Seperti sebelumnya, mematikan kemampuan ICMP pada router gateway Anda, menggunakan firewall, dan menerapkan aturan daftar hitam yang ketat dapat menjadi hal terpenting dalam menghindari jenis serangan ini.

ICMP – Kesimpulan

Semua hal dipertimbangkan, meskipun ICMP tidak digunakan untuk bertukar informasi antara perangkat yang terhubung pada jaringan tertentu seperti yang dilakukan TCP dan UDP, ICMP masih memiliki rentang penerapan yang sangat besar. Faktanya, ICMP adalah salah satu protokol fundamental paling fleksibel yang membantu menjaga Internet seperti yang kita kenal.

Selain tujuan dasarnya untuk memberi tahu satu sistem ketika ada gangguan dalam hubungannya dengan sistem lain, ICMP adalah tulang punggung dari berbagai alat pemecahan masalah seperti ping, pathping, dan traceroute. Sayangnya, ini juga membantu agen jahat mengirimkan berbagai serangan DoS dan infiltrasi ke mesin yang rentan.