Wat is ICMP? Het Internet Control Message Protocol begrijpen

Je hebt waarschijnlijk wel eens van ICMP gehoord en als je een beetje technisch bent, weet je waarschijnlijk (tenminste) dat het iets met internet te maken heeft.

ICMP is eigenlijk een protocol, net zoals IP, TCP en UDP (die we eerder hebben besproken en uitgelegd), dus het speelt een vrij belangrijke rol bij het goed functioneren van onze internetverbindingen.

ICMP heeft meer te maken met de manier waarop verbindingsproblemen worden gedetecteerd en afgehandeld, maar laten we niet te veel van onze lezing verklappen. Lees verder als u wilt weten wat ICMP is en hoe het ons helpt onze verbindingen op een optimaal niveau te houden.

Wat is ICMP?

Het Internet Control Message Protocol, dat de meeste mensen kennen onder het vriendelijkere acroniem ICMP, is een protocol dat van fundamenteel belang is voor het oplossen van verschillende verbindingsproblemen.

Dit protocol wordt gebruikt door een breed scala aan netwerkapparaten, inclusief maar niet beperkt tot routers, modems en servers om andere netwerkdeelnemers te informeren over mogelijke verbindingsproblemen.

We hebben hierboven vermeld dat ICMP een protocol is, net als TCP en UDP, maar in tegenstelling tot die twee wordt ICMP over het algemeen niet gebruikt om de uitwisseling van gegevens tussen systemen te vergemakkelijken. Bovendien wordt het niet vaak gebruikt in netwerk-apps van eindgebruikers, tenzij het diagnostische tools zijn.

De oorspronkelijke definitie van ICMP werd geschetst door Jon Postel , die massaal en vele malen heeft bijgedragen aan de ontwikkeling van internet, en de eerste standaard van ICMP werd in april 1981 gepubliceerd in RFC 777 .

Het is duidelijk dat de oorspronkelijke definitie veel veranderingen heeft ondergaan om de vorm te bereiken die we tegenwoordig kennen. De stabiele vorm van dit protocol werd 5 maanden later gepubliceerd dan de oorspronkelijke definitie, in september 1981, in RFC 792, en werd ook geschreven door Postel.

Hoe werkt ICMP?

Kort gezegd, ICMP wordt gebruikt voor foutrapportage door te bepalen of gegevens relatief snel de beoogde bestemming bereiken.

In een basisscenario zijn twee apparaten via internet met elkaar verbonden en wisselen ze informatie uit via wat we datapakketten of datagrammen noemen. Wat ICMP doet, is fouten genereren en deze delen met het apparaat dat de originele gegevens heeft verzonden voor het geval de pakketten nooit hun bestemming bereiken.

Als u bijvoorbeeld een gegevenspakket verzendt dat simpelweg te groot is voor de router om te verwerken, zal de router het pakket eerst laten vallen en vervolgens een foutmelding genereren die het afzenderapparaat laat weten dat het pakket nooit de bestemming heeft bereikt waarnaar het op weg was.

Dat is echter wat we een passieve vaardigheid zouden noemen, aangezien u absoluut niets hoeft te doen om deze foutmeldingen te ontvangen (indien nodig). Zoals u binnenkort zult ontdekken, heeft ICMP ook een actiever hulpprogramma, waarop u kunt vertrouwen om verschillende netwerkproblemen op te lossen.

In tegenstelling tot TCP en UDP heeft ICMP geen apparaat nodig om een ​​bericht te verzenden. In een TCP-verbinding moeten de aangesloten apparaten bijvoorbeeld een meerstaps-handshake uitvoeren, waarna de gegevens kunnen worden overgedragen.

Met ICMP hoeft er geen verbinding tot stand te worden gebracht; een bericht kan eenvoudig worden verzonden in plaats van een verbinding. Bovendien heeft een ICMP-bericht geen poort nodig om het bericht naar te sturen, in vergelijking met TCP en UDP, die beide specifieke poorten gebruiken om informatie door te sturen. Niet alleen vereist ICMP geen poort, maar het staat ook niet toe om specifieke poorten te targeten.

ICMP-berichten worden gedragen door IP-pakketten, maar zijn er niet in opgenomen. In plaats daarvan liften ze mee op deze pakketten, omdat ze alleen worden gegenereerd als hun provider (dwz de IP-pakketten) hun bestemming nooit bereiken. Vaker wel dan niet, zijn de omstandigheden waardoor een ICMP-pakket kon spawnen het gevolg van de beschikbare gegevens in de IP-header van het mislukte pakket.

Aangezien ICMP gegevens bevat van de IP-header van het mislukte pakket, kunnen netwerkanalysetools worden gebruikt om precies te bepalen welke IP-pakketten niet konden worden afgeleverd. De IP-header is echter niet het enige type informatie dat door het ICMP-pakket wordt vervoerd.

Een ICMP-pakket bevat de IP-header, gevolgd door een ICMP-header en de eerste acht bytes van de payload.

• IP-header – bevat details over IP-versie, bron- en bestemmings-IP-adressen, het aantal verzonden pakketten, het gebruikte protocol, pakketlengte, time to live (TTL), synchronisatiegegevens, evenals ID-nummers voor bepaalde datapakketten
• ICMP-header - bevat een code die helpt bij het categoriseren van de fout, een subcode die de identificatie van fouten vergemakkelijkt door een beschrijving en een controlesom aan te bieden
• Transport Layer-header - eerste acht bytes van de payload (overgedragen via TCP of UDP)

ICMP-controleberichten

Zoals we hierboven hebben vermeld, kunnen de waarden in het eerste veld van de ICMP-header worden gebruikt om deze te identificeren wanneer er een fout optreedt. Deze fouttypen, samen met hun identifier, zijn als volgt:

• 0 – Echo Reply – gebruikt voor ping-doeleinden
• 3 – Bestemming onbereikbaar
• 5 – Omleidingsbericht – gebruikt om aan te geven dat u een andere route kiest
• 8 – Echoverzoek – gebruikt voor ping-doeleinden
• 9 – Routeradvertentie – gebruikt door routers om aan te kondigen dat hun IP-adressen beschikbaar zijn voor routering
• 10 – Routerverzoek – ontdekking, verzoek of selectie van router
• 11 – Tijd overschreden – TTL verlopen of hermontagetijd overschreden
• 12 – Parameterprobleem: Slechte IP-header – slechte lengte, vereiste optie ontbreekt, of door aanwijzer aangegeven fout
• 13 – Tijdstempel
• 14 – Tijdstempel antwoord
• 41 – gebruikt voor experimentele mobiliteitsprotocollen
• 42 – Uitgebreid echoverzoek – vraagt ​​om uitgebreide echo
• 43 - Uitgebreid echo-antwoord - antwoorden op 42 uitgebreid echo-verzoek
• 253 en 254 – experimenteel

Het veld TTL (Time to Live)

Het TTL-veld is een van de IP-headervelden die een ICMP-fout kan (en vaak doet) genereren. Het bevat een waarde, het maximale aantal routers dat een verzonden pakket kan passeren voordat het zijn eindbestemming bereikt.

Nadat het pakket door een router is verwerkt, neemt deze waarde met één af, en het proces gaat door totdat een van twee dingen gebeurt: ofwel bereikt het pakket zijn bestemming, of de waarde bereikt nul, wat meestal wordt gevolgd door het feit dat de router de pakket en het verzenden van een ICMP-bericht naar de oorspronkelijke afzender.

Het spreekt dus voor zich dat als een pakket wordt weggelaten omdat de TTL nul heeft bereikt, dit niet komt door beschadigde gegevens in de header of router-specifieke problemen. TTL is eigenlijk ontworpen om te voorkomen dat malafide pakketten verbindingen belemmeren en heeft geresulteerd in de creatie van een tool die van het grootste belang is voor het oplossen van netwerkproblemen: Traceroute.

ICMP-gebruik in netwerkdiagnose

Zoals hierboven vermeld, kan ICMP worden gebruikt met diagnostische tools om het goed functioneren van een netwerkverbinding te bepalen. Je wist misschien niet wat ICMP is voordat je onze gids hebt gelezen, maar we zijn er zeker van dat je in ieder geval hebt gehoord over ping, het beroemde netwerkhulpprogramma dat je laat weten of een host bereikbaar is of niet.

Welnu, ping is eigenlijk een belangrijk hulpmiddel dat ICMP als ruggengraat gebruikt. Traceroute is een ander goed voorbeeld van tools die ons helpen verbindingsproblemen op onze netwerken te diagnosticeren en op te lossen. Pathping, een combinatie van ping en traceroute, is nog zo'n geweldige tool op basis van ICMP.

Ping

Ping is een ingebouwde Windows-tool die toegankelijk is via CMD en is een van de belangrijkste tools die ICMP gebruikt om mogelijke netwerkfouten op te lossen. Ping maakt gebruik van twee van de codes in de bovenstaande lijst, 8 (echo-verzoek) en 0 (echo-antwoord), om specifieker te zijn.

Hier ziet u hoe twee voorbeelden van ping- opdrachten eruit zien:

ping 168.10.26.7
ping TipsWebTech360.com

Wanneer u het uitvoert, stuurt ping een ICMP-pakket met een code 8 in het typeveld en wacht geduldig op het type 0-antwoord. Nadat het antwoord is ontvangen, bepaalt ping de tijd tussen het verzoek (8) en het antwoord (0) en retourneert het de waarde van de retour, uitgedrukt in milliseconden.

We hebben al vastgesteld dat ICMP-pakketten meestal worden gegenereerd en verzonden als gevolg van een fout. Het verzoekpakket (type 8) heeft echter geen fout nodig om te worden verzonden, daarom kan ping het antwoord (0) ook terug ontvangen zonder een fout te veroorzaken.

Zoals je waarschijnlijk uit onze voorbeelden hierboven hebt begrepen, kun je een IP-adres of een host pingen. Bovendien heeft ping een overvloed aan extra opties die u kunt gebruiken voor meer geavanceerde probleemoplossing door simpelweg de optie aan de opdracht toe te voegen.

Als u bijvoorbeeld de optie -4 gebruikt , wordt ping gedwongen om uitsluitend IPv4 te gebruiken , terwijl -6 alleen IPv6- adressen zal gebruiken . Bekijk de onderstaande schermafbeelding voor een volledige lijst met opties die u aan uw ping- opdracht kunt toevoegen .

Een veel voorkomende misvatting over ping is dat je het kunt gebruiken om de beschikbaarheid van bepaalde poorten op gerichte systemen te testen. Om een ​​lang verhaal kort te maken, u kunt dat niet doen, aangezien ICMP geen echte berichtenuitwisseling tussen hosts uitvoert, in tegenstelling tot TCP of UDP, en geen poortgebruik vereist.

Poortscanner-apps maken gebruik van TCP- of UDP-pakketten om te bepalen of bepaalde poorten al dan niet open en toegankelijk zijn. De tools sturen TCP- of UDP-pakketten naar een specifieke poort en genereren een type 3 (host onbereikbaar) subtype 3 (bestemmingspoort onbereikbaar) ICMP-bericht als die poort niet actief is.

Traceroute

Net als ping is traceroute een andere tool voor het oplossen van problemen met netwerken die elke netwerkbeheerder niet alleen in zijn gereedschapsriem zou moeten hebben, maar ook onder de knie zou moeten hebben. Wat traceroute doet, is u helpen een route in kaart te brengen van alle apparaten waar uw verbinding doorheen loopt totdat deze de opgegeven bestemming bereikt.

Dus als u geïnteresseerd bent in het vinden van de hele route tussen u en een andere machine, kan traceroute u precies die informatie geven. Deze tool kan ook worden gebruikt om te bepalen of er iets mis is langs de route die uw verbinding volgt.

Als er zich bijvoorbeeld een apparaat op het verbindingspad bevindt dat moeite heeft om uw pakketten naar hun beoogde bestemming door te sturen, laat traceroute u weten welke router u een vertraagde reactie geeft (of helemaal geen).

De manier waarop traceroute werkt, is door een pakket te verzenden met een TTL-waarde ( Time To Live ) van 0, die automatisch wordt verwijderd door de eerste router die het tegenkomt, zoals we hierboven in de TTL-sectie hebben uitgelegd. Nadat het pakket is verwijderd, genereert de router een ICMP-pakket en stuurt het terug naar traceroute.

Het programma extraheert het bronadres van het pakket, evenals de tijd die het nodig had om terug te komen, en verzendt vervolgens een ander pakket met een TTL-waarde van 1 . Nadat het tweede pakket door de gateway is gegaan, neemt zijn TTL af met 1 (wordt 0 ) en gaat naar de tweede router, die, bij het detecteren van de nul TTL-waarde, het pakket laat vallen en een ICMP-pakket terugstuurt naar traceroute.

Elke keer dat traceroute een ICMP-pakket ontvangt, verhoogt het de TTL met één en stuurt het terug op zijn spoor, en deze bewerking gaat maar door totdat de opgegeven bestemming is bereikt, of traceroute geen hops meer heeft. Standaard wijst Windows een maximum aantal van 30 hops toe, maar u kunt dat verhogen door dit op te geven in de opdrachtsyntaxis.

Hier is een voorbeeld van hoe u traceroute in CMD kunt uitvoeren :

tracert TipsWebTech360.com

Net als ping heeft traceroute een reeks opties die u aan de syntaxis kunt toevoegen als u specifieker wilt zijn. U kunt IPv4 of IPv6 forceren , maar u kunt ook het omzetten van adressen naar hostnamen overslaan en het maximale aantal hops verhogen om naar het doel te zoeken. Bekijk onze screenshot hieronder voor een voorbeeld van het gebruik van traceroute en een lijst met alle opties die u ermee kunt gebruiken.

Vermeldenswaard is echter dat traceroute u alleen realtime informatie kan geven. Daarom, als u een vertraging in uw verbinding heeft ondervonden en u deze tool wilt gebruiken om dit te onderzoeken, kunt u misleidende resultaten krijgen omdat de route in de tussentijd kan zijn gewijzigd.

Hoewel het mogelijk is om traceroute te dwingen een bepaald pad te volgen door de -j optie te gebruiken en routeradressen handmatig toe te voegen, houdt dit in dat je al op de hoogte bent van het defecte pad. Dit is enigszins paradoxaal, aangezien het ontdekken van het pad in de eerste plaats vereist dat je traceroute gebruikt zonder de -j optie.

Als je niet echt een fan bent van het gebruik van CLI- tools (Command Line Interface) en liever een GUI- benadering (Graphical User Interface) hebt, zijn er veel softwareoplossingen van derden voor traceroute. Traceroute NG van SolarWinds  is een van de beste voorbeelden die we konden bedenken. Hadden we al gezegd dat het helemaal gratis is ?

Paden

Zoals we hierboven kort hebben vermeld, maakt pathping de trifecta van onmisbare hulpprogramma's voor het oplossen van netwerkproblemen compleet. Vanuit het oogpunt van functionaliteit is patphing een combinatie van ping en traceroute, aangezien het gebruik maakt van alle drie de berichttypes die het bovengenoemde duo exploiteert: echo request (8), echo reply (0) en tijd overschreden (11).

Meestal wordt pathping gebruikt om verbindingsknooppunten te identificeren die worden beïnvloed door hoge latentie en pakketverlies. Natuurlijk kun je traceroute gebruiken en vervolgens pingen om deze details te verkrijgen, maar het is veel handiger voor netwerkbeheerders om de functionaliteit van beide tools onder één commando te hebben.

Een van de nadelen van het gebruik van pathping is dat het een hele tijd kan duren om het onderzoek af te ronden (25 seconden per hop om ping-statistieken op te leveren). Pathping toont u zowel de route naar de opgegeven bestemming als de retourtijden ernaartoe.

In tegenstelling tot ping en traceroute, pingt pathping elke router op zijn pad herhaaldelijk, wat de algehele effectiviteit verhoogt. Als het echter een router tegenkomt die zijn ICMP-functies heeft uitgeschakeld, stopt pathping het verzoek om informatie, terwijl ping nog steeds een router kan bereiken zonder ICMP-functies, en traceroute zal naar de volgende router in zijn pad springen en een reeks sterretjes weergeven voor alle niet-ICMP-routers.

Pathping is een ingebouwde tool van Windows en is zo sinds Windows NT, dus je kunt het gebruiken zoals je zou pingen of traceren: via een opdrachtregel.

Hier is een voorbeeld van hoe u paden kunt gebruiken :

pathping TipsWebTech360.com -h 40 -w 2 -4

De bovenstaande opdracht toont u de route naar onze website, evenals de retourtijden naar elke router in het verbindingspad. Bovendien verhogen de opties die we in ons voorbeeld hebben gebruikt de standaard maximale hopwaarde van 30 naar 40, voegen een time-outwaarde van 2 milliseconden toe voor elk antwoord en dwingen IPv4 af.

Bekijk onze onderstaande schermafbeelding voor een korte handleiding voor het gebruik van paden en een lijst met opties die u aan de opdrachtsyntaxis kunt toevoegen.

ICMP toepasbaarheid bij cyberaanvallen

Hoewel het assortiment van ICMP een groot aantal operaties voor het oplossen van problemen met connectiviteit mogelijk maakt, kan dit protocol ook worden gebruikt om verschillende cyberaanvallen uit te voeren. Als je lang genoeg op internet bent geweest, heb je waarschijnlijk gehoord over ping-flooding, DDoS, Ping of Death, Smurf Attacks of ICMP-tunnels.

Hoewel sommige van deze aanvallen tegenwoordig dienen als PoC (Proof of Concept), worden andere nog steeds gebruikt door kwaadwillende agenten om internet-enabled systemen te beschadigen of door beveiligingsexperts om te testen op kwetsbaarheden.

We beginnen met de meest populaire, namelijk de ping-flood (die trouwens nog steeds veel wordt gebruikt), en leggen uit hoe deze ICMP voor het kwaad gebruikt.

Ping overstroming

Het gebruik van ping om echo-verzoeken te verzenden en te wachten op echo-antwoorden lijkt vrij onschuldig. Maar wat als, in plaats van te wachten op het antwoord, ping gewoon een enorme hoeveelheid ICMP-echoverzoeken zou verzenden? In dit klassieke DoS - aanvalsscenario (Denial of Service) zou het doelapparaat ernstige vertragingen en zelfs verbroken verbindingen ervaren als de aanval succesvol is.

Deze aanval is het meest effectief als de aanvaller meer bandbreedte heeft dan het slachtoffer, en als het slachtoffer ICMP-echo-antwoorden verzendt op de veelheid aan verzoeken die het ontvangt, waardoor zowel inkomende als uitgaande bandbreedte wordt verbruikt.

De aanvaller kan een "flood" -optie specificeren voor het ping-commando, maar deze optie is vrij zeldzaam en niet ingebed in de ingebouwde tools van het besturingssysteem. De ping van Windows heeft bijvoorbeeld geen "flood" -optie, maar er zijn enkele tools van derden die deze functie integreren.

Een ping-overstromingsaanval kan echt catastrofaal worden als het een DDoS - aanval (Distributed Denial of Service) wordt . Een DDoS-aanval maakt gebruik van meerdere systemen om zich op één systeem te richten, waardoor het wordt overstelpt met pakketten van verschillende locaties tegelijk.

Een trefzekere manier om uzelf te beschermen tegen een ping-vloed is door ICMP-functies op uw router uit te schakelen. U kunt ook een webapp-firewall installeren als u een webserver tegen dergelijke aanvallen wilt beschermen.

Ping des doods

Deze aanval omvat het verzenden van een misvormde ping naar een doelcomputer. Bij dit type aanval bevat het verzonden pakket een hoeveelheid vulmiddel in de payload die te groot is om in één keer te worden verwerkt.

Voordat deze kwaadaardige ping wordt verzonden, wordt deze echter gefragmenteerd in kleinere delen, omdat het verzenden ervan in de oorspronkelijke, geassembleerde vorm onmogelijk zou zijn voor de Internet Protocol- processor.

De computer die het doelwit is van de Ping of Death zal de chunks ontvangen en proberen ze opnieuw samen te stellen voordat het kwaadaardige pakket naar de doeltoepassing wordt verzonden. Hier gebeurt de schade: als het geassembleerde pakket langer is dan het beschikbare geheugen op de doelcomputer, kan het opnieuw samenstellen ervan resulteren in een bufferoverloop , systeemcrashes en kan het zelfs toelaten dat kwaadaardige code in de getroffen machine wordt geïnjecteerd.

Aan de positieve kant is Ping of Death niet langer een nieuwigheid, omdat veel beveiligingssystemen het zonder een hapering herkennen en het met succes blokkeren.

Smurfen aanval

In tegenstelling tot de vorige twee aanvalstypes, valt een Smurf-aanval niet rechtstreeks een apparaat aan, maar maakt het gebruik van andere apparaten op hetzelfde netwerk om een ​​gedistribueerde DoS-aanval (een DDoS ) naar een enkele machine te coördineren .

De aanvaller heeft het IP-adres van het doelwit en het IP-broadcast-adres van het doelnetwerk nodig. De aanvaller voegt het IP-adres van het slachtoffer toe aan ICMP-pakketten (spooft het) en zendt deze vervolgens uit naar het netwerk van het doelwit met behulp van een IP-broadcast-adres .

Als reactie hierop sturen de meeste apparaten die op hetzelfde netwerk zijn aangesloten een antwoord naar het bron-IP-adres (vervangen om de computer van het doel weer te geven), dat kan worden overspoeld met verkeer als het netwerk groot genoeg is (een enorm aantal verbonden apparaten heeft).

Als gevolg hiervan kan de computer van het doelwit worden vertraagd en zelfs voor een bepaalde periode onbruikbaar worden gemaakt, als de aanval ernstig genoeg is.

Net als voorheen kunt u een Smurf-aanval vermijden door simpelweg de ICMP-mogelijkheden van uw gateway-router uit te schakelen. Een andere manier om bescherming te krijgen, is door verzoeken die afkomstig zijn van het broadcast-IP-adres van uw netwerk op de zwarte lijst te zetten.

Twinge-aanval

Een Twinge-aanval wordt geleid door een programma dat een stortvloed van vervalste ICMP-pakketten verzendt om een ​​systeem te beschadigen. De ICMP-pakketten zijn nep omdat ze allemaal willekeurige nep-IP-adressen gebruiken, maar in werkelijkheid komen de pakketten van één enkele bron (de machine van de aanvaller).

Naar verluidt bevatten de ICMP-pakketten een handtekening die kan verraden dat de aanval niet uit meerdere bronnen kwam, maar werd gecoördineerd met de hulp van Twinge.

Hoewel deze aanval rampzalig kan zijn als ze goed gepland is, kan het uitschakelen van ICMP op uw gateway-router en het installeren van een firewall of een inbraakdetectiesysteem u helpen uzelf hiertegen te beschermen.

ICMP-tunnel

Standaard scannen routers alleen naar de headers van ICMP-pakketten, waardoor het mogelijk is dat pakketten die veel extra gegevens bevatten, de detectie gemakkelijk kunnen omzeilen, zolang ze maar een ICMP-sectie bevatten. Dit type aanval wordt een ping- of ICMP-tunnel genoemd. Gelukkig zijn standaard ping-hulpprogramma's niet in staat om door firewalls en gateways te tunnelen, omdat ICMP-tunnels zorgvuldig moeten worden aangepast aan de netwerken waarvoor ze bedoeld zijn.

Aan de andere kant zijn er talloze online bronnen die aanvallers zo'n tunnel kunnen gebruiken en nabootsen, waardoor ze vrije doorgang krijgen door particuliere netwerken en daarmee verbonden machines. Net als voorheen kunnen het uitschakelen van ICMP-mogelijkheden op uw gateway-router, het gebruik van firewalls en het afdwingen van strikte regels voor zwarte lijsten van het grootste belang zijn om dit type aanval te voorkomen.

ICMP – Conclusie

Alles bij elkaar genomen, hoewel ICMP niet wordt gebruikt om informatie uit te wisselen tussen aangesloten apparaten op een bepaald netwerk zoals TCP en UDP dat doen, heeft het nog steeds een enorm toepassingsgebied. ICMP is zelfs een van de meest flexibele fundamentele protocollen die helpen om het internet te houden zoals we het kennen.

Afgezien van het basisdoel om het ene systeem te laten weten wanneer er een storing is in de verbinding met een ander systeem, vormt ICMP de ruggengraat van talloze hulpprogramma's voor probleemoplossing, zoals ping, pathping en traceroute. Helaas helpt het kwaadwillende agenten ook om een ​​breed scala aan DoS- en infiltratieaanvallen uit te voeren op kwetsbare machines.