Você provavelmente já ouviu falar sobre ICMP e se você é apenas um pequeno conhecedor de tecnologia, você provavelmente sabe (pelo menos) que tem algo a ver com a Internet.
O ICMP é na verdade um protocolo, muito parecido com IP, TCP e UDP (que discutimos e explicamos anteriormente), portanto, desempenha um papel muito importante no bom funcionamento de nossas conexões de Internet.
O ICMP tem mais a ver com a maneira como os problemas de conectividade são detectados e tratados, mas não vamos estragar muito a nossa palestra. Continue lendo se quiser saber o que é ICMP e como ele nos ajuda a manter nossas conexões operando em níveis ideais.
O que é ICMP?
O Internet Control Message Protocol, conhecido pela sigla ICMP, é um protocolo fundamental para solucionar vários problemas relacionados à conectividade.
Este protocolo é usado por uma ampla variedade de dispositivos de rede, incluindo, mas não se limitando a, roteadores, modems e servidores para informar outros participantes da rede sobre possíveis problemas de conectividade.
Mencionamos acima que o ICMP é um protocolo como o TCP e o UDP, mas, ao contrário desses dois, o ICMP geralmente não é usado para facilitar a troca de dados entre os sistemas. Além disso, não é usado com frequência em aplicativos de rede do usuário final, a menos que sejam ferramentas de diagnóstico.
A definição original do ICMP foi esboçada por Jon Postel , que contribuiu maciçamente e muitas vezes para o desenvolvimento da Internet, e o primeiro padrão do ICMP foi publicado em abril de 1981 no RFC 777 .
Obviamente, a definição inicial passou por muitas mudanças para chegar à forma que conhecemos hoje. A forma estável desse protocolo foi publicada 5 meses depois de sua definição inicial, em setembro de 1981, na RFC 792, e também foi escrita por Postel.
Como funciona o ICMP?
Resumindo, o ICMP é usado para relatar erros, determinando se os dados chegam ou não ao destino pretendido com relativa rapidez.
Em um cenário básico, dois dispositivos são conectados pela Internet e trocam informações por meio do que chamamos de pacotes de dados ou datagramas. O que o ICMP faz é gerar erros e compartilhá-los com o dispositivo que enviou os dados originais, caso os pacotes nunca cheguem ao destino.
Por exemplo, se você enviar um pacote de dados que é simplesmente muito grande para o roteador manipular, o roteador primeiro descartará o pacote e, em seguida, gerará uma mensagem de erro permitindo ao dispositivo remetente que o pacote nunca alcançou o destino para o qual estava indo.
No entanto, isso é o que chamaríamos de habilidade passiva, já que não há absolutamente nada que você precise fazer para receber essas mensagens de erro (se for necessário). Como você descobrirá em breve, o ICMP também tem um utilitário mais ativo, no qual você pode confiar para realizar várias operações de solução de problemas de rede.
Ao contrário do TCP e do UDP, o ICMP não precisa de um dispositivo conectado para enviar uma mensagem. Em uma conexão TCP, por exemplo, os dispositivos conectados precisam realizar um handshake de várias etapas, após o qual os dados podem ser transferidos.
Com o ICMP, não há necessidade de estabelecer uma conexão; uma mensagem pode ser simplesmente enviada no lugar de uma conexão. Além disso, uma mensagem ICMP não requer uma porta para a qual direcionar a mensagem, em comparação com o TCP e o UDP, que usam portas específicas para rotear as informações. Não apenas o ICMP não requer uma porta, mas também não permite o direcionamento de portas específicas.
As mensagens ICMP são transportadas por pacotes IP, mas não são contidas por eles. Em vez disso, eles pegam carona nesses pacotes, já que eles só são gerados se sua portadora (ou seja, os pacotes IP) nunca alcançarem seu destino. Na maioria das vezes, as circunstâncias que permitiram a geração de um pacote ICMP resultam dos dados disponíveis no cabeçalho IP do pacote com falha.
Como o ICMP inclui dados do cabeçalho IP do pacote com falha, as ferramentas de análise de rede podem ser usadas para determinar exatamente quais pacotes IP não foram entregues. No entanto, o cabeçalho IP não é o único tipo de informação transportada pelo pacote ICMP.
Um pacote ICMP contém o cabeçalho IP, seguido por um cabeçalho ICMP e os primeiros oito bytes da carga útil.
Mensagens de controle ICMP
Como mencionamos acima, quando ocorre um erro, os valores do primeiro campo do cabeçalho ICMP podem ser usados para identificá-lo. Esses tipos de erro, junto com seu identificador, são os seguintes:
O campo TTL (Time to Live)
O campo TTL é um dos campos do cabeçalho IP que pode (e geralmente o faz) gerar um erro ICMP. Ele contém um valor, que é o número máximo de roteadores pelos quais um pacote enviado pode passar antes de atingir seu destino final.
Depois que o pacote é processado por um roteador, esse valor diminui em um e o processo continua até que uma das duas coisas aconteça: ou o pacote chega ao seu destino ou o valor chega a zero, o que geralmente é seguido pela eliminação do roteador pacote e enviando uma mensagem ICMP ao remetente original.
Portanto, nem é preciso dizer que, se um pacote for descartado porque seu TTL atingiu zero, não é por causa de dados corrompidos no cabeçalho ou de problemas específicos do roteador. O TTL foi projetado para impedir que pacotes invasores obstruam conexões e resultou na criação de uma ferramenta fundamental para a solução de problemas de rede: o Traceroute.
Uso de ICMP em diagnósticos de rede
Conforme mencionado acima, o ICMP pode ser usado com ferramentas de diagnóstico para determinar o bom funcionamento de uma conexão de rede. Você pode não saber o que é ICMP antes de ler nosso guia, mas temos certeza de que pelo menos ouviu falar do ping, o famoso utilitário de rede que permite que você saiba se um host está acessível ou não.
Bem, o ping é na verdade uma ferramenta importante que usa o ICMP como seu backbone. Traceroute é outro bom exemplo de ferramentas que nos ajudam a diagnosticar e solucionar problemas de conectividade em nossas redes. Pathping, que é uma combinação de ping e traceroute, é outra ótima ferramenta baseada em ICMP.
Ping
Ping é uma ferramenta interna do Windows que pode ser acessada por meio do CMD e é uma das ferramentas mais importantes que usa o ICMP para solucionar possíveis erros de rede. O ping utiliza dois dos códigos da lista acima, 8 (solicitação de eco) e 0 (resposta de eco), para ser mais específico.
Veja como dois exemplos de comando ping se parecem:
ping 168.10.26.7
ping TipsWebTech360.com
Ao executá-lo, o ping enviará um pacote ICMP com um código 8 em seu campo de tipo e esperará pacientemente pela resposta do tipo 0. Após a chegada da resposta, o ping determinará o tempo entre a solicitação (8) e sua resposta (0) e retornará o valor da viagem de ida e volta expresso em milissegundos.
Já estabelecemos que os pacotes ICMP geralmente são gerados e enviados como resultado de um erro. No entanto, o pacote de solicitação (tipo 8) não precisa de um erro para ser enviado, portanto, o ping também pode receber a resposta (0) de volta sem acionar um erro.
Como você provavelmente percebeu em nossos exemplos acima, você pode executar ping em um endereço IP ou host. Além disso, o ping tem uma infinidade de opções adicionais que você pode usar para solucionar problemas mais avançados, simplesmente anexando a opção ao comando.
Por exemplo, usar a opção -4 forçará o ping a usar exclusivamente IPv4 , enquanto -6 usará apenas endereços IPv6 . Confira a captura de tela abaixo para uma lista completa de opções que você pode anexar ao seu comando ping .
Um equívoco comum sobre o ping é que você pode usá-lo para testar a disponibilidade de certas portas nos sistemas de destino. Resumindo, você não pode fazer isso, pois o ICMP não faz nenhuma troca de mensagens real entre hosts, ao contrário do TCP ou UDP, e não requer o uso de portas.
Os aplicativos de varredura de portas usam pacotes TCP ou UDP para determinar se portas específicas estão ou não abertas e acessíveis. As ferramentas enviam pacotes TCP ou UDP para uma porta específica e geram uma mensagem ICMP tipo 3 (host inacessível) subtipo 3 (porta de destino inacessível) se essa porta não estiver ativa.
Traceroute
Muito parecido com o ping, o traceroute é outra ferramenta de solução de problemas de rede que todo administrador de rede não deve apenas ter em seu conjunto de ferramentas, mas também dominar. O que o traceroute faz é ajudá-lo a mapear uma rota de todos os dispositivos pelos quais sua conexão se depara até chegar ao destino especificado.
Portanto, se você estiver interessado em encontrar a rota completa entre você e outra máquina, o traceroute pode fornecer exatamente essa informação. Essa ferramenta também pode ser usada para determinar se há ou não algo errado ao longo do caminho que sua conexão segue.
Se, por exemplo, houver um dispositivo no caminho de conexão que tem dificuldade em encaminhar seus pacotes para o destino pretendido, o traceroute irá informá-lo qual roteador oferece uma resposta atrasada (ou nenhuma).
A maneira como o traceroute funciona é enviando um pacote com um valor TTL ( Time To Live ) de 0, que será descartado automaticamente pelo primeiro roteador que encontrar, conforme explicamos acima na seção TTL. Depois de descartar o pacote, o roteador gera um pacote ICMP e o envia de volta ao traceroute.
O programa extrai o endereço de origem do pacote, bem como o tempo que levou para o pacote retornar, e então envia outro pacote com um valor TTL de 1 . Depois que o segundo pacote passa pelo gateway, seu TTL diminui em 1 (tornando-se 0 ) e segue para o segundo roteador, que, ao detectar o valor TTL zero, descarta o pacote e envia um pacote ICMP de volta ao traceroute.
Cada vez que o traceroute recebe um pacote ICMP, ele aumenta o TTL em um e o envia de volta ao seu caminho, e esta operação continua e continua até que o destino especificado seja alcançado, ou o traceroute fica sem saltos. Por padrão, o Windows aloca uma quantidade máxima de 30 saltos, mas você pode aumentar isso especificando-o na sintaxe do comando.
Aqui está um exemplo de como você pode executar o traceroute no CMD:
tracert TipsWebTech360.com
Muito parecido com o ping, o traceroute tem uma série de opções que você pode acrescentar à sintaxe se quiser ser mais específico. Você pode forçar o IPv4 ou IPv6, mas também pode ignorar os endereços de resolução para nomes de host e aumentar o número máximo de saltos para pesquisar o destino. Confira nossa captura de tela abaixo para um exemplo de uso do traceroute e uma lista de todas as opções que você pode usar com ele.
Vale a pena mencionar, no entanto, que o traceroute só pode fornecer informações em tempo real. Portanto, se você encontrou uma lentidão em sua conexão e deseja usar esta ferramenta para investigá-la, você pode receber resultados enganosos, pois a rota pode ter mudado nesse meio tempo.
Embora seja possível forçar o traceroute a seguir um determinado caminho usando a opção -j e adicionando endereços de roteador manualmente, isso implica que você já está ciente do caminho com defeito. Isso é um tanto paradoxal, já que descobrir o caminho em primeiro lugar requer que você use traceroute sem a opção -j .
Se você não é exatamente um fã de usar ferramentas CLI (Command Line Interface) e prefere uma abordagem GUI (Graphical User Interface), existem muitas soluções de software de terceiros para traceroute. O Traceroute NG da SolarWinds é um dos melhores exemplos em que poderíamos pensar. Mencionamos que é totalmente gratuito ?
Pathping
Como mencionamos brevemente acima, o pathping completa a trifeta das ferramentas indispensáveis para solução de problemas de rede. Do ponto de vista da funcionalidade, patphing é uma combinação de ping e traceroute, uma vez que faz uso de todos os três tipos de mensagem que a dupla mencionada explora: solicitação de eco (8), resposta de eco (0), bem como tempo excedido (11).
Na maioria das vezes, o pathping é usado para identificar nós de conexão que são afetados por alta latência e perda de pacotes. Claro que você poderia usar o traceroute e, em seguida, ping para obter esses detalhes, mas ter a funcionalidade de ambas as ferramentas sob um único comando é muito mais conveniente para administradores de rede.
Uma das desvantagens de usar o pathping é que pode demorar um pouco para terminar sua investigação (25 segundos por salto para gerar estatísticas de ping). O Pathping mostrará a rota até o destino especificado e os tempos de ida e volta até ele.
Ao contrário do ping e do traceroute, o pathping fará ping repetidamente em cada roteador em seu caminho, o que aumenta sua eficácia geral. No entanto, se encontrar um roteador que desativou suas funções ICMP, o pathping interromperá sua solicitação de informações, enquanto o ping ainda pode alcançar um roteador sem recursos ICMP, e o traceroute irá para o próximo roteador em seu caminho e exibirá uma sequência de asteriscos para qualquer roteador não ICMP.
Pathping é uma ferramenta interna do Windows e tem sido assim desde o Windows NT, então você pode usá-lo como faria com ping ou tracert: por meio de uma linha de comando.
Aqui está um exemplo de como você pode usar o pathping:
pathping TipsWebTech360.com -h 40 -w 2 -4
O comando acima irá mostrar a você a rota para nosso site, bem como os tempos de ida e volta para cada roteador no caminho de conexão. Além disso, as opções que usamos em nosso exemplo irão aumentar o valor de saltos máximos padrão de 30 para 40, adicionar um valor de tempo limite de 2 milissegundos para cada resposta e forçar o IPv4.
Confira nossa captura de tela abaixo para um guia rápido de uso de pathping e uma lista de opções que você pode adicionar à sintaxe de comando.
Aplicabilidade do ICMP em ataques cibernéticos
Embora o alcance do ICMP facilite muitas operações de solução de problemas de conectividade, este protocolo também pode ser explorado para realizar vários ataques cibernéticos. Se você já está há tempo suficiente na Internet, provavelmente já ouviu falar sobre inundação de ping, DDoS, Ping of Death, Smurf Attacks ou túneis ICMP.
Enquanto alguns desses ataques hoje em dia servem como PoC (Prova de Conceito), outros ainda são usados por agentes maliciosos para danificar sistemas habilitados para Internet ou por especialistas em segurança para testar vulnerabilidades.
Começaremos com o mais popular, que é o ping flood (ainda muito usado, aliás), e explicaremos como ele usa o ICMP para o mal.
Ping flood
Usar ping para enviar solicitações de eco e aguardar respostas de eco parece bastante inofensivo. Mas e se, em vez de esperar pela resposta, o ping apenas enviasse uma grande quantidade de solicitações de eco ICMP? Neste cenário clássico de ataque DoS (Denial of Service) , o dispositivo alvo experimentaria um grande atraso e até mesmo quedas de conexão se o ataque fosse bem-sucedido.
Este ataque é mais eficaz se o invasor tiver mais largura de banda do que a vítima e se a vítima enviar respostas de eco ICMP para a multidão de solicitações que recebe, consumindo, assim, largura de banda de entrada e saída.
O invasor pode especificar uma opção de “inundação” para o comando ping, mas essa opção é muito rara e não está embutida nas ferramentas embutidas dos sistemas operacionais. Por exemplo, o ping do Windows não tem uma opção de “inundação” , mas existem algumas ferramentas de terceiros que integram esse recurso.
Um ataque de inundação de ping pode realmente se tornar catastrófico se se transformar em um ataque DDoS (negação de serviço distribuída) . Um ataque DDoS usa vários sistemas para direcionar um único, sobrecarregando-o com pacotes de vários locais ao mesmo tempo.
Uma maneira infalível de se proteger contra uma inundação de ping é desabilitar as funções ICMP em seu roteador. Você também pode instalar um firewall de aplicativo da web se precisar proteger um servidor da web contra esses ataques.
Ping da morte
Este ataque envolve o envio de um ping malformado para um computador de destino. Nesse tipo de ataque, o pacote enviado conterá uma quantidade de preenchimento na carga útil que é muito grande para ser processada de uma só vez.
No entanto, antes de ser enviado, esse ping malicioso será fragmentado em partes menores, pois transmiti-lo em sua forma original montada seria impossível para o processador do protocolo da Internet .
O computador visado pelo Ping of Death receberá os pedaços e tentará remontá-los antes de enviar o pacote malicioso ao aplicativo de destino. É aqui que o dano acontece: se o pacote montado for mais longo do que a memória disponível no computador de destino, remontá-lo pode resultar em um estouro de buffer , travamentos do sistema e pode até permitir que um código malicioso seja injetado na máquina afetada.
Pelo lado positivo, Ping of Death não é mais uma novidade, pois muitos sistemas de segurança o reconhecem sem soluços e o bloqueiam com sucesso.
Ataque de Smurf
Ao contrário dos dois tipos de ataque anteriores, um ataque Smurf não ataca um dispositivo diretamente, mas usa outros dispositivos na mesma rede para coordenar um ataque DoS distribuído (um DDoS ) em uma única máquina.
O invasor precisa do endereço IP de seu alvo e do endereço de difusão de IP da rede alvo. O invasor adiciona o endereço IP da vítima aos pacotes ICMP (falsifica-os) e os transmite para a rede do alvo usando um endereço de broadcast IP .
Em resposta, a maioria dos dispositivos conectados à mesma rede enviará uma resposta ao endereço IP de origem (substituído para refletir a máquina de destino), que pode ser sobrecarregado com tráfego se a rede for grande o suficiente (tem um grande número de dispositivos conectados).
Como resultado, o computador do alvo pode ficar lento e até mesmo inutilizado por um determinado período de tempo, se o ataque for suficientemente grave.
Como antes, você pode evitar um ataque Smurf simplesmente desligando os recursos ICMP do seu roteador de gateway. Outra forma de obter proteção é colocando as solicitações na lista negra provenientes do endereço IP de transmissão da sua rede.
Ataque de pontada
Um ataque Twinge é liderado por um programa que envia uma enxurrada de pacotes ICMP falsificados para danificar um sistema. Os pacotes ICMP são falsos, pois estão todos usando endereços IP falsos aleatórios, mas, na realidade, os pacotes vêm de uma única fonte (a máquina do invasor).
Alegadamente, os pacotes ICMP contêm uma assinatura que pode revelar o fato de que o ataque não veio de várias fontes, mas foi coordenado com a ajuda de Twinge.
Embora esse ataque possa ser desastroso se planejado da maneira certa, desligar o ICMP no roteador do gateway e instalar um firewall ou um sistema de detecção de intrusão pode ajudá-lo a se proteger contra ele.
Túnel ICMP
Por padrão, os roteadores procuram apenas os cabeçalhos dos pacotes ICMP, tornando possível que os pacotes que realmente contêm muitos dados adicionais possam facilmente contornar a detecção, desde que contenham uma seção ICMP. Esse tipo de ataque é chamado de ping ou túnel ICMP. Felizmente, os utilitários de ping padrão não são capazes de fazer túneis por meio de firewalls e gateways, pois os túneis ICMP precisam ser cuidadosamente adaptados às redes a que se destinam.
Por outro lado, existem inúmeros recursos online que os invasores podem usar e emular esse túnel, garantindo a si próprios passagem livre por redes privadas e máquinas conectadas a ele. Como antes, desligar os recursos ICMP em seu roteador de gateway, usar firewalls e aplicar regras estritas de lista negra pode ser fundamental para evitar esse tipo de ataque.
ICMP - Conclusão
Levando tudo em consideração, embora o ICMP não seja usado para trocar informações entre dispositivos conectados em uma determinada rede como o TCP e o UDP fazem, ele ainda tem uma grande faixa de aplicabilidade. Na verdade, o ICMP é um dos protocolos fundamentais mais flexíveis que ajudam a manter a Internet da maneira que a conhecemos.
Além de seu propósito básico de permitir que um sistema saiba quando há um bloqueio em sua conexão com outro sistema, o ICMP é a espinha dorsal de várias ferramentas de solução de problemas, como ping, pathping e traceroute. Infelizmente, também ajuda os agentes mal-intencionados a entregar uma ampla variedade de ataques DoS e de infiltração a máquinas vulneráveis.
O mercado de software de gerenciamento de rede está muito lotado. Atalho sua pesquisa seguindo nossas recomendações das melhores ferramentas de gerenciamento de rede.
As varreduras de ping podem ser usadas em seu benefício de várias maneiras. Continue lendo enquanto discutimos como e apresentamos as 10 melhores ferramentas de varredura de ping que você pode encontrar.
Os sites são importantes e devem ser constantemente monitorados de perto para um desempenho adequado. Aqui estão algumas das melhores ferramentas para monitorar sites.
Aqui está uma olhada em algumas das melhores ferramentas de implantação de software para aliviar a dor de gerenciar qualquer número de máquinas
Se você está no setor de saúde ou de alguma forma envolvido com TI nesse setor, é provável que já tenha ouvido falar do HIPAA. A portabilidade do seguro saúde
Para ajudá-lo a escolher a certa, apresentamos as melhores ferramentas de monitoramento de infraestrutura sem agente e fornecemos uma revisão rápida de cada uma delas.
A segurança de e-mail é uma tarefa importante dos provedores de serviços gerenciados. Estamos analisando o SolarWinds Mail Assure, uma das melhores ferramentas para esse fim.
Se você é um usuário avançado do Windows, provavelmente conhece e entende como executar várias operações em seu PC pode ter mais do que apenas uma abordagem e
A latência parece ser o inimigo número um das redes. Essas ferramentas de medição de latência ensinam como testar a latência para detectar, localizar e corrigir problemas.
O monitor de rede do Windows requer ferramentas com requisitos limitados. Hoje, estamos dando uma olhada nas melhores ferramentas de monitoramento de rede para Windows 10.
