ICMP (Internet Control Message Protocol)
ICMP (Internet Control Message Protocol) is een foutrapportageprotocol dat netwerkapparaten zoals routers gebruiken om foutmeldingen naar het bron-IP-adres te genereren wanneer netwerkproblemen de levering van IP-pakketten verhinderen. ICMP maakt en verzendt berichten naar het bron-IP-adres dat aangeeft dat een gateway naar het internet, zoals een router, service of host, niet kan worden bereikt voor pakketbezorging. Elk IP-netwerkapparaat heeft de mogelijkheid om ICMP-berichten te verzenden, ontvangen of verwerken.
ICMP is geen transportprotocol dat gegevens tussen systemen verzendt.
hoewel ICMP niet regelmatig wordt gebruikt in eindgebruikerstoepassingen, wordt het gebruikt door netwerkbeheerders om problemen met internetverbindingen op te lossen in diagnostische hulpprogramma ‘ s zoals ping en traceroute.
wanneer wordt ICMP voorgeschreven?
ICMP is een netwerklaagprotocol dat wordt gebruikt door routers, intermediaire apparaten en hosts om foutinformatie of updates te communiceren met andere routers, intermediaire apparaten en hosts.
ICMP-berichten worden in verschillende scenario ‘ s verzonden. Als een apparaat bijvoorbeeld een bericht verzendt dat te groot is voor de ontvanger om te verwerken, zal de ontvanger dat bericht laten vallen en een ICMP-bericht terugsturen naar de bron. Een ander voorbeeld is wanneer de netwerkgateway een kortere route vindt voor het bericht om mee te reizen. Wanneer dit gebeurt, wordt een ICMP-bericht verzonden en wordt het pakket omgeleid naar de kortere route.
ICMP wordt ook gebruikt voor netwerkdiagnostiek, in het bijzonder de ping-en traceroute-terminalhulpprogramma ‘ s.
- Traceroute. Het hulpprogramma traceroute wordt gebruikt om het fysieke routeringspad weer te geven tussen twee internetapparaten die met elkaar communiceren. Het brengt de reis van de ene router naar de andere in kaart — soms een hop genoemd. Door traceroute te gebruiken om netwerkproblemen te diagnosticeren, kunnen beheerders de bron van een netwerkvertraging vinden.
- Ping. De ping utility is een eenvoudiger traceroute. Het stuurt pings uit – ook wel echo-verzoekberichten genoemd-en meet dan de hoeveelheid tijd die het bericht nodig heeft om zijn bestemming te bereiken en terug te keren naar de bron. Deze antwoorden worden echo-antwoordberichten genoemd. Pings zijn handig voor het verzamelen van latency informatie over een specifiek apparaat. In tegenstelling tot traceroute biedt ping echter geen afbeeldingskaarten van de routeringslay-out. Het Ping programma wordt ook vaak gebruikt voor bepaalde denial of service (DoS) aanvallen.
de veelgebruikte Internet Protocol versie 4, of IPv4 adresklasse, en de nieuwere IPv6 gebruiken vergelijkbare versies van het ICMP protocol — ICMPv4 en ICMPv6, respectievelijk.
Hoe werkt ICMP?
ICMP is een van de belangrijkste protocollen van de IP suite. ICMP is echter niet geassocieerd met een transport layer protocol, zoals Transmission Control Protocol (TCP) of User Datagram Protocol (UDP). Het is een verbindingsloos protocol, wat betekent dat een apparaat geen verbinding met het doelapparaat hoeft te openen voordat een bericht wordt verzonden. Dit contrasteert met TCP, bijvoorbeeld, waar een verbinding moet worden gemaakt voordat een bericht kan worden verzonden, waarbij wordt vastgesteld dat beide apparaten klaar zijn via een TCP handshake.
ICMP-berichten worden verzonden als datagrammen en bestaan uit een IP-header die de ICMP-gegevens inkapselt. Een datagram, net als een pakket, is een op zichzelf staande onafhankelijke entiteit van gegevens. Zie het als een pakket met een stuk van een grotere boodschap over het netwerk. ICMP pakketten zijn IP pakketten met ICMP in het IP data gedeelte. ICMP berichten bevatten ook de volledige IP header van het oorspronkelijke bericht, zodat het einde systeem weet welk pakket is mislukt.
de ICMP-header verschijnt na de IPv4-of IPv6-pakketheader en wordt geïdentificeerd als IP-protocolnummer 1. Het protocol bevat drie parameters, die hieronder worden uitgelegd. Na de drie parameters zijn de ICMP-gegevens en de oorspronkelijke IP-header die aangeeft welk pakket is mislukt.
ICMP parameters
ICMP parameters bestaan in de pakketheader, en ze helpen bij het identificeren van de fouten in het IP-pakket waarop ze betrekking hebben. De parameters zijn als een verzendetiket op een pakket. Ze bieden identificerende informatie over het pakket en de gegevens die het bevat. Op die manier weten de protocollen en netwerk tools die het ICMP bericht ontvangen hoe ze het pakket moeten verwerken.
de eerste 32 bits van de pakketheader van elk ICMP-bericht bevatten drie informatievelden of parameters. Deze drie parameters zijn de volgende::
- Type. De eerste 8 bits zijn de berichttypen. Enkele veel voorkomende berichttypen zijn de volgende:
- Type 0 — Echo-antwoord
- Type 3 — Destination unreachable
- Type 8 — Echo
- Type 5 — Redirect
het type geeft een korte uitleg van waar het bericht voor is, zodat het ontvangende netwerkapparaat weet waarom het het bericht krijgt en hoe het te behandelen. Een type 8 Echo is bijvoorbeeld een query die een host verzendt om te zien of een mogelijk doelsysteem beschikbaar is. Na ontvangst van een Echo-bericht kan het ontvangende apparaat een Echo-antwoord terugsturen (Type 0), waarmee wordt aangegeven dat het beschikbaar is.
Internet Assigned Numbers Authority (IANA) biedt een lijst van alle berichttypen die ICMP-pakketten gebruiken.
- Code. De volgende 8 bits staan voor de code van het berichttype, die extra informatie geeft over het fouttype.
- Controlesom. De laatste 16 bits bieden een bericht integriteitscontrole. De checksum toont het aantal bits in het hele bericht en stelt het ICMP gereedschap in staat om te controleren op consistentie met de ICMP bericht header om er zeker van te zijn dat het volledige bereik van de gegevens werd geleverd.
het volgende deel van de ICMP-kop is de aanwijzer. Het bestaat uit 32 bits gegevens die wijzen op het probleem in het oorspronkelijke IP-bericht. Specifiek identificeert de pointer de byte-locatie in het oorspronkelijke IP-bericht dat de generatie van het probleembericht veroorzaakte. Het ontvangende apparaat kijkt naar dit deel van de header om het probleem aan te wijzen.
het laatste gedeelte van het ICMP-pakket is het oorspronkelijke datagram. Het bestaat uit maximaal 576 bytes in IPv4 en 1.280 bytes In IPv6 en bevat een kopie van het oorspronkelijke foutbevattende IP-bericht.
ICMP bij DDoS-aanvallen
bij DDoS-aanvallen (distributed DoS) overweldigen aanvallers het doel met ongewenst verkeer, zodat het doel zijn gebruikers geen service kan bieden. Er zijn meerdere manieren waarop een aanvaller ICMP kan gebruiken om deze aanvallen uit te voeren, waaronder de volgende:
- Ping van overlijden. De aanvaller stuurt een IP-pakket dat groter is dan het aantal bytes dat door IP is toegestaan. Op weg naar de beoogde bestemming is het oversized pakket gefragmenteerd. Echter, wanneer het ontvanger apparaat weer in elkaar zet, de grootte overschrijdt de limiet, waardoor een buffer overflow en de ontvangende machine te bevriezen of crashen. Nieuwere apparaten hebben verdediging tegen dit oudere type aanval, maar legacy netwerk apparaten zijn nog steeds kwetsbaar voor het.
- ICMP flood attack. Ook wel een ping overstroming aanval, het doel van deze aanval is om het doel apparaat te overweldigen met echo verzoek pakketten. Elk echo-aanvraagpakket moet door het doel worden verwerkt en worden beantwoord met echo-antwoordberichten. Dit zuigt alle middelen van de doelcomputer, en het veroorzaakt een denial of service aan alle andere gebruikers van de doelcomputer.
- smurfaanval. In een Smurf aanval, stuurt de aanvaller een ICMP pakket met een vervalste bron IP-adres, en de netwerklaag apparatuur reageert op het pakket, het verzenden van het vervalste adres een overstroming van pakketten. Net als de ping of death, Smurf aanvallen hebben meer kans om te werken op onverdedigde legacy apparatuur.
op ICMP gebaseerde DDoS-aanvallen zijn een steeds vaker voorkomende cyberaanval geworden. Ontdek meer over DDoS-aanvallen in het algemeen en hoe ze de afgelopen jaren tactisch diverser zijn geworden.
Leave a Reply