ICMP: Internet-Protokoll zum sicheren Austausch in Netzwerken
Was ist das Internet Control Message Protocol (ICMP)?
Das ICMP (Internet Control Message Protocol) ist ein Protokoll, das Geräte innerhalb eines Netzwerks verwenden, um Probleme bei der Datenübertragung zu kommunizieren. In dieser ICMP-Definition wird ICMP vornehmlich eingesetzt, um festzustellen, ob Daten ihr Ziel zum richtigen Zeitpunkt erreichen. Dies macht ICMP zu einem wichtigen Aspekt des Fehlerberichterstattungsprozesses und des Testens, wie gut ein Netzwerk Daten überträgt. Es kann jedoch auch verwendet werden, um DDoS-Angriffe (Distributed Denial of Service) auszuführen.
Die Funktionsweise von ICMP in der Netzwerkkommunikation ähnelt der Kommunikation zwischen einem Zimmermann, der ein Haus baut, und einem Baumarkt. Der Baumarkt sendet Stützbalken, Bodenplatten, Dachmaterialien, Isolierung und vieles mehr, wobei er davon ausgeht, dass jede Komponente in der richtigen Reihenfolge eintrifft.
Wenn der Zimmermann beispielsweise mit dem Bau einer Wand beginnt, fordert er 28 Kanthölzer 5 auf 10 cm, 5 Kilo Nägel und eine Tür an. Er braucht zuerst die Nägel, dann die Kanthölzer und zuletzt die Tür. Der Baumarkt verschickt die Artikel in dieser Reihenfolge, aber die Tür trifft zuerst ein. Dies wird nicht funktionieren, weil sich eine Tür nicht aufhängen lässt, bevor eine Wand errichtet wurde. Also bittet der Zimmermann den Baumarkt, die Nägel und die Kanthölzer erneut zu senden, und der Baumarkt schickt sie erneut und fordert den Fahrer auf, eine andere Route zu nehmen.
ICMP funktioniert wie die Kommunikation zwischen dem Zimmermann und dem Laden. Es leitet Nachrichten vom Empfänger an den Absender über die Daten weiter, die angeblich ankommen sollten. Wenn die Daten entweder den Empfänger nicht erreichen oder in der falschen Reihenfolge empfangen werden, informiert ICMP den Absender, damit die Daten erneut gesendet werden können. Auf diese Weise ist ICMP lediglich ein Protokoll zur Kommunikation von Informationen über Daten, aber es verwaltet die Daten nicht selbst.
Es hat auch keine eigene Ebene innerhalb des Open Systems Interconnection (OSI)-Modells, das die sieben Schichten beschreibt, die an Netzwerkübertragungen beteiligt sind. Das Verständnis von ICMP kann Ihnen helfen, zu verstehen, warum es ein so wertvolles Werkzeug ist, aber es ist auch wichtig zu verstehen, wie ICMP bei DDoS-Angriffen genutzt werden kann, die ein Unternehmen gefährden können.
Wofür wird ICMP verwendet?
ICMP wird in erster Linie für die Meldung von Fehlern verwendet. Jedes Mal, wenn zwei Geräte über das Internet verbunden sind, kann ICMP verwendet werden, um Fehler zu erzeugen, die vom empfangenden Gerät zum sendenden Gerät geleitet werden können, wenn einige der Daten nicht wie erwartet ankommen. Beispielsweise können extrem große Datenpakete zu groß sein, um von einem Router verwaltet zu werden. In diesem Fall verwirft der Router das Datenpaket und überträgt eine ICMP-Nachricht an den Absender, die ihn über das Problem informiert.
Eine weitere häufige Verwendung von ICMP ist als Diagnosewerkzeug zur Beurteilung der Leistung eines Netzwerks. Sowohl Traceroute als auch Ping verwenden ICMP. Traceroute und Ping sind Nachrichten, die darüber Auskunft geben, ob Daten erfolgreich übertragen wurden. Bei Verwendung von Traceroute werden die Geräte, die ein Datenpaket durchlaufen hat, um an sein Ziel zu gelangen, im Bericht angezeigt. Dazu gehören auch die physischen Router, die die Daten verarbeitet haben.
Der Traceroute sagt Ihnen auch, wie lange es gedauert hat, bis die Daten von einem Gerät zum anderen übertragen wurden. Jedes Mal, wenn Daten zwischen Routern übertragen werden, wird dies als ein Hop bezeichnet. Anhand der vom Traceroute gelieferten Daten lässt sich herausfinden, welche Geräte entlang der Route Verzögerungen verursachen.
Ein Ping ist ähnlich wie ein Traceroute, aber einfacher. Er gibt an, wie lange die Datenübertragung zwischen zwei Punkten dauert. ICMP ermöglicht den Ping dahingehend, dass ICMP-Echo-Request und -Echo-Reply während des Ping-Prozesses verwendet werden.
ICMP wird auch verwendet, um die Netzwerkleistung zu beeinträchtigen. Dies geschieht durch ICMP-Flutangriffe, Smurf- und Ping-of-Death-Angriffe, die ein Gerät im Netzwerk überlasten und die normale Funktionalität verhindern.
Wie funktioniert ICMP?
ICMP unterscheidet sich von Internet Protocol (IP) Version 6 oder IPv6 dadurch, dass es nicht mit Transmission Control Protocol (TCP) oder User Datagram Protocol (UDP) verbunden ist. Infolgedessen muss sich ein Gerät vor dem Senden einer ICMP-Nachricht nicht mit einem anderen Gerät verbinden.
Bei TCP beispielsweise führen die beiden Geräte, die kommunizieren, zuerst einen Handshake durch, der mehrere Schritte umfasst. Nachdem der Handshake abgeschlossen ist, können die Daten vom Sender zum Empfänger übertragen werden. Diese Informationen können mit einem Werkzeug wie tcpdump beobachtet werden.
ICMP ist anders. Es wird keine Verbindung hergestellt. Die Nachricht wird einfach gesendet. Im Gegensatz zu TCP und UDP, die die Ports vorgeben, an die Informationen gesendet werden, gibt es in der ICMP-Nachricht nichts, das sie an einen bestimmten Port des Geräts leitet, das sie empfängt.
Wie wird ICMP bei DDoS-Angriffen verwendet?
Bei einem DDoS-Angriff wird ICMP in der Regel auf verschiedene Weise eingesetzt: durch einen ICMP-Flood-Angriff, einen Ping-of-Death-Angriff oder einen Smurf-Angriff.
Bei einem ICMP-Flood-Angriff versucht der Angreifer, so viele Pings zu senden, dass das anvisierte Gerät nicht alle ICMP-Echo-Request-Pakete verarbeiten kann. Da jedes Paket eine Verarbeitung und eine Antwort erfordert, erschöpft dies die Ressourcen des Geräts und verhindert, dass legitime Benutzer von dem Gerät bedient werden können.
Bei eine Ping-of-Death-Angriff sendet ein Angreifer einen extrem großen Ping an ein Gerät, das Pings dieser Größe nicht verarbeiten kann. Das Gerät stürzt dann möglicherweise ab oder friert ein. Das Datenpaket wird auf seinem Weg in Richtung des Ziels fragmentiert, aber während des Reassemblierungsprozesses wieder zusammengesetzt. Wenn es das Ziel erreicht, kommt es zu einem Pufferüberlauf, der zu einer Fehlfunktion des Geräts führt. Ping-of-Death-Angriffe sind eher eine Gefahr für ältere Geräte im Netzwerk.
Bei einem Smurf-Angriff überträgt der Angreifer ein ICMP-Paket mit einer gefälschten oder verfälschten IP-Adresse. Wenn die Geräte im Netzwerk antworten, wird jede Antwort an die gefälschte IP-Adresse gesendet, und das Ziel wird mit einer Vielzahl von ICMP-Paketen überflutet. Diese Art von Angriff ist in der Regel nur für ältere Geräte ein Problem.
Wie Fortinet helfen kann
Der Schutz von Fortinet FortiDDoS kann Ihr Netzwerk vor dem Missbrauch von ICMP bei DDoS-Angriffen schützen. FortiDDoS untersucht das Verhalten von Geräten, und ungewöhnliche ICMP-Nachrichtenaktivitäten werden markiert, damit der Angriff gestoppt werden kann. FortiDDoS bietet ein Dashboard, Schutzprofile, globale Einstellungen und eine einfach zu bedienende grafische Benutzeroberfläche, um die Nutzung zu vereinfachen.
Um Ihrem IT-Team Zeit und Mühe zu ersparen, minimiert FortiDDoS die Anzahl der erkannten Fehlalarme. Es kann ferner Hunderttausende von verschiedenen Aspekten von Daten gleichzeitig untersuchen, was es zu einem umfassenderen Tool gegen DDoS-Angriffe macht. Außerdem können Sie mit FortiDDoS detaillierte Berichte und Grafiken erstellen, die die Netzwerkaktivität skizzieren.
Häufig gestellte Fragen (FAQ)
Wofür wird ICMP verwendet?
Das Internet Control Message Protocol (ICMP) wird zum Melden von Fehlern und zum Durchführen von Netzwerkdiagnosen verwendet. Im Fehlerberichtsprozess sendet ICMP Nachrichten vom Empfänger an den Sender, wenn Daten nicht so ankommen, wie sie sollten. Im Rahmen des Diagnoseprozesses wird ICMP verwendet, um Nachrichten zu senden, die von Ping und Traceroute verwendet werden, um Informationen darüber zu liefern, wie Daten übertragen werden.
Ist ICMP dasselbe wie Ping?
ICMP und Ping sind zwei verschiedene Dinge, obwohl sie miteinander verwandt sind. ICMP ist ein Protokoll, das steuert, wie Nachrichten zwischen Geräten gesendet werden. Die Echo-Anfragen und Antworten, die das ICMP-Protokoll sendet, werden allgemein als Pings bezeichnet. Während also ein Ping mit ICMP produziert wird, handelt es sich nicht um ICMP.
Wie funktioniert ICMP-Ping?
Der ICMP-Ping-Prozess ist eine Möglichkeit zu testen, ob zwei Geräte im Netzwerk miteinander verbunden werden können. Er kann auch verwendet werden, um Paketverlust und Verzögerung innerhalb eines Netzwerks zu überprüfen. Der Ping-Befehl überträgt eine Anfrage für ein ICMP-Echo an ein Netzwerkgerät. Dieses Gerät antwortet dann sofort mit einem ICMP-Echo. Diese Daten können dann per Software analysiert werden, um Verzögerungen zu ermitteln und festzustellen, ob die Daten ordnungsgemäß übertragen werden oder nicht.
