Skip to content Skip to navigation Skip to footer

ICMP o Internet Control Message Protocol: significato

Contattaci

Cos’è l’ICMP?

L’ICMP è un protocollo utilizzato dai dispositivi di una rete per comunicare la presenza di problemi riguardanti la trasmissione dei dati. Secondo questa definizione, l’ICMP viene utilizzato per determinare se i dati arrivano alla destinazione e al momento giusto. l’ICMP svolge un compito importante nel processo di segnalazione degli errori e dei test condotti per verificare la corretta trasmissione dei dati in una rete in sicurezza. Sfortunatamente, può anche essere utilizzato per gli attacchi di tipo DDoS.

Il modus operandi del’ICMP nella comunicazione di rete è simile a quello che ha luogo tra un carpentiere che costruisce una casa e un negozio di materiali edilizi. Il negozio invia montanti, pianali, materiali di rivestimento per il tetto, materiale isolante e quant’altro, supponendo che ogni componente arrivi a destinazione nel giusto ordine. 

Per poter erigere e completare una parete in legno, il carpentiere fa richiesta di travi, chiodi e una porta. Per prima cosa deve ricevere i chiodi, poi le travi e infine la porta. Il negozio di materiali edilizi invia il materiale in quell’ordine, ma la porta arriva per prima. Naturalmente non è possibile montare una porta se prima non è stata costruita la parete! Il carpentiere chiede quindi al negozio di rispedire i chiodi e le travi, cosa che il negozio fa, pregando il conducente che si occupa della consegna di seguire un percorso diverso.

L’ICMP funziona come la comunicazione tra il carpentiere e il negozio. Trasmette i messaggi indicanti i dati che devono arrivare dal destinatario al mittente. Se i dati non raggiungono il destinatario o vengono ricevuti nell’ordine sbagliato, l’ICMP informa il mittente in modo che i dati possano essere inviati nuovamente. L’ICMP è semplicemente un protocollo per la comunicazione di informazioni sui dati, ma non gestisce i dati stessi. 

Inoltre, non ha un proprio livello all’interno del modello OSI, che delinea i sette livelli coinvolti nelle trasmissioni dati di rete. La comprensione del funzionamento dell’ICMP può aiutare a capire perché è uno strumento così prezioso, ma è anche importante capire come l’ICMP può essere utilizzato negli attacchi DDoS per minacciare un’organizzazione.

A cosa serve l’ICMP?

L’ICMP è usato principalmente per segnalare gli errori. Ogni volta che due dispositivi sono connessi tramite Internet, l’ICMP può essere utilizzato per creare errori che passano dal dispositivo di ricezione a quello di invio se alcuni dati non arrivano secondo l’ordine previsto. Ad esempio, i pacchetti di dati estremamente grandi potrebbero essere troppo grandi per essere gestiti da un router. In tal caso, il router scarterà il pacchetto di dati e trasmetterà un messaggio ICMP al mittente informandolo del problema.

Un altro uso comune dell’ICMP è come strumento diagnostico per valutare le prestazioni di una rete. Sia il tracciamento della route sia il ping utilizzano l’ICMP. Tracciamento della route e ping sono messaggi inviati per sapere se i dati sono stati trasmessi correttamente. Quando si utilizza il tracciamento della route, nel report vengono visualizzati i dispositivi per i quali è passato un pacchetto di dati per giungere a destinazione. Tra questi dispositivi sono inclusi anche i router fisici che hanno gestito i dati. 

Il tracciamento della route indica inoltre il tempo impiegato dai dati per passare da un dispositivo all’altro. Ogni volta che i dati passano da un router all’altro, il passaggio viene chiamato “hop”. Le informazioni rivelate dal tracciamento della route possono essere utilizzate per determinare quali sono i dispositivi che causano ritardi lungo il percorso.

Ma quale è il significato di ping? Un ping è simile a un tracciamento della route ma funziona in modo più semplice. Indica quanto tempo impiegano i dati per passare tra due punti. L’ICMP facilita il ping in quanto la richiesta di eco ICMP e la risposta eco vengono utilizzate durante il processo di ping.

L’ICMP può anche servire per compromettere le prestazioni della rete. A tal fine si utilizza un flooding ICMP, un attacco smurf e un attacco PoD che sovraccaricano un dispositivo in rete e ne impediscono la normale funzionalità.

Come funziona l’ICMP?

L’ICMP differisce dall’IPv6 in quanto non è associato a un TCP o a un UDP. Di conseguenza, non è necessario che un dispositivo si connetta a un altro prima di inviare un messaggio ICMP. 

Ad esempio, nel caso del TCP, i due dispositivi che comunicano per primi si impegnano in un handshake che richiede vari passaggi. Dopo il completamento dell’handshake, i dati possono essere trasferiti dal mittente al destinatario. Queste informazioni possono essere osservate utilizzando uno strumento come tcpdump. 

L’ICMP è diverso. Non si forma alcuna connessione. Il messaggio viene semplicemente inviato. Inoltre, a differenza del TCP e dell’UDP, che specificano le porte a cui vengono inviate le informazioni, non c’è nulla nel messaggio ICMP che lo indirizzi a una determinata porta del dispositivo che lo riceverà.

Come viene utilizzato l’ICMP negli attacchi DDoS?

In un attacco DDoS, l’ICMP viene utilizzato in diversi modi: attraverso un attacco di flooding ICMP, un attacco PoD o un attacco smurf.

In un attacco di flooding ICMP, l’aggressore cerca di inviare così tanti ping che il dispositivo bersagliato non è in grado di gestire tutti i pacchetti di richiesta eco ICMP. Poiché ogni pacchetto richiede un’elaborazione e una risposta, tutte le risorse del dispositivo sono assorbite in queste operazioni e il dispositivo non potrà servire gli utenti legittimi.

Un attacco PoD prevede che un aggressore invii un ping estremamente grande a un dispositivo che non è in grado di gestire ping di quella dimensione. La macchina potrebbe arrestarsi in modo anomalo o bloccarsi. Il pacchetto di dati viene frammentato mentre si dirige verso l’obiettivo, ma durante il processo di riassemblaggio viene rimesso insieme. Quando raggiunge l’obiettivo, sovraccarica il buffer e causa il malfunzionamento del dispositivo. Gli attacchi PoD sono più pericolosi per le macchine meno recenti.

In un attacco smurf, l’aggressore trasmette un pacchetto ICMP che ha un indirizzo IP contraffatto o falso. Quando l’apparecchio in rete risponde, ogni risposta viene inviata all’indirizzo IP sottoposto a spoofing e la destinazione viene inondata di una quantità infinita di pacchetti ICMP. Solitamente questo tipo di attacco è un problema solo per le apparecchiature più vecchie.

Come può aiutarti Fortinet

La protezione FortiDDoS di Fortinet protegge la tua rete dall’uso improprio di ICMP negli attacchi DDoS. FortiDDoS esamina il comportamento dei dispositivi e l’attività insolita dei messaggi ICMP viene segnalata in modo che l’attacco possa essere arrestato. FortiDDoS è dotato di dashboard, profili di protezione, impostazioni globali e un’interfaccia utente grafica semplice e chiara che lo rende facile da usare. 

FortiDDoS riduce al minimo la quantità di falsi positivi rilevati, facendo risparmiare tempo e lavoro al team IT. Può anche esaminare centinaia di migliaia di aspetti diversi dei dati contemporaneamente, il che lo rende uno strumento più completo contro gli attacchi DDoS. Inoltre, con FortiDDoS è possibile generare report e grafici dettagliati che descrivono l’attività di rete.

Domande frequenti

A cosa serve l’ICMP?

L’ICMP viene utilizzato per segnalare errori ed eseguire la diagnostica di rete. Nel processo di segnalazione degli errori, l’ICMP invia messaggi dal destinatario al mittente quando i dati non vengono ricevuti come dovrebbero. Nell’ambito del processo diagnostico, l’ICMP serve per inviare messaggi che vengono utilizzati dal ping e dal tracciamento della route per fornire informazioni sulla modalità di trasmissione dei dati.

ICMP e ping sono la stessa cosa?

ICMP e ping sono due cose diverse anche se correlate. L’ICMP è un protocollo che controlla il modo in cui i messaggi vengono inviati tra i dispositivi. Le richieste e le risposte dell’eco inviate dal protocollo ICMP vengono comunemente definite ping. Anche se un ping viene prodotto utilizzando l’ICMP, non è l’ICMP.

Come funziona l’ICMP?

Il processo di ping ICMP è un modo per verificare se due dispositivi in rete possono connettersi tra loro. Può anche essere utilizzato per controllare la perdita di pacchetti e il ritardo all’interno di una rete. Il comando ping trasmette una richiesta di eco ICMP a un dispositivo di rete. Il dispositivo risponde immediatamente con un’eco ICMP. Questi dati possono quindi essere analizzati dal software, che verificherà l’eventuale presenza di ritardi e se i dati vengono trasmessi come dovrebbero.