Rund um ICMP (IP, ping, .... ?)

[cLara]

hi leutz,

ich (FIAE) soll ein 20-minuetiges referat ueber icmp halten, meint mein netzwerk-lehrer.

also PROBLEM: es fehlt mir noch was passendes (also zusaetzlich was, was mit icmp zu tun hat) fuer ca. 10 minuten :confused:

wer hat themen-tipps (fuellstoff passend zu icmp) oder sogar ein passendes referat?

waere super!

cLara

[zYm0]

Morgen,

Hoffe du hast den Acrobat Reader :

Hier ein paar nützliche Links:

=====================

http://www.iam.unibe.ch/~rvs/lectures/cn/cn_6.pdf

http://w3.siemens.de/solutionprovider/_online_lexikon/5/f005395.htm

Komplette Ausarbeitung über ICMP:

==========================

http://dl.rdo.de/dl/icmp.pdf

Wenn du dein Referat jetzt immernoch füllen willst, dann füll es mit Beispielen und die Ausnutzung von ICMP zum "Abschiessen" von Rechnern im Internet.

Gruss

[nic_power]

Originally posted by zYm0

Wenn du dein Referat jetzt immernoch füllen willst, dann füll es mit Beispielen und die Ausnutzung von ICMP zum "Abschiessen" von Rechnern im Internet.

Sofern Du damit auf "Ping of Death" anspielst, so ist das bestenfalls noch für eine historische Fußnote zu gebrauchen, da aktuelle Protokollstacks nicht mehr verwundbar sind.

Nic

[zYm0]

Hi nochmal,

Originally posted by nic_power

Sofern Du damit auf "Ping of Death" anspielst, so ist das bestenfalls noch für eine historische Fußnote zu gebrauchen, da aktuelle Protokollstacks nicht mehr verwundbar sind.

Ich spiele da eher auf "DoS - Attacken" an in Verbindung mit ICMP Packet Flooding...

Bei DoS Art Smurf Angriffen, wird eine (grosse) Anzahl von ICMP echo

Paketen mit einer spoofed Source Adresse des Zielrechners an die

Broadcast Adresse des / eines Netzwerkes verschickt.

Broadcast Addressen haben die Eigenschaft, dass jeder Host

diese Pakete empfaengt und an die Source Adresse beantwortet.

Beispiel: Ein DoS Kiddie mit einer T1 Leitung, schickt ca. 700kb/s

ICMP echo Pakete mit einer spoofed Source Adresse des Zielrechners an

die Broadcast Adresse eines grossen Netzwerkes mit ca. 100 Hosts.

Was passiert?

Jeder einzelne Host von den 100 Hosts beantwortet die ICMP echo Pakete.

Das macht dann ein Paket von 70.0 Mbps, der an den Zielrechner

(Source Adresse) beantwortet wird.

Soviel erstmal dazu

Gruss

[nic_power]

Hallo,

Sicherlich gibts jede Menge Möglichkeiten, "Unsinn" mit ICMP-Paketen zu treiben. Aber jeder vernünftige Netzwerkadministrator wird diese Pakete auf dem Zugangsrouter filtern.

Nic

[zYm0]

Originally posted by nic_power

Hallo,

Sicherlich gibts jede Menge Möglichkeiten, "Unsinn" mit ICMP-Paketen zu treiben. Aber jeder vernünftige Netzwerkadministrator wird diese Pakete auf dem Zugangsrouter filtern.

Nic

Sicher, aber erwähnen kann man es ja trotzdem um ein Referat auszubauen. War ja nur eine Möglichkeit die ich genannt habe dies zu tun .

Grüsse

[Herr-der-Mails]

Schreib doch am besten über die diversen ICMP Services die dir das Protokoll ermöglichen.

Ping Request an ICMP Port 1

Ping Replay an ICMP Port 8

und so weiter.....

ich würd da gar nicht so sehr in den security Bereich abdriften und die Schwachstellen auflisten, sondern ehr in dem für Netzwerker interessanteren Bereich der Diagnose bleiben.

Lieben Gruß

Herr-der-Mails

[sYnTaxx]

Hier hatte mir mal ne TXT-Datei über ICMP-Typen zusammengestellt:

ICMP Typ 0 - Echo Reply Echo Antwort (auf eine Echo Anfrage Anforderung)

Ist eigentlich nur eine harmlose Ping-Afrage die dazu dient einen Rechner zu überprüfen ob er

kontaktbereit ist. Man kann zu jedem Computer mit IP-Adresse eine Echo-Nachricht senden und der

Empfänger muss den Inhalt dieser Nachricht dann in seiner Echo-Antwort-Nachricht zurückschicken.

Dadurch wird festgestellt ob ein bestimmter Rechner (genauer eine bestimmte IP-Adresse) erreichbar

ist oder nicht. Aufgrund dessen das viele sogenannte Scriptkiddies das Internet nach Rechnern

abscannen und auf Rechnern die mit Echo Reply antworten nach Trojanern suchen sollte dieses

Outbound geblockt werden. Echo Reply Inbound ist zum selber pingen erlaubt!

Nebenbei: Viele Administratoren benutzen Echo Reply bzw. Ping zur Fehlersuche in Netzwerken

also fragt euren Admin!

Typ 3 Destination Unreachable

ICMP Typ 3 - Destination Unreachable Ziel nicht erreichbar

Diese Nachricht wird von einem Gateway oder dem Zielrechner verschickt

falls das Gateway das angegebene Netz oder der Zielrechner ein Protokoll

der höheren Schicht oder einen Port nicht erreichen kann. Angriffspunkte

gibt es hier bei dem unten beschriebenen Denial-of-Service Angriff.

Bei privaten HomeRechner sollte man jedoch ruhig diesen Typ aufgrund

von Performance aktiviert lassen! Destination Unreachable In spart

Wartezeit sonst mußt du auf "timed-out" warten.

Typ 4 Source Quench

ICMP Typ 4 - Source Quench Überlastung durch den Sender Source quench

ist eine Systemmeldung wenn sich ein Stau im Router aufbaut und

Anfragen langsamer beantwortet werden. Diese Meldung hat niemanden zu

interessieren. Das Source Quench wird von dem Rechner erzeugt der

überlastet ist mit Anfragen. z.B. Mailserver benutzen dies hin und

wieder wenn sie große E-Mails empfangen müssen und (gerade) keine

Ressourcen frei haben um weitere E-Mails zu empfangen. Der Sender

(z.B. ein anderer E-Mail-Server weiß dann dass der Empfänger zwar

vorhanden ist und auch i.O. aber zu beschäftigt. Er wird später

noch mal versuchen ihm seine Mail zu überbringen. Ein Angreifer

kann nun durch den Einsatz von Unmengen von künstlichen "Source Quench"

Nachrichten die Gegenstation z.B. einen Webserver o.ä. so stark bremsen

dass dieser kaum noch Daten nach außen gibt.

Fazit: Source Quench sollte bei z.B. Servern in beide Richtungen

normalerweise erlaubt sein da es eine sehr vernünftige Meldung ist.

Allerdings sollte diesen Typ protokollieren und dafür sorgen dass man

bei einem möglichen übernatürlichen Anstieg eine Warnmeldung erhält

neben dem sollte dieser Typ nur direkt von den Routern akzeptiert werden.

Bei privaten Einzelrechnern wird dieser Typ wahrscheinlich sowieso nie

eintreffen!

Typ 5 Redirect

ICMP Typ 5 - Redirect Umleitung umadressieren (über andere Router)

Hierbei handelt es sich um eine Umleitungsanfrage zu einer URL. Diese

Nachricht erzeugt ein Gateway wenn es feststellt daß es einen besseren

Weg zum Zielrechner gibt. IP-Pakte welche die Source-Routing-Option

haben erzeugen keine Redirect-Meldungen auch wenn es einen besseren

Weg geben würde. Hier besteht die Gefahr eines unten beschriebenden

Redirect Angriffes. Bei Einzelrechnern wird dieser Typ warscheinlich nie

eintreffen und kann wiederum geblockt werden. Bei Unternehmen und

Netzwerken sollte diese von dem Host ignoriert werden falls es nicht

von einem direkt angeschlossenen Router stammt. Sicherheitshalber

sollte es ganz abgeschaltet werden. Man sollte vor allem dafür sorgen

daß es von den Routern innerhalb des Firewalls blockiert wird.

Typ 8 Echo (Request)

ICMP Typ 8 - Echo request Echo Anfrage Anforderung einer "Echo"-Antwort

Mit dieser ICMP-Nachricht kann eine Netzwerkverbindung getestet werden.

Man kann zu jeder IP-Adresse eine echo-Nachricht senden und der Empfänger

muss den Inhalt dieser Nachricht dann in seiner echo-reply-Nachricht

zurückschicken. Dadurch wird festgestellt ob ein bestimmter Rechner

(genauer eine bestimmte IP-Adresse) erreichbar ist oder nicht. Auf

Benutzerebene nutzt das Programm ping genau diesen ICMP-Dienst. Damit

ist es ein sehr nützliches Werkzeug um Netzwerkverbindungen zu testen.

Das ICMP-Typfeld hat bei diesen Nachrichten den Wert 8 für

echo-Anforderungen und 0 für echo-Antwort-Nachrichten. In

Firmennetzwerken wird dieser Typ von den Administratoren oft benutzt

sprich das blocken dort könnte Probleme geben. Auf privaten Home Rechner

würde ich dieses Incoming blocken da dieses im Internet von Hackern

benutzt wird um zu prüfen ob ein Opfer online ist.

Typ 11 Time Exeeded

ICMP Typ 11 - Time Exceeded Zeit abgelaufen

Dem Sender eines Datagramms wird durch eine "Timer abgelaufen"-Meldung

mitgeteilt warum das Datagramm nicht übertragen werden konnte z.B.

Systemnachricht bei Zeitüberschreitung eines UDP Pakets.

Ein Grund hierfür kann das Kreisen eines Paketes oder Stau (Congestion)

sein oder auf dem Zielrechner ist das IP-Protokoll nicht in der Lage

die Fragmente zu einem vollständigen Datenstrom zusammenzusetzen.

Diese Meldung sollte Inbound zugelassen werden.

Typ 12 Parameter Problem

ICMP Typ 12 - Parameter Problem Falsche Einstellungen

Wenn ein Rechner ein Problem mit dem IP-Header hat und er deshalb das

Datagramm nicht bearbeiten kann wird diese Nachricht gesendet z.B.

Ein UDP Paket konnte nicht verarbeitet werden. Beispiel: In einem Router

wird im IP-Header des Datagramms ein Fehler festgestellt. Dadurch

kann es nicht übertragen werden und wird vernichtet. Die Ursache für

diesen Fehler könnte ein falsch gesetztes Argument in den IP-Optionen

sein. Diese Meldung sollte zumindest Inbound erlaubt werden.

Typ 13 Timestamp (Request )

ICMP Typ 13 - Timestamp Request Umlaufzeit-Anfrage

Durch Versenden dieser Nachrichten können Hosts oder Gateways

Verspätungen im Datenverkehr erkennen. Timestamp Reply kann jedoch

erlaubt werden.Diese ICMP ermöglicht die Messung der Zeit die ein

Datagramm benötigt. Der Sender des Timestamp Requests erhält vom

Empfänger ein Reply in welchem Sendezeit und Empfangszeit sowie die

Sendezeit des Timestamp Replys enthalten sind.

Typ 14 Timestamp Reply

ICMP Typ 14 - Timestamp Reply Umlaufzeit-Antwort

Durch Versenden dieser Nachrichten können Hosts oder Gateways

Verspätungen im Datenverkehr erkennen. Das Typfeld hat dabei den

Wert 13 wenn eine Timestamp-Nachricht verschickt wird und im

Antwortpaket den Wert 14. Timestamp Requests werden von Home PC's

nicht verschickt. Timestamp Reply kann jedoch erlaubt werden.

Typ15 Info Request

ICMP Typ 15 - Informations-Anfrage

Dieser ICMP-Dienst erlaubt es einem Host die IP-Adresse des Netzes

zu bestimmen mit dem er verbunden ist. Das RARP (Address Resolution Protokoll)

hat mittlerweile diese Aufgabe übernommen.Der ICMP-Typ dieser Meldungen

ist 15 bei Anfrage-Nachrichten und 16 für Antworten. Beispiel: Ein

Rechner sendet ein Datagramm (IP-Destination-Adresse = 0) und bekommt

von einem beliebigen Rechner die lokale Netadresse übermittelt. Outgoing

kann erlaubt werden!

Typ 15 +16 Info Reply

ICMP Typ 16 - Informations-Antwort

Dieser ICMP-Dienst erlaubt es einem Host die IP-Adresse des Netzes zu

bestimmen mit dem er verbunden ist. Das RARP (Address Resolution Protokoll)

hat mittlerweile diese Aufgabe übernommen.Der ICMP-Typ dieser Meldungen

ist 15 bei Anfrage-Nachrichten und 16 für Antworten.

Typ 17 Adress (Request)

ICMP Typ 17 - Address Format Request Subnet-Mask-Anfrage

Dem Sender einer "Adressmasken"-Anforderung wird durch die "Adressformat"-Antwort

die Länge der Subnet-Adresse (in Bits) mitgeteilt.

Beispiel zum Auslösen einer solchen Meldung könnte sein:

Ein Rechner will bei einem Verbinungsaufbau von einem Netzwerkknoten

(Router) wissen ob in diesem Netz ein Subnetzaddresse verwendet wird

und wenn ja welche Länge diese besitzt. Outgoing kann natürlich wieder

erlaubt werden da dieses eine Anfrage von dem eigenen Computer ist!

Typ 18 Adress Reply

ICMP Typ 18 - Address Format Reply Subnet-Mask-Antwort

Dem Sender einer "Adressmasken"-Anforderung wird durch die

"Adressformat"-Antwort die Länge der Subnet-Adresse (in Bits) mitgeteilt.

Typ 9 + 10 Router Advertisement / Selection

ICMP Typ 9 + 10 Router Advertisement / Selection

Verfahren zur Auswahl von Routern. Normalerweise ist das ja so dass man

für den Transfer eines Datenpaketes zwischen mehreren Subnetzen dem

Datenpaket zu sagen hat welche Richtung es einschlagen soll um an das

Ziel zu gelangen. Prinzipiell gibt es wie man auch in dem RFC nachlesen

kann zwei Varianten zur Aktualisierung der Strecken - einmal eine

manuelle Routingtabelle oder ein Routingverfahren welches sich halt die

Strecken ansieht indem es ein Routingprotokoll durchleuchtet. ICMP

Typ 10 hat die Aufgabe das Routing transparenter zu gestalten man muß

keine statischen Routen definieren und es ist unabhängig von diversen

Routingprotokollen. Technisch gesehen kommunizieren die einzelnen

Router indem sie sich gegenseitig in den einzelnen Subnetzen suchen

können durch diese Advertisement / Selection Pakete / Parameter. Die

gegenseitigen Prüfungen nach Routern findet etwa alle 7 bis 10 Minuten

statt. Eine Routerschnittstelle bekommt auch eine Art Lebenszeit von 30

Minuten für den Fall dass ein Router mal ausfällt und das System in der

Lage sein muß automatisch Alternativstrecken zu finden. Weiterhin kann

man Router mit einer Priorität versehen um zu definieren welche

Strecken zuerst verwendet werden sollen.

Ich hoffe das hat geholfen... :bimei :marine

[cLara]

ahh, bisher habt ihr ja schon echt gut sachen gefunden! :bimei :cool:

falls es noch andere interessiert, hier icmp-taugliche links, die ich gefunden habe:

- http://www.telematik.informatik.uni-karlsruhe.de/lehre/alt/vorlesungen/Tele1-Folien_WS9697/K8-Inter/index.htm < innerhalb der praesentation gibt es ganz gute folien (und sie sind auch als text verfuegbar)

- http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/icmp-code.html < umfassende liste der icmp typ nummern mit RFC-angabe

- http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/icmp.html < uebersicht ueber icmp mit verlinkten begriffs-erklaerungen