Dessverre er ICMP tillitsfulle - ikke kreve noen autentisering mellom enheter. Denne tillitsfulle naturen kan utnyttes på en rekke måter. ICMP-baserte nettverk skanner og utnyttelser blir ofte brukt til å identifisere nettverksenheter, applikasjoner eller operativsystemer og angrepet nettverkssystemer.
ICMP ekko angrep
DNS-angrep av oktober 2002 er basert på en gammel ICMP angrep trick.
Mange datamaskiner som sendes ICMP ekko forespørsler (også referert til som "ping") til root DNS-servere. Siden 12 av de 13 root DNS-serverne hadde ICMP ping aktivert på dem, måtte de svare på hvert av disse ekko forespørsler.
Dette, i kraft, var en storstilt distribuert denial of service angrep ved hjelp av en forenklet tilkobling testing ruting. Som i den tiden denne artikkelen ble skrevet, bare 10 av DNS-serverne fortsatt behandle og svare på ICMP ekko forespørsler -. Forhåpentligvis vil vi lære fra oktober 2002 angrep og stenge ICMP ekko prosesser på alle 13 root DNS-servere Anmeldelser
Jeg råder kundene til å slå av ICMP echo respons på alle viktige enheter innenfor et bedriftsnettverk og på grensen av Internett-tilkobling.
ICMP for tjenesten skanning
ICMP kan brukes til å identifisere noen tjenester som kjører på nettverkssystemer samt
Hvis en UDP-basert (User Datagram Protocol) kommunikasjon sendes til en enhet som ikke støtter et annet program, et ". Destinasjon nås /Port nås " ICMP melding kan bli returnert. Skannesystemet vet nå at programmet ikke er støttet på målet.
For eksempel, for å avgjøre om støttes DNS (Domain Name System) på en målmaskinen, en pakke adressert til DNS-tjenesten (port 53 ) kan bli sendt til målet. Hvis målet sender tilbake en ICMP Destination Unreachable /Port Unreachable melding, kan vi finne at målet ikke støtter DNS-tjenester. Hvis noen andre svar, kan vi konkludere med at målet gjør faktisk støtter DNS-tjenester.
Ved å skanne et helt nettverk og lytte til ICMP svarene, kan vi lett finne kjører på et nettverk. Denne teknikken er brukt av mange skanning og multifunksjons verktøy som nmap, LanGuard og NetScanTools.
ICMP omdirigering
ICMP kan brukes til å omdirigere trafikken som er rutet på et nettverk
. Dette kan føre til en forstyrrelse i kommunikasjon eller aktivere en sniffer til å lytte på trafikken som normalt ikke ville bli rutet i sniffer retning. (Merk at i denne artikkelen, jeg bruker begrepet "sniffer" for å betegne en generell pakke analysator. - Jeg er ikke henvise spesifikt til Sniffer Network Analyzer av Network Associates (selv om det verktøyet ville gjøre pent i dette eksempelet)
omadressering er vanligvis brukes når en klient sender data til en ruter som ikke tilbyr den beste veien til målet. Mottaker router sender en ICMP omdirigering melding til en klient til å peke avsenderen til en annen router på nettverket. Informasjonen er bufret på kundens stasjonen (lesbar gjennom ROUTE PRINT kommando) og brukes neste gang kunden ønsker å kommunisere til den opprinnelige destinasjonen nettverket.
ICMP-protokollen plakat
Ms. Chappell s ICMP-protokollen plakaten kan lastes ned fra www.packet-level.com og trykt i 2'x3 'størrelse.
ICMP for OS fingerprinting
OS fingerprinting er prosessen for fastsettelse av operativsystemet til et mål.
Å vite denne informasjonen er nøkkelen når noen planlegger en OS-spesifikke angrep. Det finnes to typer OS fingerprinting teknikker - passive og aktive. Passive fingerprinting verktøy ikke send noen trafikk på ledningen - de bare lytte og ta avgjørelser på hvilke typer OS basert på det de hører
Aktive OS fingerprinting verktøy imidlertid sende en serie av kommunikasjon til målet. . En av de viktigste elementene i aktive OS fingerprinting verktøy er ICMP. Disse aktive OS fingerprinting verktøy sende en rekke normale, misdannede og uvanlige ICMP-spørringer til et mål og lytte til svarene.
Figur 1 nedenfor viser hvilken type trafikk sett på et nettverk sniffer når en OS fingerprinting operasjon er gang.
Figur 1:
merke til ICMP pakke med et ugyldig kode, ICMP Få adresse, ICMP Få tidsstempel, og ICMP Få informasjonspakker som brukes i en LanGuard OS fingerprinting operasjon. Merk: Dette sporet er tilgjengelig online på http://www.packet-level.com/traceFiles.htm
Den grunnleggende funksjonaliteten til ICMP er dokumentert i RFC (Request for kommentar) 792 som kan bli funnet på nettet. på www.ietf.org. Leser dette dokumentet kan gi deg en grunnleggende oversikt over de ulike typer ICMP-operasjoner.
Gitt populariteten til ICMP blant hacking samfunnet, anbefaler jeg at du blir kjent med dette nyttig (men ofte skadelig) protokoll.
Laura Chappell er Senior Protocol Analyst for protokollen analyse Institute. Hun er forfatter av en rekke bøker og selvstyrt kurs tilgjengelig online på www.packet-level.com og www.podbooks.com.