Besuchen Sie uns auf der it-sa 2024!

ICMP

Was ist das Internet Control Message Protocol (ICMP)?

Das Internet Control Message Protocol (ICMP) ist ein zentraler Bestandteil der Protokollfamilie im World Wide Web. ICMP dient hauptsächlich der Übertragung von Fehlermeldungen und Diagnoseinformationen in Netzwerken und Rechenzentren. Im Gegensatz zu Transportprotokollen wie TCP oder UDP sollen Informationen über den Zustand von Netzwerkverbindungen und -geräten übermittelt werden. Cyberkriminelle missbrauchen das Protokoll für DDoS-Angriffe (Distributed Denial of Service).

ICMP-Risiken mit Myra bekämpfen

Auf einen Blick

1. ICMP: eine Definition
2. Ping & Traceroute
3. Welche ICMP-Pakettypen gibt es?
4. Welche Gefahren birgt das ICMP?
5. Welche Schutzmaßnahmen helfen gegen ICMP-Angriffe?
6. ICMP: Das müssen Sie wissen

Hände die auf einen Laptop Bildschirm deuten

ICMP: eine Definition

Das Internet Control Message Protocol wird von Netzwerkgeräten wie Routern genutzt, um Fehler zu melden, die bei der Übertragung von IP-Paketen auftreten können. Beispielsweise kann eine ICMP-Nachricht gesendet werden, wenn ein Router ein Paket nicht zustellen kann, weil das Ziel nicht erreichbar ist oder eine Zeitüberschreitung vorliegt. ICMP-Nachrichten sind in IP-Paketen gekapselt und enthalten Typ- und Code-Felder zur Identifizierung der Art des Fehlers oder der Information.

Zu den am häufigsten verwendeten ICMP-basierten Werkzeugen gehören unter anderem die Diagnose-Tools Ping und Traceroute.

Ping & Traceroute

Ping ist eines der bekanntesten Diagnosewerkzeuge, das auf ICMP basiert. Es sendet ICMP-Echo-Anfragen an ein Zielgerät (Host) und wartet auf Echo-Antworten. Dies ermöglicht es, die Erreichbarkeit eines Geräts im Netzwerk zu testen und die Round-Trip-Zeit (RTT) zu messen, also die Zeit, die ein Paket benötigt, um zum Ziel zu gelangen und wieder zurückzukehren. Ping ist ein einfaches, aber effektives Diagnose-Werkzeug zur Überprüfung der Netzwerkverbindung und -latenz und wird üblicherweise als Konsolenbefehl ausgeführt.

Traceroute ist ein weiteres ICMP-basiertes Diagnosewerkzeug. Mit Traceroute kann der genaue Weg ermittelt werden, den Datenpakete durch ein Netzwerk nehmen, um ihr Ziel zu erreichen. Es sendet ICMP-Pakete mit schrittweise erhöhten Time-To-Live-Werten (TTL). Jeder Router auf dem Weg verringert den TTL-Wert um eins und antwortet mit einer ICMP-Nachricht "Time Exceeded", wenn der TTL-Wert Null erreicht. Diese Rückmeldungen ermöglichen es Traceroute, die Route abzubilden und die Zeit zu messen, die jedes Paket benötigt, um jeden Hop zu erreichen. Traceroute liefert detaillierte Informationen über alle Zwischenstationen (Hops) zwischen Quelle und Ziel und hilft so, Engpässe oder fehlerhafte Verbindungen im Netzwerk zu identifizieren.

Überzeugen Sie sich von unseren maßgestalteten Security-as-a-Service-Lösungen für IT-Infrastrukturen und Webapplikationen.

Jetzt kostenlose Demo anfordern

Welche ICMP-Pakettypen gibt es?

ICMP nutzt verschiedene Pakettypen, um Netzwerkfehler zu melden und Diagnosen durchzuführen. Die Vergabe der ICMP-Pakettypen erfolgt über die Internet Assigned Numbers Authority (IANA). Zu den wichtigsten ICMP-Pakettypen zählen:

Typ 0: Echo Reply - Antwort auf eine Echo-Anfrage zur Überprüfung der Erreichbarkeit eines Hosts
Typ 3: Destination Unreachable - Informiert den Sender darüber, dass eine Zieladresse nicht erreichbar ist. Verschiedene Codes geben spezifische Gründe an, z.B. Netzwerk oder Host nicht erreichbar.
Typ 4: Source Quench (veraltet) - Wurde verwendet, um den Sender zu bitten, die Geschwindigkeit der Paketsendung zu reduzieren.
Typ 5: Redirect - Weist einen Host an, einen besseren Weg zu einem Ziel über einen anderen Router zu verwenden.
Typ 8: Echo Request - Wird im Ping-Befehl verwendet, um die Erreichbarkeit eines Hosts zu testen.
Typ 9: Router Advertisement - Router senden regelmäßig Informationen über sich selbst an Hosts im Netzwerk.

Typ 10: Router Selection - Hosts senden Anfragen, um Router dazu zu veranlassen, sofort Router Advertisement Nachrichten zu senden.
Typ 11: Time Exceeded - Zeigt an, dass die Lebensdauer (TTL) eines Pakets abgelaufen ist, bevor es sein Ziel erreichen konnte.
Typ 12: Parameter Problem - Meldet Probleme mit dem Header eines empfangenen Pakets.
Typ 13: Timestamp - Ermöglicht es einem Host, die Zeit von einem anderen Host anzufordern (Zeitstempelnachricht).
Typ 14: Timestamp Reply - Antwort auf eine Timestamp-Anfrage mit Zeitinformationen gemäß Typ 13.

Welche Gefahren birgt das ICMP?

Cyberkriminelle missbrauchen die Eigenschaften des ICMP, um die Überlastung von Netzwerkinfrastruktur zu provozieren. Zu den geläufigsten Angriffsarten zählen neben der ICMP-Flood etwa die Smurf Attack sowie der Ping of Death. Das primär für Netzwerkdiagnosen geschaffene ICMP weist verschiedene Schwachstellen auf, die von Angreifern ausgenutzt werden können. Eines der größten Sicherheitsdefizite liegt in der fehlenden Authentifizierung von ICMP-Nachrichten, was es Angreifern ermöglicht, gefälschte Pakete zu senden.

ICMP Flood
Eine ICMP Flood, auch bekannt als Ping Flood, ist eine Art von DDoS-Angriff, bei dem eine große Anzahl von ICMP-Echo-Anfragen an ein Zielsystem gesendet wird. Ziel ist es, die Netzwerkressourcen des Ziels zu überlasten und legitimen Datenverkehr zu blockieren. Dazu sendet der Angreifer eine Flut von Echo-Request-Paketen an das Zielsystem, auf die das angegriffene System mit Echo-Reply-Paketen antwortet. Die so erzeugte Bandbreite führt zu einer Überlastung des ausgehenden Netzwerkverkehrs, sobald die Angriffsbandbreite aufseiten des Cyberkriminellen die Kapazitäten des Opfers übersteigt. Der Ping-Flood-Angriff kann als DoS-Angriff klassifiziert werden, wenn er von einem einzelnen Computer ausgeht, oder als DDoS-Angriff, wenn er von einem Botnetz durchgeführt wird.
Ping of Death
Der Ping of Death ist ein historischer Netzwerkangriff, der zu den Denial-of-Service-Attacken (DoS) zählt. Er nutzt ICMP, um ein schädliches Datenpaket an ein Zielsystem zu senden, das beim Zusammensetzen die zulässige Paketgröße überschreitet und dadurch einen Speicherpufferüberlauf verursacht. Dies führt auf ungeschützten Systemen zu Abstürzen oder zum Einfrieren des Systems.

Ursprünglich führte dieser Angriff auf anfälligen Systemen zu sofortigen Abstürzen, aber seit etwa 1998 sind die meisten Systeme dagegen geschützt. Moderne Systeme haben Sicherheitsmaßnahmen implementiert, um solche Angriffe zu verhindern, z.B. die Überprüfung der maximalen Paketgröße und das Filtern bösartiger Pakete durch Router und Firewalls. Daher stellt der Ping of Death heute kaum noch eine Bedrohung dar, während Hacker eher andere Angriffe wie Ping-Floods verwenden.
Smurf Attack
Bei der Smurf Attack (zu Deutsch: Schlumpf-Angriff) handelt es sich um eine Form von DDoS, die darauf abzielt, ein Computersystem oder ein Netzwerk durch Überflutung mit ICMP-Paketen lahmzulegen. Dabei nutzten Angreifer Schwachstellen in den Protokollen IP und ICMP aus, indem sie Pakete mit einer gefälschten Absender-IP an eine Broadcast-Adresse senden. Diese Pakete erreichen alle Geräte im Netzwerk, die dann mit ICMP-Antworten auf das vermeintliche Opfer reagieren, was dessen System überlasten kann. Der Name "Smurf" stammt von einem 1997 veröffentlichten Programm namens „smurf.c“ und symbolisiert die Idee vieler kleiner Angreifer, die einen größeren Gegner überwältigen können.

Durch die Implementierung von Gegenmaßnahmen und angepassten Konfigurationen in der Netzwerktechnik sind Smurf-Angriffe heutzutage ähnlich wie der Ping of Death nicht mehr gängig. In Legacy-Umgebungen oder nicht ordnungsgemäß konfigurierten Netzen kann eine Smurf-Attacke aber weiterhin großen Schaden anrichten.
ICMP Flood
Eine ICMP Flood, auch bekannt als Ping Flood, ist eine Art von DDoS-Angriff, bei dem eine große Anzahl von ICMP-Echo-Anfragen an ein Zielsystem gesendet wird. Ziel ist es, die Netzwerkressourcen des Ziels zu überlasten und legitimen Datenverkehr zu blockieren. Dazu sendet der Angreifer eine Flut von Echo-Request-Paketen an das Zielsystem, auf die das angegriffene System mit Echo-Reply-Paketen antwortet. Die so erzeugte Bandbreite führt zu einer Überlastung des ausgehenden Netzwerkverkehrs, sobald die Angriffsbandbreite aufseiten des Cyberkriminellen die Kapazitäten des Opfers übersteigt. Der Ping-Flood-Angriff kann als DoS-Angriff klassifiziert werden, wenn er von einem einzelnen Computer ausgeht, oder als DDoS-Angriff, wenn er von einem Botnetz durchgeführt wird.
Ping of Death
Der Ping of Death ist ein historischer Netzwerkangriff, der zu den Denial-of-Service-Attacken (DoS) zählt. Er nutzt ICMP, um ein schädliches Datenpaket an ein Zielsystem zu senden, das beim Zusammensetzen die zulässige Paketgröße überschreitet und dadurch einen Speicherpufferüberlauf verursacht. Dies führt auf ungeschützten Systemen zu Abstürzen oder zum Einfrieren des Systems.

Ursprünglich führte dieser Angriff auf anfälligen Systemen zu sofortigen Abstürzen, aber seit etwa 1998 sind die meisten Systeme dagegen geschützt. Moderne Systeme haben Sicherheitsmaßnahmen implementiert, um solche Angriffe zu verhindern, z.B. die Überprüfung der maximalen Paketgröße und das Filtern bösartiger Pakete durch Router und Firewalls. Daher stellt der Ping of Death heute kaum noch eine Bedrohung dar, während Hacker eher andere Angriffe wie Ping-Floods verwenden.

Die Security-as-a-Service-Lösungen von Myra schützen Ihre Infrastrukturen zuverlässig vor ICMP-basierten Gefahren und anderen Risiken. Verteidigen Sie kritische Geschäftsprozesse proaktiv, nachhaltig und Compliance-konform.

Welche Schutzmaßnahmen helfen gegen ICMP-Angriffe?

Um sich gegen ICMP-Angriffe zu schützen, sollten Organisationen folgende Maßnahmen ergreifen:

Überwachung des Netzwerkverkehrs

Ungewöhnlich hohe Mengen an ICMP-Verkehr können auf einen laufenden Angriff hinweisen.

Rate Limiting

Mittels Rate Limiting haben Netzwerkadministratoren die Möglichkeit, schädlichen Traffic durch ICMP-Paketen zu blockieren.

Firewall-Regeln

Durch den Einsatz und die ordnungsgemäße Konfiguration von Firewall-Instanzen kann ICMP-Traffic von unbekannten oder schädlichen Quellen blockiert werden.

DDoS-Abwehrlösungen

Dedizierte DDoS-Schutzlösungen verteidigen Netzwerke und Infrastrukturen effektiv und in Echtzeit vor ICMP-Flood-Angriffen und weiteren Bedrohungen durch schädliche Traffic-Ströme.

ICMP: Das müssen Sie wissen

ICMP spielt eine entscheidende Rolle in der Netzwerkinfrastruktur sowohl für legitime Zwecke wie Diagnosen als auch als Angriffsvektor bei Sicherheitsbedrohungen. Eine robuste Konfiguration von Netzwerkinfrastruktur ist daher essenziell, um ICMP-basierten Bedrohungen vorzubeugen.

Dedizierte DDoS-Schutzlösungen wie das Myra Cloud Scrubbing schützen effizient vor ICMP-Angriffen und weiteren Cyberbedrohungen auf der Vermittlungs- und Transportschicht (Layer 3/4).

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich

Responsible Disclosure Impressum Datenschutz Privatsphäre-Einstellungen AGB