ICMP
Was ist ICMP?
ICMPSteuer- und Diagnoseprotokoll der Netzwerkschicht (RFC 792 fur IPv4, RFC 4443 fur IPv6), mit dem Hosts und Router Fehler melden und Pfadzustande signalisieren.
Das Internet Control Message Protocol ist integraler Bestandteil von IP. Es wird in RFC 792 fur IPv4 und RFC 4443 fur IPv6 definiert. Router und Endgerate verwenden es, um Fehlermeldungen (Ziel unerreichbar, Zeit uberschritten, Fragmentierung erforderlich) und Diagnoseanfragen (Echo Request/Reply, verwendet von ping und traceroute) zu senden. ICMP lauft direkt uber IP mit Protokollnummer 1 (bzw. 58 fur ICMPv6) und kennt keine Ports.
Es ist fur Path MTU Discovery (RFC 1191) und IPv6 Neighbor Discovery unverzichtbar, weshalb pauschales Blockieren von ICMP haufig „PMTU-Blackholes" erzeugt, in denen grosse Pakete stillschweigend verschwinden. Historische Missbrauchsfalle sind gut dokumentiert: Der Smurf attack (CERT-Advisory CA-1998-01) falschte die Adresse eines Opfers als Quelle von Echo Requests, die an eine Broadcast-Adresse gesendet wurden, und verstarkte so die Flut; der Ping of Death brachte TCP/IP-Stacks der spaten 1990er-Jahre mit wieder zusammengesetzten Echo-Paketen uber 65.535 Byte zum Absturz; und das Werkzeug Loki (Phrack-Ausgaben 49 und 51, 1996-97) leistete Pionierarbeit beim ICMP-Tunneling, indem es eine verdeckte Shell in Echo-Nutzdaten versteckte. ICMP-Redirect-Nachrichten konnen ausserdem gefalscht werden, um die Routing-Tabelle eines Hosts zu vergiften.
Zu den Abwehrmassnahmen gehoren, ICMP zu drosseln statt zu verwerfen, die Typen 3 und 4 sowie alle obligatorischen ICMPv6-Neighbor-Discovery-Nachrichten zuzulassen (Empfehlungen der RFC 4890), ICMP-Redirects auf gehärteten Hosts zu ignorieren und Echo-Nutzdaten in NDR/EDR auf Tunneling zu untersuchen.
flowchart LR A[Host: ping] -->|Echo Request type 8| R[Router] R --> B[Target host] B -->|Echo Reply type 0| A R -.->|Time Exceeded type 11| A R -.->|Dest Unreachable type 3| A X[Attacker] -.->|Forged Redirect type 5| A
● Beispiele
- 01
ping example.com sendet ICMP-Echo-Requests und misst die Zeit bis zur Echo-Reply.
- 02
Ein Router antwortet mit ICMP type 3 code 4, weil Fragmentierung notig ware, das DF-Bit jedoch gesetzt ist.
● Häufige Fragen
Was ist ICMP?
Steuer- und Diagnoseprotokoll der Netzwerkschicht (RFC 792 fur IPv4, RFC 4443 fur IPv6), mit dem Hosts und Router Fehler melden und Pfadzustande signalisieren. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet ICMP?
Steuer- und Diagnoseprotokoll der Netzwerkschicht (RFC 792 fur IPv4, RFC 4443 fur IPv6), mit dem Hosts und Router Fehler melden und Pfadzustande signalisieren.
Wie schützt man sich gegen ICMP?
Schutzmaßnahmen gegen ICMP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für ICMP?
Übliche alternative Bezeichnungen: Internet-Steuerungsmeldungsprotokoll.