ICMP
Från Rilpedia
Protokollstack för IP-nätverk | |
IP-skikt | Protokoll |
---|---|
5.Applikation | BitTorrent, DHCP, DNS, FTP, HTTP, IMAP, IRC, NNTP, POP3, SIP, SMTP, SNMP, SSH, Telnet,TLS, SSL , TFTP, … |
4.Transport | DCCP, SCTP, TCP, RTP, UDP, IL, RUDP, … |
3.Nätverk | ARP, ICMP, IGMP, IP (IPv4, IPv6),RIP … |
2.Länk | ATM, Ethernet, FDDI, ISDN, MPLS, Token Ring, PPP, SLIP, Wi-Fi, … |
1.Fysiska | ISDN, RS232, IrDA, Bluetooth, xDSL, … |
ICMP, akrynom för Internet Control Message Protocol, är ett protokoll som typiskt används för felmeddelanden, routingkontroll och diagnostik. ICMP anses vara en vital del av IP trots att det tekniskt sett är byggt ovanpå IP likt TCP och UDP. ICMP används dock inte, med få undantag såsom Ping och Traceroute, direkt av mjukvara på applikationslagret.
Innehåll |
Tekniska detaljer
ICMP-meddelanden konstrueras i regel av nätverkslagret som svar på någon form av IP-relaterad händelse. IP-paketet som genererade händelsen kapslas då in i ett ICMP-meddelande som i sin tur kapslas in i ett nytt IP-paket för att sedan skickas på vanligt vis till dess destination. Eftersom ICMP kapslas in direkt i IP finns inga garantier för att paketet kommer fram på samma vis som för UDP.
Trots att ICMP-meddelanden är inkapslade i IP-paket så behandlas dessa meddelanden inte på samma vis som andra protokoll som använder IP. I många fall finns det behov av att, på IP-nivå, inspektera innehållet av ICMP-meddelandet för att skicka lämpligt felmeddelande till den applikation som skapade det IP-paket som genererade ICMP-meddelandet.
Versioner
ICMP betecknas ICMPv4 och ICMPv6 för IPv4 respektive IPv6. ICMPv6 är en kombination, förenkling och vidareutveckling av ICMPv4, IGMP och ARP. I denna artikel berörs ICMPv4 om inte annat anges.
Meddelandetyper
För en komplett lista över meddelandetyper besök http://www.iana.org/assignments/icmp-parameters. Nedan följer några av de vanligast förekommande typerna.
- Typ 0 – Svar på ekoförfrågan
- Svaret på ett meddelande av typ 8.
- Typ 3 – Destination onåbar
- Genereras av en värd eller router när ett IP-pakets destination av någon anledning inte går att nå. Anledningen specificeras i ICMP-meddelandets kod.
- Typ 4 – Flödeskontroll
- Meddelandets syfte är att möjliggöra flödeskontroll genom att en router signalerar till en värd att skicka paket i en lägre hastighet. Denna typ av meddelande bör inte används på Internet idag. [1]
- Typ 5 – Omdirigering
- Ett meddelande som informerar en värd att skicka paket en annan väg; dvs routinginformation.
- Typ 8 – Ekoförfrågan
- En central del av Pingverktyget som används för att diagnostisera nätverk.
- Typ 11 – Överskridning av TTL
- Genereras av en router när ett IP-paket har blivit bortkastat pga att TTL-fältet i IP-huvudet har nått noll.
- Typ 13 – Tidssynkronisering
- En förfrågan om synkronisering av tid.
- Typ 14 – Svar på tidssynkronisering
- Svar på meddelande av typ 13. Skickar nuvarande tid i systemet till avsändare.
- Typ 17 –Subnätsmasksförfrågan
- Skickas normalt av en värd till en router för att få reda på rätt subnätsmask.
- Typ 18 – Svar på subnätsmasksförfrågan
- Svar på meddelande av typ 17.
ICMP-paketet
Eftersom ICMP inkapslas i IP så är den första delen av ICMP-paketet ett vanligt IP-huvud, vanligtvis 20 byte, markerat grått i bilden nedan. Efter det återfinns ICMP-huvudet på 8 byte, markerat grönt. Resterande del är kroppen av varierande längd, markerat blått.
00 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
IP-huvudet | |||||||||||||||||||||||||||||||
Typ | Kod | Kontrollsumma | |||||||||||||||||||||||||||||
Innehållet beroende på meddelandets typ | |||||||||||||||||||||||||||||||
Kroppen |
- Typ
- Meddelandets typ som angivet ovan.
- Kod
- En vidare specifikation av meddelandets typ.
- Kontrollsumma
- En kontrollsumma för ICMP-huvudet.
- Data beroende på meddelandets typ
- Innehållet av dessa 4 byte är beroende på meddelandets typ.
- Kroppen
- Precis som för de sista 4 byten av paketets huvud beror innehållet i paketets kropp på meddelandets typ. Ofta innehåller detta fält IP-huvudet samt de första 8 bytes av IP-paketet som genererade ICMP-meddelandet. Ett annat exempel är Pingverktyget som i Windows fyller detta fält med 40 byte slumpad data, till skillnad från Pingverktyget i Linux fyller samma fält med 64 byte data.
Säkerhetsrisker
Även om ICMP-protokollet vid första blick ser harmlöst ut har det visat sig vara en källa till en rad olika former av säkerhetsrisker. Idag är de flesta implementationer av ICMP modifierade för att endast behandla vissa meddelandetyper.
Denial of Service-attacker
Beroende på hur en värd hanterar ICMP-meddelanden i enlighet med RFC 1122 kan långvariga TCP-anslutningar avbrytas.[2] En annan typ av Denial of Service-attack är en så kallad ”Smurf attack” som innebär att ICMP-ekomeddelanden skickas till specifika IP-broadcastadresser.[3] Ytterligare en rad olika Denial of Service-attacker existerar kring ICMP som är baserade på att skapa specifika meddelanden en värd ej kan hantera.
Informationsläckage
Genom att studera resultatet av ICMP-meddelanden kan en rad olika former av data om ett nätverk och dess noder samlas in. T ex kan operativsystem, lokal tid, nätverkstopologi och aktiva tjänster identifieras.[4]
Externa länkar
- http://www.iana.org/assignments/icmp-parameters
- RFC 792 - Internet Control Message Protocol
- RFC 1812 - Requirements for IP Version 4 Routers
- RFC 1122 - Requirements for Internet Hosts
Källor
- ↑ RFC 1812 - Requirements for IP Version 4 Routers
- ↑ Vulnerability Issues in ICMP packets with TCP payloads
- ↑ CERT® Advisory CA-1998-01 Smurf IP Denial-of-Service Attacks
- ↑ Understanding some of the ICMP Protocol’s Hazards
- Delar av denna artikel är baserad på en översättning från engelska Wikipedia.