07 Кві, 2023

Протокол інтернет-керуючих повідомлень ICMP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

ICMP ( ICMP ) це протокол, який є частиною пакета Internet Protocol (IP). Він використовується для відправки повідомлень про помилки і оперативної інформації про стан мережі між мережевими пристроями, такими як маршрутизатори і хости.

Повний опис ICMP - це "Протокол повідомлень управління Інтернетом". Це протокол мережного рівня, який використовується мережевими пристроями для зв'язку один з одним. Він призначений для надання зворотного зв'язку про проблеми мережі, таких як недоступні хости або перевантаження мережі.

Повідомлення ICMP зазвичай генеруються автоматично мережевими пристроями, такими як маршрутизатори, брандмауери. Деякі поширені повідомлення ICMP включають запити і відповіді "ping", які використовуються для перевірки доступності хоста в мережі.

Стандартні команди від неавторизованих користувачів

Ping: Flood Attack: Ця атака включає в себе відправлення великої кількості ехо-запитів ICMP в цільову систему, в результаті чого вона перестає відповідати на законний трафік.

Ping of Death Attack: Ця атака включає в себе відправлення занадто великого ICMP-пакета в цільову систему, що призводить до її збою або нестабільності.

Smurf Attack: Ця атака включає відправку великої кількості ехо-запитів ICMP на широкомовну адресу мережі, в результаті чого всі хости в мережі відповідають ехо-відповідями ICMP цільовій системі, перевантажуючи її трафіком.

Інструменти для використання протоколу ICMP

Ручні Інструменти:

  • Ping:Один із самих основних і часто використовуваних інструментів для тестування ICMP. Він відправляє пакет луна-запиту ICMP на цільовий хост і чекає відповіді.

  • Traceroute: Інструмент, використовуваний для відстеження шляху, який проходить ICMP-пакет від вихідного хоста до кінцевого хосту. Він відправляє серію ICMP-пакетів зі збільшеними значеннями часу очікування (TTL) і записує IP-адреси маршрутизаторів, через які проходять пакети.

  • Hping: Інструмент командного рядка, який може відправляти різні типи ICMP-пакетів, включаючи ехо-запити часових міток. Він також може бути використаний для відправки пакетів TCP / UDP і виконання інших функцій тестування мережі.

  • Nmap: Популярний інструмент сканування мережі, який можна використовувати для відправки ICMP-пакетів хостам і виконання безлічі інших мережних тестів.

  • Netcat: Універсальна мережева утиліта, яку можна використовувати для відправки і отримання ICMP-пакетів, а також для виконання безлічі інших мережевих завдань.

  • fping: Утиліта ping, яка може відправляти кілька ехо-запитів ICMP одночасно і відображати результати у форматі списку.

  • Paping: Утиліта ping, яка може виконувати більш складні вимірювання часу та продуктивності, ніж стандартна утиліта ping.

  • Smokeping: Веб-інструмент, який може відстежувати затримку в мережі і втрату пакетів, відправляючи ICMP-пакети через регулярні проміжки часу.

  • Icmpsh: Інструмент, який дозволяє віддалено виконувати команди через пакети луна-запитів ICMP і відповідей. Його можна використовувати для розвідки мережі і тестування на проникнення.

Автоматизовані інструменти:

  • Zabbix: Засіб моніторингу мережі, яке може відправляти ICMP-пакети хостам і попереджати адміністраторів про виникнення мережевих проблем.

  • PRTG: Інструмент мережевого моніторингу, який може відправляти ICMP-пакети хостам і виконувати інші мережні тести для моніторингу продуктивності і доступності.

  • Nagios: Популярний інструмент моніторингу мережі, який може відправляти ICMP-пакети хостам і попереджати адміністраторів про виникнення проблем.

  • SolarWinds Network Performance Monitor: Комплексний інструмент моніторингу мережі, який може відправляти ICMP-пакети хостам і виконувати інші мережні тести для моніторингу продуктивності і доступності.

  • Spiceworks Network Monitor: Безкоштовний інструмент моніторингу мережі, який може відправляти ICMP-пакети хостам і попереджати адміністраторів про виникнення проблем.

  • Nmap Scripting Engine (NSE): Функція інструменту сканування мережі Nmap, яка дозволяє користувачам писати власні сценарії для відправки ICMP-пакетів і виконання інших мережевих тестів.

  • Wireshark: Аналізатор мережевих протоколів, який може захоплювати і аналізувати ICMP-пакети, а також інші типи мережевого трафіку.

  • Scapy: Заснований на Python інструмент для тестування мережі та обробки пакетів, який може відправляти і отримувати ICMP-пакети, а також інші типи мережевого трафіку.

  • Netzob: Інструмент для зворотного проектування мережевих протоколів, який може бути використаний для тестування реалізацій ICMP і аналізу структури пакетів.

  • Metasploit Framework: Популярний інструмент тестування на проникнення, який включає експлойти на основі ICMP для тестування мережевої безпеки.

  • Cain and Abel: Засіб тестування мережі на базі Windows, яке включає функції на основі ICMP для сканування мережі та тестування на проникнення.

Останні п'ять відомих CVE для ICMP

CVE-2023-23415 – Вразливість протоколу віддаленого виконання коду Internet Control Message Protocol (ICMP)

CVE-2023-22411 – Уразливість для запису за межі мережі в демона обробки потоків (flowd) Juniper Networks Junos OS дозволяє зловмисникові, який не пройшов перевірку, на основі мережі викликати відмову в обслуговуванні (DoS). На пристроях серії SRX, використовують Уніфіковані політики з IPv6, коли певний пакет IPv6 проходить через динамічний фільтр додатка, який генерує повідомлення про відмову ICMP, відстежується ядро flowd і PFE перезапускається. Ця проблема зачіпає: Juniper Networks ОС Junos серії SRX: 19.2 версії до 19.2R3-S6; 19.3 версії до 19.3R3-S6; 19.4 версії до 19.4R3-S9; 20.2 версії до 20.2R3-S5; 20.3 версії до 20.3R3-S4; 20.4 версії до 20.4R3-S3; 21.1 версії до 21.1R3; 21.2 версії до 21.2R3; 21.3 версії до 21.3R2; 21.4 версії до 21.4R2.

CVE-2023-22391 – Уразливість в управлінні чергами класу обслуговування (CoS) в Juniper Networks ОС Junos на пристроях серії ACX2K дозволяє зловмисникові, який не пройшов перевірку автентичності в мережі, викликати відмову в обслуговуванні (DoS). Певні пакети неправильно перенаправляються в чергу, використовується для іншого высокоприоритетного трафіку, такого як BGP, PIM, ICMP, ICMPV6 ND і ISAKMP. З-за такої неправильної класифікації трафіку отримання високої швидкості цих конкретних пакетів викличе затримки в обробці іншого трафіку, що призведе до відмови в обслуговуванні (DoS). Триває прийом такого об'єму трафіку створить стан стійкого відмови в обслуговуванні (DoS). Ця проблема зачіпає ОС Juniper Networks Junos на серії ACX2K: всі версії до 19.4R3-S9; Всі версії 20.2; версії 20.3 до 20.3R3-S6 на серії ACX2K; версії 20.4 до 20.4R3-S4 на серії ACX2K; Всі версії 21.1; версії 21.2 до 21.2R3-S3 на серії ACX2K. Примітка: Ця проблема зачіпає застарілі пристрої на базі PPC серії ACX2K. Ця платформа досягла Останньої підтримуваної версії (LSV) з моменту випуску Junos OS 21.2.

CVE-2023-20051 – Уразливість в векторному процесорі пакетів (VPP) Cisco Packet Data Network Gateway (PGW) може дозволити віддаленого зловмиснику, який не пройшов перевірку автентичності, зупинити обробку ICMP-трафіку через з'єднання IPSec. Ця вразливість виникає з-за того, що VPP неправильно обробляє спотворений пакет. Зловмисник може скористатися цією уразливістю, відправивши спотворений пакет инкапсулирующей корисного навантаження безпеки (ESP) по з'єднанню IPSec. Успішний експлойт може дозволити зловмиснику зупинити ICMP-трафік IPSec-з'єднанню і викликати відмову в обслуговуванні (DoS).

CVE-2022-45434 – Деякі програмні продукти Dahua мають дефект у вигляді неперевіреним нерегульованих запитів ICMP на віддаленому сервері DSS. Після обходу політики контролю доступу брандмауера, відправивши певний створений пакет на уразливий інтерфейс, зловмисник може використовувати сервер-жертву для запуску атаки з запитом ICMP на вказаний цільової хост.

Корисна інформація

ICMP - це протокол третього рівня (мережевого рівня) в семирівневої моделі OSI. Це допомагає діагностувати проблеми з мережевим підключенням або передачею даних між пристроями шляхом надсилання, отримання та обробки повідомлень ICMP для повідомлення про проблеми з підключенням до мережного пристрою.

ICMP - це протокол без встановлення з'єднання, який використовується для цілей управління мережею. Він не включає в себе пов'язані процеси, що включають встановлення і закриття з'єднань, як це робить TCP, і ICMP не допускає цільових портів на пристроях.

ICMP - це протокол, який мережеві пристрої, такі як маршрутизатори, використовують для генерації повідомлень про помилки, коли мережеві проблеми перешкоджають проходженню IP-пакетів. ICMP створює і відправляє повідомлення на вихідний IP-адреси, які вказують на те, що шлюз в Інтернет, служба або хост не можуть бути досягнуті для доставки пакетів. 

ICMP - це протокол imap про помилки, який мережеві пристрої, такі як маршрутизатори, використовують для генерації повідомлень про помилки на вихідний IP-адресу, коли мережеві проблеми перешкоджають доставці IP-пакетів. 

Відомі банери

  • ICMP Echo Request (Ping Request): Цей тип пакету ICMP зазвичай використовується для перевірки мережевого з'єднання між двома пристроями. Він посилає луну-запит цільовим хосту і чекає відповіді. Якщо хост відповідає, це вказує на наявність з'єднання між двома пристроями.

  • ICMP Destination Unreachable: Цей тип ICMP-пакета відправляється маршрутизатором або іншим мережевим пристроєм, щоб вказати, що воно не може доставити IP-пакет за призначенням. Повідомлення про помилку може вказувати на причину збою, таку як невідомий хост, перевантаження мережі або брандмауер блокує трафік.

  • ICMP Time Exceeded: Цей тип ICMP-пакета відправляється маршрутизатором або іншим мережевим пристроєм, щоб вказати, що IP-пакет перевищив своє значення часу очікування (TTL) і був відкинутий. У повідомленні про помилку може зазначатися кількість переходів, при якому пакет був відкинутий, що може допомогти діагностувати проблеми з маршрутизацією.

  • ICMP Redirect: Цей тип ICMP-пакета відправляється маршрутизатором на пристрій, щоб повідомити йому, що існує кращий маршрут до місця призначення. Пакет містить IP-адресу нового шлюзу, який буде використовуватися для призначення.

Книги для вивчення ICMP 

ICMP by Beau Williamson: У цій книзі докладно розглядається протокол ICMP, включаючи його історію, структуру і використання для усунення неполадок мережі та управління нею.

TCP/IP Illustrated, Volume 1: The Protocols by W. Richard Stevens: Хоча ця класична книга присвячена конкретно ICMP, вона детально описує набір протоколів TCP / IP, включаючи ICMP і його використання для управління мережею і усунення неполадок.

Practical Packet Analysis, Third Edition: Using Wireshark to Solve Real-World Network Problems by Chris Sanders: Ця книга присвячена використанню аналізатор мережевих протоколів Wireshark для аналізу і усунення неполадок в мережі, зокрема проблеми, пов'язані з ICMP.

Computer Networking Problems and Solutions: An innovative approach to building resilient, modern networks by Russ White and Ethan Banks: У цій книзі розглядається ряд мережевих тим, включаючи ICMP і його використання для управління мережею і усунення неполадок.

Routing TCP/IP, Volume II: CCIE Professional Development by Jeff Doyle and Jennifer DeHaven Carroll: Ця книга призначена для мережевих фахівців, що готуються до сертифікаційного іспиту CCIE, і охоплює передові мережеві теми, включаючи ICMP та його використання в управлінні мережею і усунення неполадок.

Список корисного навантаження для ICMP

  • ICMP Echo Request (Ping Request): Це повідомлення містить корисну навантаження з довільних даних, які відправляються на цільовий хост. Корисне навантаження може бути використана для тестування мережевого підключення або вимірювання затримки в мережі.

  • ICMP Information Request: Це повідомлення містить корисну навантаження, яка визначає тип запитуваної інформації, такої як час на цільовому хості або його мережева конфігурація.

  • ICMP Router Advertisement: Це повідомлення містить корисну навантаження, яка визначає мережевий префікс та іншу інформацію про конфігурації маршрутизаторів в локальній мережі.

  • ICMP Redirect: Це повідомлення містить корисну навантаження, яка вказує IP-адресу нового шлюзу, який буде використовуватися для призначення.

  • ICMP Address Mask Request: Це повідомлення містить корисну навантаження, яка визначає маску підмережі для мережі цільового хоста.

Пом'якшення наслідків

  1. Одним з найпростіших способів пом'якшення наслідків ICMP-атак є фільтрація ICMP-трафіку на кордоні мережі з допомогою брандмауера або системи запобігання вторгнень (IPS). Це може бути зроблено шляхом блокування певних типів ICMP-повідомлень або обмеження швидкості ICMP-трафіку.

  2. Інша стратегія полягає в обмеженні швидкості ICMP-трафіку, яким дозволено вхід в мережу. Це може допомогти запобігти атаки ICMP flood, які перевантажують мережу великим обсягом ICMP-трафіку.

  3. Багато маршрутизатори мають вбудовані механізми для обмеження швидкості ICMP-трафіку. Включення цих функцій може допомогти запобігти атаки на основі ICMP і підвищити стабільність мережі.

  4. Системи виявлення та запобігання мережевих вторгнень (IDS / IPS) можуть допомогти виявляти і блокувати атаки, які зловживають ICMP. Ці системи можуть бути налаштовані на оповіщення адміністраторів або автоматичне блокування трафіку, що відповідає певним критеріям.

  5. Моніторинг трафіку ICMP може допомогти виявити незвичайні закономірності або сплески трафіку, які можуть вказувати на атаку. Мережеві адміністратори можуть використовувати такі інструменти, як Wireshark або tcpdump, для збору та аналізу ICMP-трафіку.

Висновок

ICMP ( ICMP ) це найважливіший протокол, який використовується для керування мережею, складання звітів про помилки та діагностики. Він є невід'ємною частиною інфраструктури Інтернету і використовується практично всіма мережевими пристроями. Повідомлення ICMP зазвичай невеликого розміру і використовуються для повідомлення про помилки або надання інформації про стан мережі.

Хоча ICMP є важливим протоколом, він також може бути використаний для шкідливих цілей, таких як DoS-атаки. Щоб знизити ризики, пов'язані з атаками на основі ICMP, мережеві адміністратори можуть використовувати різні методи, включаючи фільтрацію ICMP-трафіку, обмеження швидкості ICMP-трафіку і використання систем IDS / IPS для виявлення і блокування атак.

Інші Послуги

Готові до безпеки?

зв'язатися з нами