G 5.50 Missbrauch des ICMP-Protokolls
Das Internet Control Message Protocol (ICMP) hat als Protokoll der Transportschicht die Aufgabe, Fehler- und Diagnoseinformationen zu transportieren. Durch Missbrauch von ICMP-Nachrichten kann ein Angreifer sowohl den Netzbetrieb stören als auch Informationen über das interne Netz herausfinden, die ihm bei der Planung eines Angriffs nützen:
- Durch ICMP-Redirect Nachrichten können die Routing-Tabellen von Rechnern manipuliert werden.
- ICMP-Unreachable Nachrichten können dazu benutzt werden, bestehende Verbindungen zu stören oder ganz zu unterbrechen.
- Die verschiedenen ICMP-Request Nachrichtentypen (Echo Request, Information Request, Timestamp Request, Address Mask Request) können auf einfache Weise dazu benutzt werden, das interne Netz einer Organisation zu "kartographieren" (ICMP Sweeps).
- Auch gefälschte ICMP-Reply Nachrichten können dazu benutzt werden, um Informationen über das interne Netz herauszufinden, indem sie die Zielrechner dazu bewegen, auf diese mit einer Fehlermeldung zu antworten.
- Verschiedene Betriebssysteme unterscheiden sich in der Art und Weise, wie sie auf bestimmte ICMP-Nachrichten reagieren. Neben der Information darüber, dass eine bestimmte Adresse aktiv ist können ICMP-Antworten daher auch verraten, unter welchem Betriebssystem der betreffende Rechner läuft (Fingerprinting).
- Fehlerhafte Implementierungen von ICMP in einigen Betriebssystemen haben in der Vergangenheit zu Sicherheitsproblemen geführt:
- Rechner mit Windows 95 konnten durch bestimmte ICMP-Echo Pakete ("Ping of Death") zum Absturz gebracht werden.
- In ICMP-Antwortpaketen verschiedener Betriebssysteme konnten Ausschnitte aus dem Arbeitsspeicher des betreffenden Rechners enthalten sein. Im Extremfall könnten auf diese Weise Passwörter oder kryptographische Schlüssel an einen externen Rechner übermittelt werden.
- Jede Art von ICMP-Nachrichten kann auch dafür benutzt werden, einen verdeckten Informationskanal zu schaffen, auf dem Daten aus dem internen Netz nach draußen zu transportiert werden können.