Bundesamt für Sicherheit in der Informationstechnik

G 5.50 Missbrauch des ICMP-Protokolls

Das Internet Control Message Protocol (ICMP) hat als Protokoll der Transportschicht die Aufgabe, Fehler- und Diagnoseinformationen zu transportieren. Durch Missbrauch von ICMP-Nachrichten kann ein Angreifer sowohl den Netzbetrieb stören als auch Informationen über das interne Netz herausfinden, die ihm bei der Planung eines Angriffs nützen:

  • Durch ICMP-Redirect Nachrichten können die Routing-Tabellen von Rechnern manipuliert werden.
  • ICMP-Unreachable Nachrichten können dazu benutzt werden, bestehende Verbindungen zu stören oder ganz zu unterbrechen.
  • Die verschiedenen ICMP-Request Nachrichtentypen (Echo Request, Information Request, Timestamp Request, Address Mask Request) können auf einfache Weise dazu benutzt werden, das interne Netz einer Organisation zu "kartographieren" (ICMP Sweeps).
  • Auch gefälschte ICMP-Reply Nachrichten können dazu benutzt werden, um Informationen über das interne Netz herauszufinden, indem sie die Zielrechner dazu bewegen, auf diese mit einer Fehlermeldung zu antworten.
  • Verschiedene Betriebssysteme unterscheiden sich in der Art und Weise, wie sie auf bestimmte ICMP-Nachrichten reagieren. Neben der Information darüber, dass eine bestimmte Adresse aktiv ist können ICMP-Antworten daher auch verraten, unter welchem Betriebssystem der betreffende Rechner läuft (Fingerprinting).
  • Fehlerhafte Implementierungen von ICMP in einigen Betriebssystemen haben in der Vergangenheit zu Sicherheitsproblemen geführt:
    • Rechner mit Windows 95 konnten durch bestimmte ICMP-Echo Pakete ("Ping of Death") zum Absturz gebracht werden.
    • In ICMP-Antwortpaketen verschiedener Betriebssysteme konnten Ausschnitte aus dem Arbeitsspeicher des betreffenden Rechners enthalten sein. Im Extremfall könnten auf diese Weise Passwörter oder kryptographische Schlüssel an einen externen Rechner übermittelt werden.
  • Jede Art von ICMP-Nachrichten kann auch dafür benutzt werden, einen verdeckten Informationskanal zu schaffen, auf dem Daten aus dem internen Netz nach draußen zu transportiert werden können.

Stand: Stand 2005

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK