Bundesamt für Sicherheit in der Informationstechnik

G 5.50 Missbrauch des ICMP-Protokolls

Das Internet Control Message Protocol (ICMP) hat als Protokoll der Transportschicht die Aufgabe, Fehler- und Diagnoseinformationen zu transportieren. Durch Missbrauch von ICMP-Nachrichten kann ein Angreifer sowohl den Netzbetrieb stören als auch Informationen über das interne Netz herausfinden, die ihm bei der Planung eines Angriffs nützen:

  • Durch ICMP-Redirect Nachrichten können die Routing-Tabellen von Rechnern manipuliert werden.
  • ICMP-Unreachable Nachrichten können dazu benutzt werden, bestehende Verbindungen zu stören oder ganz zu unterbrechen.
  • Die verschiedenen ICMP-Request Nachrichtentypen (Echo Request, Information Request, Timestamp Request, Address Mask Request) können auf einfache Weise dazu benutzt werden, das interne Netz einer Organisation zu "kartographieren" (ICMP Sweeps).
  • Auch gefälschte ICMP-Reply Nachrichten können dazu benutzt werden, um Informationen über das interne Netz herauszufinden, indem sie die Zielrechner dazu bewegen, auf diese mit einer Fehlermeldung zu antworten.
  • Verschiedene Betriebssysteme unterscheiden sich in der Art und Weise, wie sie auf bestimmte ICMP-Nachrichten reagieren. Neben der Information darüber, dass eine bestimmte Adresse aktiv ist können ICMP-Antworten daher auch verraten, unter welchem Betriebssystem der betreffende Rechner läuft (Fingerprinting).
  • Fehlerhafte Implementierungen von ICMP in einigen Betriebssystemen haben in der Vergangenheit zu Sicherheitsproblemen geführt:
    • Rechner mit Windows 95 konnten durch bestimmte ICMP-Echo Pakete ("Ping of Death") zum Absturz gebracht werden.
    • In ICMP-Antwortpaketen verschiedener Betriebssysteme konnten Ausschnitte aus dem Arbeitsspeicher des betreffenden Rechners enthalten sein. Im Extremfall könnten auf diese Weise Passwörter oder kryptographische Schlüssel an einen externen Rechner übermittelt werden.
  • Jede Art von ICMP-Nachrichten kann auch dafür benutzt werden, einen verdeckten Informationskanal zu schaffen, auf dem Daten aus dem internen Netz nach draußen zu transportiert werden können.

Stand: Stand 2005