Inhaltsverzeichnis:

1.0 Inhaltsverzeichnis 1.0 Inhaltsverzeichnis 2.0 Einführung 3.0 Die Angriffsmöglichkeiten 3.1 ICMP Typ 3 - Destination unreachable 3.2 ICMP Typ 3 Code 4 - Fragmentation needed and DF set 3.3 ICMP Typ 4 - Source Quench 3.4 ICMP Typ 5 - Redirect

ICMP (Internet Controll Message Protocol) ist ein interner Bestandteil des IP-Protokolls, der nicht deaktiviert werden kann. Es dient ausschliesslich des Informierens des Absenders eines Pakets über bestehende Netzwerkprobleme, die bei der Vermittlung des Paketes auftraten. Mittels des Nutzens eines ICMP echo scans kann erkannt werden, welche Hosts in einem Netzwerk ansprechbar sind. Dazu dient meist der Befehl ping. 3.0 Die Angriffsmöglichkeiten ICMP- und IGMP-Nachrichten werden von jener Station versandt, die einen Fehler bemerkt hat und dienen zur Weiterleitung von Informationen über Leitungszustände, Erreichbarkeit von Hosts und der Regelung des Datenflusses. Sie enthalten zur endgültigen Analyse des Fehlers den ursprünglichen IP- und TCP-Header des verschickten Pakets. Häufig werten jedoch auch die dazwischengekommenden Stationen, das können Proxies und Router sein, diese Informationen aus, so dass der Versuch unternommen wird, mit künstlich erzeugten ICMP-Paketen diese Stationen zu speziellen Aktionen zu bewegen. Das zu erreichende Ziel einer solchen Attacke ist eigentlich nur eine (negative) Beeinträchtigung der Netzwerkfunktionen. Es gibt verschiedene Typen von Angriffsmöglichkeiten, welche mittels ICMP durchgeführt werden können:

3.1 ICMP Typ 3 - Destination unreachable

Eine Fehlerhafte Implementation kappt alle Verbindungen (meist nicht nur eine), die zwischen den beiden Hosts besteht, anstatt nur die fehlerhafte Verbindung zu trennen. 3.2 ICMP Typ 3 Code 4 - Fragmentation needed and DF set Es werden immer kürzere Pakete verlangt, was schnell zu einer deutlichen Erhöhung der Netzwerkauslastung führen kann. 3.3 ICMP Typ 4 - Source Quench Diese Nachricht verlangt die Reduktion der Übertragungsrate der Sendestation(en), bis keine "Source Quench"-Nachrichten mehr empfangen werden. Durch das konstante Versenden von "Source Quench" kann der Datenverkehr extrem verlangsamt werden. Das Angriffsziel besteht bei der Änderung der Vermittlungspfade, welche zu einem Systemeinbruch führen können. 3.4 ICMP Typ 5 - Redirect Redirect dient Routern mit minimaler Routinginformation beim Booten die optimale Route zu wählen, um die Konfigurationsdaten zu laden. Aktive Router sollten allerdings ausschliesslich nach ihren Routingtabellen vermitteln. Wenn nun Router auf ICMP-Redirect reagieren, kann der Angreifer mittels IP-Spoofing eine beliebige Anzahl von Umleitungen erzwingen, sogar über sein eigene System, was ein Abhören, Mitschneiden und Herausfiltern stark erleichtert. Abhilfe kann hier nur die Beschränkung des Durchsatzes von ICMP-Paketen sein, denn normalerweise werden pro Zeiteinheit nur wenige ICMP-Pakete verschickt, so dass bei plötzlichem Anstieg ein Alarm ausgelöst werden kann.

4.0 Die Abwehrmassnahmen

Das Deaktivieren von ICMP-Source Quench ist nicht zu empfehlen, da bei einem schnellen Auftreffen von Paketen eine langsame Leitung diese völlig überlasten würde. Andererseits läuft man dabei Gefahr, Opfer einer DoS-Attacke zu werden. Für grosse und wichtige Netzwerke sollte man sich für einen guten Router entscheiden. Solche, wie zum Beispiel die von Cisco, haben "counter intelligence"-Algorithmen eingebaut, die "source quench"-Attacken verhindern sollen. Normale Betriebssysteme, wie zum Beispiel Windows NT und viele Unix-Derivate, dagegen besitzen meist nur das beschränkte Wissen um die Differenzierung zwischen einigen ICMP-Codes, wobei eine intelligente Antwort auf jene meist ausbleibt. Firewalls, die auf dem TCP/IP-Stack eines dieser Betriebssysteme aufsetzen, sind immer eine Gefahr, Opfer einer DoS-Attacke zu werden.