ICMP este un protocol care funcţionează la nivelul 3 al modelului OSI (nivelul reţea), nefiind necesară utilizarea unui protocol de transport (TCP sau UDP) sau a unui port de comunicaţie. El este o parte componenta a protocolului IP. Acest protocol permite încapsularea în interiorul cadrului IP a unor informaţii, care o dată ajunse la destinaţia specificată, determină generarea unui răspuns către sursa ICMP, din care se poate deduce timpul de răspuns pe un canal de comunicaţie.
Parametrii ICMP pot fi astfel configuraţi încât să determine generarea unui răspuns din partea fiecărui echipament de comunicaţie tranzitat de pachetele ICMP (comanda „tracert”, „ping route”), obţinându-se şi o imagine a traseului fizic corespunzător canalului de comunicaţie. În cazul în care nodul de destinaţie sau un nod tranzitat nu răspunde la un pachet ICMP, este asociat un mesaj de eroare, care poate oferi informaţii utile în stabilirea cauzelor pentru care nu poate fi atinsă o destinaţie (cale de comunicaţie nefuncţională, rute IP necorespunzătoare etc.).
ICMP-parte componentă a IP
Datagrama ICMP
Cum am spus mai sus, ICMP foloseste IP pentru livrarea mesajelor. Din acest motiv, ICMP nu poate fi nici mai sigur, nici nu poate avea o prioritate mai mare decat orice alt pachet IP. Reteaua poate pierde sau ignora un pachet ICMP la fel ca orice alt pachet IP. In plus, pierderea unui mesaj ICMP poate duce la aparitia unor probleme suplimentare legate de livrarea datelor. In principiu exista doua tipuri de mesaje ICMP:
1. Mesaje de eroare. Apar ca urmare a problemelor legate de livrarea pachetelor IP. Deci, fiecare mesaj ICMP va fi legat de o anumita datagrama IP, continand intotdeauna antetul IP si primii 8 octeti de date din datagrama.
2. Mesaje de interogare. Raporteaza informatii legate de retea sau de un host anume. In general, astfel de mesaje, sunt utilizate in scopul depanarii retelei.
Tipuri de mesaje ICMP
Atacul “smurf”
Ce trebuie stiut despre atacurile SMURF
Atacul de tip „smurf” este caracterizat de trimiterea multor pachete ICMP generand trafic la nivelul adreselor de broadcast IP. Acestea au adresa IP falsificata (spoofed) a victimei. Daca routerul ce directioneaza traficul la aceste adrese face broadcast la nivel 2, majoritatea terminalelor vor raspunde la cererea ICMP cu un „echo reply”, multiplicand traficul cu numarul de terminale ce raspund.
Pentru a opri routerul sa converteasca nivelul 3 de broadcast in nivel 2 broadcast, se foloseste comanda "no ip directed-broadcast" pe toate interfetele active.
Acest tip de atac afecteaza doua categorii de persoane: intermediarul – echipamentele ce genereaza broadcast „amplificatoarele” si adresa IP a victimei. Aceasta din urma este tinta traficului crescut generat de amplificatoare.
Autorii acestor atacuri se bazeaza pe abilitatea de a falsifica sursa pachetelor pentru a genera trafic. Traficul amplificat de catre routere duce la indisponibilitatea serviciului (DoS).
Documentul este oferit gratuit,
trebuie doar să te autentifici in contul tău.