Шта је ИЦМП?
ИЦМП (Интернет Цонтрол Мессаге Протоцол) је протокол који мрежни уређаји (нпр. Рутери) користе за генерисање порука о грешци када мрежни проблеми спречавају пролазак ИП пакета.
Протокол порука о интернетској контроли један је од основних система који Интернет функционише. Иако можда нисте чули за ИЦМП, вероватно сте чули за једну од његових карактеристика: Пинг. У овом водичу ћете сазнати више о овом битном протоколу.
Историја ИЦМП-а
ИЦМП је део ТЦП / ИП сноп протокола. Налази се у улици Интернет Лаиер и то је стандард поруке о грешци који подржава основни Интернет протокол. Оригиналну дефиницију ИЦМП-а написао је Јон Постел, један од оснивача Интернета. Први стандард објављен је у априлу 1981. у РФЦ 777. Од тада је више пута ажуриран. Стабилна дефиниција протокола је садржана у РФЦ 792, који је такође написао Постел, а објавио га Интернет инжењерски радни тим у септембру 1981.
Сврха ИЦМП-а
Иако се слој Интернета нижег нивоа не треба бавити осигуравањем везе, ИЦМП даје мало повратних информација о комуникацији када ствари пођу по злу. Дакле, чак и ако користите УДП, који има а без везе У комуникацијском моделу, још увек је могуће сазнати зашто није успео пренос. Сви уређаји повезани на мрежу могу обрађивати ИЦМП поруке, тако да укључују рутере као и уређаје крајњих тачака. ИЦМП је прилагођен тако да може радити са ИПв6 подједнако темељно колико је служио ИПв4.
Како се овај протокол налази на интернетском слоју, његове поруке носе ИП пакети и тако постоје на вишем нивоу од оперативних структура прекидача. Иако се ИЦМП преноси унутар ИП пакета, он не постоји унутар пакета који носе податке. ИЦМП пакет се генерише само као одговор на долазни пакет података када пренос те улазне поруке не успе. Услови грешке који изазивају ИЦМП пакет често су резултат података садржаних у ИП заглављу неуспелог пакета.
ИЦМП структура пакета
Када рутер рицоцхет врати ИЦМП пакет да пријави грешку, поново креира сва поља у оригиналном ИП заглављу пакета о коме извештава. Дакле, програм за прикупљање грешака на оригиналном рачунару који шаље податке могао би да анализира заглавље и прецизно утврди који од ИП пакета које је послао није успео.
Након ИП заглавља, долази три поља ИЦМП заглавља. Они садрже код који категоризира грешку, поље под-кода које прецизира опис кода грешке и затим контролни зброј. Након ИЦМП поља долази првих осам бајтова корисног оптерећења заглавље Транспортног слоја (ТЦП или УДП).
ИЦМП кодови порука
Прво поље с кодом у ИЦМП блоку садржи неке врло корисне информације. Код је нумерички и ево неких занимљивијих вредности које поље може да има:
0: одговор еха – користи се за пинг
3: дестинација недоступна
4: гаси извор – рутер је преоптерећен
5: преусмеравање – користите други рутер
8: Захтев за ехо – користи се за пинг
9: одговор на оглашавање рутера
10: тражење рутера
11: прекорачено време – користи се за проналажење трагова
Време је да живим
Једно од поља ИП заглавља које је најпознатије по изазивању ИЦМП грешке је Време је да живим поље (ТТЛ). Ово поље садржи број који изражава максимални број рутера кроз који пакет може проћи. Овај број се смањује за један, сваки рутер који обрађује пакет. Ако усмјеривач прими пакет са нултом ТТЛ-ом, испусти тај пакет и шаље ИЦМП поруку натраг покретачу тог неуспелог преноса.
У случају исцрпљености ТТЛ-а, разлог пакета који није успио доћи до свог одредишта нема никакве везе с проблемима рутера или неисправним подацима у заглављу пакета. ТТЛ је конструкција која је створена како би се спречило да рогуе пакети зачепе Интернет када су грешке табеле усмјерника резултирале кружним путањама. Међутим, нуспродукт овог поља је веома користан алат за администрацију мреже: Трацероуте.
Такође видети: Преглед алатки Трацероуте СоларВиндс
Трацероуте са ИЦМП-ом
Трацероуте је добро познат мрежни алат који приказује типичну путању од рачунара који се покреће до одређене ИП адресе. Услужни програм шаље низ празних ИП пакета. Важна карактеристика сваког од ових преноса је ТТЛ вредност у ИП заглављу.
Програм Трацероуте започиње са слањем пакета ван а ТТЛ од 0. Ово ће испасти први рутер који га прими, а то је обично мрежни пролаз. Тај усмјеривач шаље ИЦМП пакет. Једини подаци које Трацероуте жели из тог одговора су време које је потребно да се врати и адреса извора пакета. То говори Трацероуте адреси првог рутера на путу до одредишта. Програм тада шаље пакет са ТТЛ од 1. Ово долази кроз гатеваи, који смањује ТТЛ за 1. Рутер који добије пакет види да је ТТЛ једнак нули, испусти пакет и шаље назад ИЦМП пакет. Тако се открива други усмјеривач на путу и Трацероуте биљежи вријеме које му је било потребно да стигне одговор. Повећавањем ТТЛ-а за 1 са сваким преносом, Трацероуте на крају прави мапу свих веза на Интернету до дате адресе.
Трацероуте проблеми
Трацероуте је врло једноставан алат који користи постојећу административну функцију и чини је ефикасан и информативан алат ван тога. Постоји пар слабих тачака са Трацероуте-ом.
Мрежни администратор ће вероватно користити услужни програм како би видео зашто је недавна веза прошла тако лоше – или споро или неуспешно. Међутим, Трацероуте вам не може рећи шта се догодило у прошлости. Може вам дати само повратне информације о току тренутне руте.
Сви рутери сами одлучују о томе који од њихових комшија нуди најкраћи пут до одредишне ИП адресе у пакету. Међутим, та одлука можда неће увек бити потпуно иста. Ако се усмјеривач загуши или искључи, сусједни усмјеривачи ускоро сазнају за проблем и прилагодите своје табеле за усмјеравање како би ријешили проблем. Те измењене информације о рутирању прелазе на све рутере на Интернету, али проблем може бити ријешен прије него што сви усмјеривачи сазнају за то. Тада се поново прилагођена рута шири широм свијета.
Опција са командом, „-ј“Омогућава вам да одредите адресе рутера које желите да Трацероуте прати као путању. Међутим, да бисте користили овај објекат, мораћете већ знам стазу којом је кренуо неисправан мењач а те информације можете добити само с извршавањем Трацероуте-а на потпуно истом путу.
Дакле, ако осјетите спору везу, наредба Трацероуте коју касније издате можда неће открити шта се догодило јер до тада Проблем који је проузроковао кашњење можда је ријешен и ваша Трацероуте стаза можда није иста путања коју користи спора веза.
Још један проблем Трацероуте-а је што он пружа занимљив приказ на путу којим ће ваш пренос прећи вероватно до одређеног одредишта. Међутим, не даје вам никакве алате да учините било шта са информацијама које примите. Стазу није могуће одредити, па ако видите да један од рутера на Интернету даје споро време одзива, све што можете учинити је да знате који рутер успорава ваше везе. Како тај усмјеривач не припада вашој компанији и не можете га убрзати, стекли сте знање кроз Трацероуте, али не можете на њему да делујете.
Такође видети: Најбољи алати за Трацероуте
ИЦМП Пинг
Пинг користи два ИЦМП кода: 8 (ецхо захтјев) и 0 (одговор ехо). Када издате наредбу Пинг у одзиву, програм Пинг шаље ИЦМП пакет који садржи код 8 у пољу Тип поље. Одговор ће имати: Тип од 0. Програм пута разликује јаз између слања пакета захтева за ехо и доласка одговора. Дакле, можете добити “вријеме повратног путовања“Пакета до одређеног одредишта и назад.
Пакет ехо захтјева необичан је по томе што је једини ИЦМП пакет који се шаље без да га изазове грешка. Дакле, Пинг не мора да опонаша стање грешке да би вратио ИЦМП поруку. Пинг има две опције које вам омогућавају да одредите листу адреса за пут којим треба да се крене. Су “-ј„, Који сугерише руту и“-к“, Која диктира руту.
ИЦМП Пинг порт
Можда се питате који порт користи Пинг. Одговор је: ниједан. Ако неки услужни програм омогућава „пинг“ порта, то није буквално Пинг команда. Уместо тога, овај услужни програм користи ТЦП или УДП пакет за тестирање порта. Истина, ова врста функције се назива “порт скенер” или “порт цхецкер.“
Пинг не може да користи портове јер је то протокол који постоји на нижем нивоу од тхе Транспорт Лаиер, где су портови главна карактеристика.
Најближа метода доступном извештају ИЦМП Пинг порта је послати УДП пакет на одређени порт. Ако тај порт није активан, пренос ће изазвати ИЦМП поруку од домаћина типа 3 (одредиште недоступно) подтип 3 (одредишни порт недоступан). Дакле, иако је могуће испровоцирати ИЦМП поруку о порту, није могуће користити Пинг механизам за слање ИЦМП пакета на тај порт, у првом реду као захтев за ехо. Ако ставите број порта на ИП адресу у Пинг команди (тј. Пинг :), наредба се неће покренути, већ ће уместо њега вратити синтаксичку грешку.
Патхпинг
Патхпинг је услужни програм који јесте уграђен у Виндовс оперативни систем а доступан је у свим верзијама од Виндовс НТ. Овај програм је комбинација Пинг и Трацероуте, тако да експлоатише три врсте ИЦМП порука. Ово су врста захтева за ехо и одговор ехо одговора (8 и 0) и време премашеног времена поруке (11).
Као и код Трацероуте-а и Пинг-а, могуће је дати списак адреса за предложени пут као параметар наредби и услужни програм ће покушати послати пакет до одредишта преко тих адреса.
Патхпинг производи форматирани извјештај о резултатима који показује руту и временима повратног путовања на сваки рутер. Послаће поновљене пинг захтеве сваком рутеру на путу, а не само да се више пута контактира на одредиште. То ради Пинг или само евидентирање сваког рутера на путу једном, што Трацероуте и ради.
Патхпинг није тако еластичан као Пинг или Трацероуте. Иако је сваки уређај на Интернету способан за слање ИЦМП порука, нису на сваком уређају активиране његове ИЦМП функције. Неки власници рутера и сервера намерно искључују ИЦМП функције као заштиту од хакерског напада.
Ако средњи усмјеривач неће користити ИЦМП, Пинг ће и даље проћи кроз тај усмјеривач како би тестирао одредиште. Ако Трацероуте наиђе на усмјеривач који неће послати ИЦМП пакете, он једноставно прелази на сљедећи усмјеривач, представљајући линију звјездица за некомуникативни усмјеривач. У истој ситуацији, Патхпинг завршава своје упите на рутеру који је ИЦМП искључен.
Смурф напад
Главни разлог због којег неки власници опреме искључују ИЦМП могућности својих уређаја је тај што систем могу користити хакери као проводник за нападе. Напад Смурфа је један такав случај.
Смурф напад користи стратегију рефлектора. Не напада директно мету, већ позива друге рачунаре и рутере да шаљу поруке жртви. Нападач израђује емитовану адресу која се користи у мрежи жртве, а затим шаље ИЦМП захтев за ехо (Пинг). Сваки уређај у мрежи ће поново послати ехо одговор на рутер који је домаћин емитовања ИП адресе.
Овај напад дјелује само на великим мрежама. То ефективно изазива напад дистрибуираног ускраћивања услуге (ДДоС) из мреже, док се већина напада покреће путем удаљених рачунара преко Интернета.. Напад напада може се спречити искључивањем ИЦМП могућности на гатеваи рутеру или филтрирањем прихватања захтева који носе емитовану ИП адресу мреже на пакетима који долазе у мрежу са удаљене локације.
Пинг поплава
Поплава Пинг-а је ДДоС стратегија која свладава циљни рачунар ИЦМП захтеви за ехо. Неке имплементације Пинга функционишу боље него друге. На пример, напад је ефикаснији ако се Пинг наредба покрене са „поплава” опција. Међутим, ова опција није доступна код свих верзија Пинга – није валидна опција на верзији која је уграђена у Виндовс, на пример. Чињеница да опција поплаве није универзална представља проблеме хакерима који желе да усмере удаљене рачунаре заражене а ботнет контролни програм за слање Пинг захтева. Пошто је опција поплаве ретка, вероватно је да је тако већина уређаја на ботнету неће моћи да покрене напад.
Ова стратегија напада имала би више успеха када би хакер осигурао да сви заражени рачунари користе покушај покретања напада, када би у њиховим Пинг имплементацијама била доступна опција поплава. Један од начина да се осигура то би било тестирање рачунара пре било каквог напада и категоризација група која има прави облик Пинга, или да инсталирате Пинг са омогућеним поплавама на све рачунаре који су заражени ботнет вирусом.
Најједноставнија одбрана од поплаве Пинга јесте искључите ИЦМП могућности на рутеру. Ако користите веб сервер, онда би ватрозид веб апликације требало да вас заштити од поплава Пинга.
Пинг смрти
Пинг оф Деатх укључује слање дугих пакета захтева за пинг. Захтев ће имати велику количину испуниоца на крају у корисном оптерећењу. Како је датаграм предуг за пренос, процесор Интернет протокола раздвојиће низ на комаде који су величине пошиљаочеве јединице за максимални пренос (МТУ). Пријемник ће приметити да је ово екстра дугачки пакет који је разбијен и покушајте да се састави оригинални, дугачки пакет пре него што га пошаљете на одредишну апликацију. Ако је дужина пакета већа од бајта од величине доступне меморије у рачунару који прима, покушај поновног састављања пакета ће заглавити рачунар.
Пинг оф Деатх је сада добро позната врста напада и тако заштитни зидови и системи за откривање провале могу да га примете и блокирају. Као и код сваког хакерског трика који постаје познат, његова ефикасност више не пријети. Дакле, хакери су у великој мјери одустали од стратегије Пинг смрти у корист Пинг поплава.
ИЦМП тунел
Рутери само гледају заглавље ИЦМП пакета, укључујући ТЦП / УДП заглавље које може бити иза ИЦМП података. Тако нормалан пакет с пуно података у њему прошао би само онолико колико је у њему имао ИЦМП одјељак. Ово је потенцијално стражња врата да посетиоци обилазе поступке за оверу и наплату јавних мрежа. То се назива ИЦМП тунел или Пинг тунел.
Тунелирање кроз пролазе и заштитне зидове није могуће само уз стандардни мрежни Пинг услужни програм који већина људи има на својим рачунарима. ИЦМП тунел би требао бити програмиран. Ово је такође могућа рута у мрежу за хакере. Нажалост, за администраторе мреже, постоји неколико бесплатних пакета тунела ИЦМП који се могу преузети са Интернета.
Као и код претходне две врсте ИЦМП напада, Пинг тунели могу бити блокирани заштитним зидовима веб апликација, системима за детекцију упада или једноставним блокирањем свих ИЦМП активности на мрежном пролазу.
Напад Твинга
Твинге је програм хакерског напада. Покреће се поплава ИЦМП-а преплавити циљни рачунар. Иако се чини да сви Пинг захтеви које циљ прима потичу из различитих извора, сви су они заправо из истог извора, сваки са лажном ИП адресом у заглављу. Твинге је вероватно само преименован услужни програм Пинг са примењеном опцијом „поплава“. То би било врло корисно средство за ботнет власници да се учитају на своје зомби рачунаре како би се лансирали Пинг напади поплава.
У суштини, Поплава Твинге је иста као поплава Пинга а решења за заштиту мреже од ње иста су као и за главну категорију ДДоС напада путем ИЦМП-а: искључите ИЦМП, инсталирајте заштитни зид веб апликације или заштитни зид са заштитним зидом или инсталирајте систем за откривање упада.
Откривање МТУ путање
Јединица за максимални пренос (МТУ) је поставка на мрежним уређајима која диктира најдужа дужина ИП пакета које уређај треба да обрађује. Изражава се у октета, што је осмостати бајт. Оригинална МТУ препорука за Интернет протокол била је 576 октета. Међутим, Етхернет стандард препоручује 1.500 октета и ово је постало стандард за све мрежне и интернетске уређаје.
Могуће је подесити МТУ поставке на било којем рутеру. Тако, ако ваши пакети прођу кроз рутер са нижим МТУ-ом, сваки ће бити подељен на два ИП пакета. Ово успорава испоруку ваших трансфера јер прималац мора поново саставити оригинални пакет да би могао да напредује до обраде транспортног слоја а затим се пребаци на одредишну апликацију.
Такође је у ИП заглављу могуће навести оно цепање, које се назива „фрагментација”Не би требало да се обавља на пакету. У том случају, усмјеривач с МТУ-ом мањим од дужине пакета ће испустити пакет и након тога извијестити о ИЦМП-у. Ова порука о грешци била би од типа ИЦМП 3 (одредиште недоступно) подтип 4 (потребна је фрагментација, али је постављена застава „не фрагмент“).
Покушај откривања Патх МТУ-а решава проблем фрагментираних или испуштених пакета. Ако можете сазнати најнижу МТУ на путу којим ће ићи ваш пренос, једноставно морате да поставите свој МТУ на ту величину.
Механизам откривања имплементиран је горе описаним процедурама квара. ИП пакет излази на одредиште са подстављеним корисним оптерећењем како би достигао величину МТУ пошиљатеља и ознаку „не фрагментирај”Постављена застава Ако се то пробије, не бисте требали имати проблема са везама до одредишта на које сте послали тест пакет. Ако преношење изазове ИЦМП грешку, једноставно бисте покушали поновити тест, смањује дужину пакета сваки пут. Са овим ћете на крају послати пакет који прође, а дужина тог пакета ће вам рећи најнижу МТУ на путу до вашег одредишта.
Пинг има могућност подешавања „не фрагментирајЗастава. Међутим, ово ће бити ефикасно само ако је Пинг пакет дужи од МТУ-а усмјерника на његовом путу. Пинг се не слаже са вашом МТУ величином, тако да је сумњиво да ће се кратки Пинг пакет икад одбацити.
Тхе Линук заснован ИПутилс пакет садржи трацепатх, који ће извршити откривање МТУ пута за вас. на Виндовс рачунари, можете проверити бесплатни услужни програм мтуроуте.
ИЦМП свет
ИЦМП систем је веома једноставан механизам за извештавање о кварама у преносу. Међутим, такође је један од најмоћнијих скупова алата који су доступни мрежним администраторима. Добра вест је то ИЦМП је бесплатан и аутоматски доступан на било којем уређају повезаном на мрежу. Лоша вест је то ИЦМП могу да користе хакери да формирате нападе или чак провучете везе кроз фиревалл.
Чињеница да се ИЦМП може злонамјерно користити подстиче многе мрежне администраторе који спречавају ризик да искључе систем за размену порука. Ово је срамота јер онемогућује пуно корисних услужних програма који су описани у овом водичу.
Ако имате мрежу, а посебно ако имате рутер који пролази интернет саобраћај, размислите о кориштењу заштитних зидова и система за откривање провале да бисте блокирали ИЦМП злоупотребу уместо да потпуно искључите протокол за размену порука. Истражите подешавања и функције управљачког софтвера вашег рутера да бисте утврдили да ли има ИЦМП поступке за решавање злоупотребе који ће вам омогућити да наставите са управљањем ИЦМП-ом на уређају.
Да ли користите ИЦМП методе за провјеру својих веза? Имате ли ИЦМП-ов ГУИ алат који редовно користите и који можете да препоручите другима? Да ли сте искључили ИЦМП на усмјеривачу да бисте заштитили мрежу? Оставите поруку у Коментари одељак испод и поделите своја искуства.
