Administrateur Réseau

Qu’est-ce qu’ICMP ? Le protocole de message de contrôle Internet expliqué

Qu



Qu’est-ce qu’ICMP ?

ICMP(Protocole de message de contrôle Internet) est un protocole que les périphériques réseau (par exemple les routeurs) utilisent pour générer des messages d'erreur lorsque des problèmes de réseau empêchent le passage des paquets IP.

L’Internet Control Message Protocol est l’un des systèmes fondamentaux qui font fonctionner Internet.



Contenu [ cacher ]

L'histoire de l'ICMP

ICMP fait partie du TCP/IP pile de protocoles. Il est stationné auCouche Internetet il s'agit d'une norme de message d'erreur qui prend en charge le protocole Internet de base. La définition originale d'ICMP a été écrite parJon Postel, l'un des fondateurs d'Internet. La première norme a été publiée en avril 1981 dans la RFC 777. Elle a depuis été mise à jour à plusieurs reprises. La définition stable du protocole est contenue dans RFC792 , également écrit par Postel et publié par leGroupe de travail sur l'ingénierie Interneten septembre 1981.



Le but de l'ICMP

Bien que la couche Internet de niveau inférieur ne soit pas censée s'occuper de l'assurance de la connexion,ICMP donne un petit retour sur les communications lorsque les choses tournent mal. Ainsi, même si vous utilisez UDP, qui possède unsans connexionmodèle de communication, il est toujours possible de découvrir pourquoi une transmission a échoué. Tous les appareils connectés au réseau peuvent traiter les messages ICMP, ce qui inclut les routeurs ainsi que les appareils terminaux.ICMP a été adapté pour pouvoir fonctionner avec IPv6 tout aussi minutieusement qu'il a servi IPv4.

Comme ce protocole réside au niveau de la couche Internet,ses messages sont transportés par des paquets IPet existent donc à un niveau supérieur aux structures opérationnelles des commutateurs. Bien que l'ICMP soit transporté dans le paquet IP, il n'existe pas dans les paquets transportant des données. Un paquet ICMP n'est généré qu'en réponse à un paquet de données entrant lorsque la transmission de ce message entrant échoue. Les conditions d'erreur qui provoquent un paquet ICMP sont souvent le résultat de données contenues dans l'en-tête IP du paquet défaillant..

Structure des paquets ICMP

Lorsqu'un routeur ricoche un paquet ICMP pour signaler une erreur, il recrée tous les champs de l'en-tête IP d'origine du paquet sur lequel il fait rapport. Ainsi, un programme de collecte d'erreurs sur l'ordinateur d'envoi d'origine pourrait analyser l'en-tête et déterminer exactement lesquels des paquets IP envoyés ont échoué.

Après l'en-tête IP, vientl'en-tête ICMP à trois champs. Ceux-ci contiennent un code qui catégorise l'erreur, un champ de sous-code qui affine la description du code d'erreur, puis une somme de contrôle. Après le champ ICMP viennent les huit premiers octets de la charge utile, qui sont en réalitél'en-tête de la couche de transport(TCP ou UDP).

Codes de messages ICMP

Le premier champ de code du bloc ICMP contient des informations très utiles. Le code est numérique et voici quelques-unes des valeurs les plus intéressantes que le champ peut avoir :

0 : réponse d'écho – utilisé pour le ping

3 : destination inaccessible

4 : source quench – le routeur est surchargé

5 : redirection – utiliser un autre routeur

8 : demande d'écho – utilisée pour le ping

9 : réponse à l'annonce du routeur

10 : sollicitation du routeur

11 : temps dépassé – utilisé pour traceroute

Temps de vivre

L'un des champs d'en-tête IP les plus connus pour provoquer une erreur génératrice d'ICMP est leTemps de vivrechamp (Durée de vie). Ce champ contient un nombre qui exprimele nombre maximum de routeurs par lesquels le paquet peut passer. Ce nombre est diminué de un par chaque routeur qui traite le paquet.Si un routeur reçoit un paquet avec un TTL de zéro, il abandonne ce paquetet renvoie un message ICMP à l'expéditeur de cette transmission ayant échoué.

Dans le cas d'un épuisement de la durée de vie TTL, la raison pour laquelle un paquet ne parvient pas à atteindre sa destination n'a rien à voir avec des problèmes de routeur ou des données mal formées dans l'en-tête du paquet. Le TTL est une construction créée pour empêcher les paquets malveillants d'encombrer Internet.lorsque des erreurs de table de routage entraînaient des chemins circulaires. Cependant, un sous-produit de ce domaine est un outil d'administration réseau très utile :Traceroute.

Voir également: Examen des outils SolarWinds Traceroute

Traceroute avec ICMP

Traceroute est un outil d'administration réseau bien connu qui affiche le chemin typique depuis l'ordinateur de lancement jusqu'à une adresse IP de destination donnée. L'utilitaire envoie une série de paquets IP vides. La caractéristique importante de chacune de ces transmissions est la valeur TTL dans l'en-tête IP.

Le programme Traceroute commence par envoyer un paquet avecun TTL de 0. Celui-ci sera abandonné par le premier routeur qui le recevra, qui est généralement la passerelle réseau. Ce routeur renvoie un paquet ICMP. Les seules informations que Traceroute attend de cette réponse sontle temps qu'il faut pour revenir et l'adresse source du paquet. Cela indique à Traceroute l'adresse du premier routeur sur le chemin vers la destination. Le programme envoie ensuite un paquet avecun TTL de 1. Cela passe par la passerelle, ce qui diminue la durée de vie de 1. Le routeur qui reçoit ensuite le paquet voit que la durée de vie est nulle, abandonne le paquet etrenvoie un paquet ICMP. Ainsi, le deuxième routeur du chemin est révélé et Traceroute note le temps qu'il a fallu pour que cette réponse arrive. En augmentant le TTL de 1 à chaque transmission,Traceroute construit finalement une carte de tous les liens sur Internet vers l'adresse donnée.

Problèmes de traceroute

Traceroute est un outil très simple qui profite d'une fonction administrative préexistante et permetun utilitaire efficace et informatifen dehors de ça. Il y a quelques points faibles avec Traceroute.

Un administrateur réseau utilisera probablement cet utilitaire pour comprendre pourquoi une connexion récente s'est si mal déroulée – soit lentement, soit en échec. Cependant,Traceroute ne peut pas vous dire ce qui s'est passé dans le passé. Il ne peut que vous donner un retour sur la progression de l'itinéraire en cours.

Les routeurs décident chacun de leurs voisins lequel de leurs voisins offre le chemin le plus court vers l'adresse IP de destination d'un paquet. Cependant, cette décision n’est peut-être pas toujours la même à chaque fois. Si un routeur est encombré ou éteint, les routeurs voisins découvrent rapidement le problème etajuster leurs tables de routage pour contourner le problème. Ces informations de routage modifiées sont répercutées sur tous les routeurs sur Internet, maisle problème peut être résolu avant que tous les routeurs ne le découvrent. Ensuite, l’itinéraire réajusté se propage à travers le monde.

Une option avec la commande «-j» vous permet de préciser les adresses des routeurs que vous souhaitez que Traceroute suive comme chemin. Cependant, pour utiliser cette fonctionnalité, vous devrezje connais déjà le chemin emprunté par une transmission défectueuseet vous ne pouvez obtenir ces informations qu'avec une exécution Traceroute exactement du même chemin.

Donc, si vous rencontrez une connexion lente,la commande Traceroute que vous émettez par la suite pourrait ne pas révéler ce qui s'est passéparce qu'à ce moment-là. Le problème à l'origine du retard a peut-être été résolu et votre chemin Traceroute n'est peut-être pas le même que celui utilisé par la connexion lente.

Un autre problème avec Traceroute est qu'il donne un affichage intéressant sur le chemin que votre transmission empruntera probablement vers un hôte de destination donné. Cependant, il ne vous donne aucun outil pour faire quoi que ce soit avec les informations que vous recevez . Il n'est pas possible de spécifier un chemin, et donc si vous voyez que l'un des routeurs sur Internet donne un temps de réponse lent, tout ce que vous pouvez faire est de savoir quel routeur ralentit vos connexions. Comme ce routeur n'appartient pas à votre entreprise et que vous ne pouvez pas l'accélérer, vous avez acquis des connaissances grâce à Traceroute mais ne pouvez pas agir en conséquence .

Voir également: Meilleurs outils pour Traceroute

Ping ICMP

Ping utilise deux codes ICMP : 8 ( demande d'écho ) et 0 ( réponse d'écho ). Lorsque vous émettez la commande Ping à l'invite, le programme Ping envoie un paquet ICMP contenant le code 8 dans le Taper champ. La réponse aura un Taper de 0. Le programme chronomètre l'intervalle entre l'envoi du paquet de demande d'écho et l'arrivée de la réponse. Ainsi, vous pouvez obtenir le « temps de parcours ' d'un paquet vers le réseau de destination donné et retour.

Le paquet de demande d'écho est inhabituel dans la mesure où il s'agit du seul paquet ICMP envoyé sans être provoqué par une erreur. Ainsi, Ping n’a pas besoin d’émuler une condition d’erreur pour récupérer un message ICMP. Ping propose deux options qui vous permettent de spécifier une liste d'adresses pour le chemin que la transmission doit emprunter. Ceux-ci sont '-j», qui suggère un itinéraire et «-k», qui dicte l’itinéraire.

Voir également: Meilleurs outils de balayage Ping

Port ping ICMP

Vous vous demandez peut-êtrequel port Ping utilise. La réponse est:aucun. Si un utilitaire vous permet de « pinger » un port, il ne s’agit pas littéralement de la commande Ping. Au lieu de cela, cet utilitaire utilise un paquet TCP ou UDP pour tester un port. En vérité, ce type de fonction est appelé « » scanner de ports ' ou 'vérificateur de ports

Ping ne peut pas utiliser les ports car il s'agit d'un protocole qui existe à un niveau inférieur auCouche de transport, où les ports sont une fonctionnalité majeure.

La méthode la plus proche d'un rapport de port ICMP Ping disponible consiste àenvoyer un paquet UDP à un port spécifique. Si ce port n'est pas actif, la transmission provoquera un message ICMP de l'hôte de type 3 (Destination inaccessible) sous-type 3 (port de destination inaccessible). Ainsi, bien qu'il soit possible de provoquer un message ICMP concernant un port, il n'est pas possible d'utiliser le mécanisme Ping pour envoyer un paquet ICMP à ce port en premier lieu sous forme de demande d'écho. Si vous ajoutez un numéro de port à l'adresse IP dans une commande Ping (c'est-à-dire ping:) la commande ne se lancera pas mais renverra une erreur de syntaxe à la place.

Cheminement

Pathping est un utilitaire qui estintégré au système d'exploitation Windowset il est disponible dans toutes les versions depuis Windows NT. Ce programme est une combinaison dePingetTraceroute, donc il exploitetrois types de messages ICMP. Il s'agit du type de message de demande d'écho et de réponse d'écho (8 et 0) et du type de message de dépassement de temps (11).

Comme avec Traceroute et Ping , il est possible de donner une liste d'adresses pour un chemin proposé en paramètre à la commande et l'utilitaire tentera d'envoyer un paquet au réseau cible via ces adresses.

Pathping produit un rapport de résultats formaté qui montrel'itinéraire et les horaires aller-retourà chaque routeur. Il enverra des requêtes ping répétées à chaque routeur du chemin plutôt que de simplement contacter la destination à plusieurs reprises. C'est ce que fait Ping, ou simplement enregistrer une fois chaque routeur du chemin, ce que fait Traceroute.

Pathping n'est pas aussi résilient que Ping ou Traceroute. Bien que tous les appareils sur Internet soient capables d'envoyer des messages ICMP,tous les appareils n'ont pas leurs fonctions ICMP activées. Certains propriétaires de routeurs et de serveurs désactivent intentionnellement les fonctions ICMP pour se protéger contre les attaques de pirates.

Si un routeur intermédiaire n'utilise pas ICMP, Ping passe toujours par ce routeur pour tester la destination. Si Traceroute rencontre un routeur qui n'enverra pas de paquets ICMP, il passe simplement au routeur suivant, présentant une ligne d'astérisques pour le routeur non communicatif. Dans la même situation,Pathping termine ses recherches sur le routeur sur lequel ICMP est désactivé.

Attaque de Schtroumpf

La principale raison pour laquelle certains propriétaires d'équipements désactivent les capacités ICMP de leurs appareils est que le système peut être utilisé par les pirates comme canal d'attaque. L’attaque des Schtroumpfs en est un exemple.

L'attaque des Schtroumpfs utilise une stratégie de réflecteur. Il n’attaque pas directement la cible, mais invoque d’autres ordinateurs et routeurs pour envoyer des messages à la victime. L'attaquant détermine l'adresse de diffusion utilisée sur le réseau de la victime puis envoie une requête d'écho ICMP (Ping). Chaque appareil du réseau enverra une réponse d'écho au routeur qui héberge cette adresse IP de diffusion.

Cette attaque ne fonctionne que sur les grands réseaux. Cela provoque effectivement une Déni de service distribué (DDoS) depuis le réseau, alors que la plupart des attaques sont lancées via des ordinateurs distants sur Internet. Le type d'attaque peut être évité en désactivant les fonctionnalités ICMP sur le routeur passerelle ou en filtrant l’acceptation des demandes transportant les informations d’adresse IP diffusées du réseau sur les paquets entrant dans le réseau depuis un emplacement distant.

Inondation de ping

Une inondation Ping est une stratégie DDoS qui submerge un ordinateur cible avec Requêtes d'écho ICMP . Certaines implémentations de Ping fonctionnent mieux que d’autres. Par exemple, l’attaque est plus efficace si la commande Ping est lancée avec le « inondation ' option. Cependant, cette option n'est pas disponible avec toutes les versions de Ping – ce n'est pas une option valide sur la version intégrée à Windows , Par exemple. Le fait que l'option Flood ne soit pas universelle pose des problèmes aux pirates informatiques qui souhaitent diriger des ordinateurs distants infectés par un réseau de zombies programme de contrôle pour envoyer les requêtes Ping. L'option inondation étant rare, il est probable que la plupart des appareils du botnet ne pourront pas lancer l'attaque .

Cette stratégie d'attaque aurait plus de succès si le pirate informatique s'assurait que tous les ordinateurs infectés ayant tenté de lancer l'attaque disposaient de l'option Flood disponible dans leurs implémentations Ping. Une façon de s’en assurer serait de tester les ordinateurs avant toute attaque et de les catégoriser.un groupe qui a la bonne forme de Ping, ou pour installer un Ping compatible avec les inondations sur tous les ordinateurs infectés par le virus botnet.

La défense la plus simple contre une inondation Ping est dedésactiver les capacités ICMPsur le routeur. Si vous utilisez un serveur Web, alors un Firewall d'applications Web devrait vous protéger des inondations Ping.

Ping de la mort

Le Ping of Death implique l’envoi de paquets de requêtes ping trop longs.La requête aura une grande quantité de remplissage à la fin dans la charge utile. Comme le datagramme est trop long pour être transmis, le processeur de protocole Internet divisera la chaîne en morceaux de la taille de l'unité de transmission maximale (MTU) de l'expéditeur. Le destinataire remarquera qu'il s'agit d'un paquet très long qui a été divisé et essaierapour remonter le long paquet d'origineavant de l'envoyer vers son application de destination. Si la longueur du paquet est supérieure à la taille de la mémoire disponible sur l'ordinateur récepteur, la tentative de réassemblage du paquet bloquera l'ordinateur.

Ping of Death est désormais un type d'attaque bien connuet donc des pare-feu avec état et systèmes de détection d'intrusion peut le repérer et le bloquer. Comme pour toute astuce de hacker connue, son efficacité n’est plus menaçante. Ainsi, les hackers ont largement abandonné la stratégie Ping of Death au profit de la stratégie Ping of Death.Inondation de ping.

Tunnel ICMP

Les routeurs examinent uniquement les en-têtes d'un paquet ICMP, y compris l'en-tête TCP/UDP qui pourrait se trouver derrière les données ICMP. Doncun paquet normal contenant beaucoup de données serait transmis tant qu'il contenait une section ICMP. C'est potentiellementune porte dérobéeaux visiteurs de contourner les procédures d'authentification et de facturation des réseaux publics.C'est ce qu'on appelle un tunnel ICMP ou tunnel Ping..

Il n’est pas possible de passer à travers les passerelles et les pare-feu uniquement avec l’utilitaire réseau Ping standard que la plupart des gens ont sur leur ordinateur.Il faudrait programmer un tunnel ICMP. C'est également une voie possible vers un réseau pour un pirate informatique. Malheureusement, pour les administrateurs réseau,il existe un certain nombre de packages de tunnel ICMP gratuits disponibles en téléchargement sur Internet.

Comme pour les deux types d'attaques ICMP précédents,Les tunnels ping peuvent être bloqués par des pare-feu d'applications Web, des systèmes de détection d'intrusion ou simplement en bloquant toute activité ICMP.à la passerelle du réseau.

Attaque de pincement

Twinge est un programme d'attaque de pirate informatique. Il lanceune inondation ICMPpour submerger un ordinateur cible. Bien que toutes les requêtes Ping reçues par la cible semblent provenir de nombreuses sources différentes, elles proviennent en réalité toutes de la même source., chacun avec une fausse adresse IP source dans l'en-tête. Twinge n'est peut-être qu'un utilitaire Ping renommé avec l'option « inondation » implémentée. Cela constituerait un outil très utile pourréseau de zombiesles propriétaires de charger sur leurs ordinateurs zombies afin de lancerAttaques d'inondation de ping.

Essentiellement,une inondation Twinge est la même chose qu'une inondation Pinget les solutions pour en protéger un réseau sont les mêmes que pour la principale catégorie d'attaque DDoS via ICMP :désactivez ICMP, installez un pare-feu d'application Web ou un pare-feu dynamique, ou installez un système de détection d'intrusion.

Découverte du chemin MTU

L'unité de transmission maximale (MTU) est un paramètre sur les appareils compatibles réseau qui dictela plus longue longueur de paquets IP que l'appareil doit traiter. Il s'exprime dansoctets, qui est un octet de huit bits. La recommandation MTU originale pour le protocole Internet était de 576 octets. Cependant, la norme Ethernet recommande1 500 octetset c'est devenu la norme pour tous les appareils réseau et Internet.

Il est possible d'ajuster les paramètres MTU sur n'importe quel routeur. Donc,si vos paquets passent par un routeur avec un MTU inférieur, chacun sera divisé en deux paquets IP. Cela ralentit la livraison de vos transferts car le paquet d'origine doit être réassemblé par le destinataire avant de pouvoir progresser.au traitement de la couche de transportpuis transmis à l'application de destination.

Il est également possible de préciser dans l'en-tête IP ce fractionnement, qui est appelé «fragmentation» ne doit pas être effectué sur le paquet. Dans ce cas, un routeur avec une MTU inférieure à la longueur du paquet abandonnera le paquet, puis fera rapport avec une notification d'erreur ICMP. Ce message d'erreur serait de type ICMP 3 (Destination inaccessible) sous-type 4 (fragmentation requise mais l'indicateur « ne pas fragmenter » est défini).

Une tentative de découverte de Path MTU contourne le problème des paquets fragmentés ou abandonnés. Si vous pouvez trouver le MTU le plus bas sur le chemin emprunté par votre transmission, il vous suffit de définir votre propre MTU à cette taille.

Le mécanisme de découverte est mis en œuvre par les procédures de défaillance décrites ci-dessus. Un paquet IP est envoyé vers une destination prévue avec la charge utile complétée pour atteindre la taille MTU de l'expéditeur et le ' ne fragmente pas ' drapeau placé. Si cela réussit, vous ne devriez avoir aucun problème avec vos connexions à l’hôte de destination auquel vous avez envoyé le paquet de test. Si la transmission provoque une erreur ICMP, vous devrez simplement essayer le test à plusieurs reprises, réduire la longueur du paquet à chaque fois . Avec cela, vous finirez par envoyer un paquet qui passera et la longueur de ce paquet vous indiquera le MTU le plus bas sur le chemin vers votre destination.

Ping a une option pour définir le ' ne fragmente pas ' drapeau. Cependant, cela ne sera efficace que si le paquet Ping est plus long que les MTU des routeurs sur son chemin. Le ping ne correspond pas à la taille de votre MTU , il est donc peu probable qu'un court paquet Ping soit un jour abandonné.

LeBasé sur Linux IPutils Le package contient tracepath, qui effectuera la découverte du chemin MTU pour vous. Surles fenêtresordinateurs, vous pouvez consulter le logiciel gratuit mturoute utilitaire.

Le monde ICMP

Le système ICMP est un mécanisme très simple pour signaler les échecs de transmission. Cependant, c'est aussil'un des ensembles d'outils les plus puissants disponibles pour les administrateurs réseau. La bonne nouvelle est queICMP est gratuitet automatiquement disponible sur tout appareil connecté au réseau. La mauvaise nouvelle c'est queICMP peut être utilisé par les piratespour lancer des attaques ou même se faufiler dans des connexions à travers des pare-feu.

Le fait qu'ICMP puisse être utilisé de manière malveillante encourage de nombreux administrateurs réseau peu enclins à prendre des risques à désactiver le système de messagerie. C'est dommage car cela désactive de nombreux utilitaires très utiles décrits dans ce guide.

Si vous exploitez un réseau, et surtout si vous possédez un routeur qui transmet le trafic Internet,envisagez d'utiliser des pare-feu dynamiques et des systèmes de détection d'intrusion pour bloquer toute utilisation abusive d'ICMP.au lieu de désactiver complètement le protocole de messagerie. Examinez les paramètres et les fonctionnalités du micrologiciel de votre routeur pour voir s'il dispose de procédures de résolution des abus ICMP qui vous permettront de continuer à utiliser ICMP sur l'appareil.

Utilisez-vous les méthodes ICMP pour vérifier vos connexions ? Disposez-vous d'un utilitaire GUI basé sur ICMP que vous utilisez régulièrement et que vous pouvez recommander à d'autres ? Avez-vous désactivé ICMP sur votre routeur pour protéger votre réseau ? Laissez un message dans lecommentairesci-dessous et partagez vos expériences.

Qu’est-ce qu’un horodatage ICMP ?

Un horodatage ICMP est un format de message spécifique plutôt qu'un champ dans un en-tête de paquet ICMP. Le message d'horodatage reçoit une réponse par horodatage. Le message initial dans un échange d’horodatage est simplement appelé « horodatage » – il n’est pas appelé « demande d’horodatage ». L'horodatage et la réponse d'horodatage utilisent le même format de message.

Les champs importants dans un message d'horodatage sont :

  • Taper
  • Horodatage d'origine
  • Horodatage de réception
  • Horodatage de transmission

L'appareil demandeur remplit le champ Type avec 13 et saisit une heure dans le champ Originate Timestamp. L'appareil qui répond entre 14 dans le champ Type, copie la valeur Originate Timestamp du message de demande et remplit les champs Receiver Timestamp et Transmit Timestamp. La valeur de l'horodatage de réception correspond à l'heure à laquelle la demande a été reçue et la valeur de l'horodatage de transmission correspond à l'heure à laquelle le message de réponse de l'horodatage a été préparé/envoyé.

Toutes les valeurs temporelles dans les messages Timestamp et Timestamp Reply expriment le nombre de millisecondes écoulées depuis minuit. Il n'y a aucun élément de date dans le numéro.

FAQ sur le protocole de message de contrôle Internet (ICMP)

Quels sont les signes d’une attaque par inondation ICMP ?

Une attaque par inondation ICMP est également connue sous le nom d'attaque Ping. Un nombre impressionnant de requêtes Ping sont envoyées à une adresse cible. L'interface réseau est programmée pour répondre automatiquement aux requêtes Ping et tente ainsi de répondre à toutes. La tâche finit par submerger le processeur de l'hôte, qui devient incapable de consacrer de la puissance de traitement à une autre tâche.

Il existe trois types d’attaques par inondation ICMP :

  • Localisé ciblé divulgué – Cible un point de terminaison sur le même réseau
  • Routeur divulgué – Cible un routeur
  • Blind Ping – Comprend une phase préparatoire pour découvrir l’adresse IP d’une cible

Quand les redirections ICMP sont-elles envoyées ?

Une redirection ICMP est envoyée par un routeur à un hôte pour indiquer qu'un routeur alternatif fournira un meilleur chemin vers la destination souhaitée. Le type de message pour une redirection est 5.

Quelle est la différence entre ICMP et ICMPv6 ?

ICMP fait référence au protocole de message de contrôle Internet. Il est étroitement lié au protocole Internet (IP). Il existe actuellement deux versions du protocole Internet actives : la principale différence entre eux est le format d'adresse IP qu'ils spécifient. Ces versions sont IPv4 et IPv6. ICMP a une version appropriée qui se coordonne avec les versions IP. Il existe donc ICMPv4 et ICMPv6.

^