ICMP (İnternet Kontrol Mesaj Protokolü), internet katmanında IP paketinin veri bölümünde çalışıp, sorunları haberleşen birimlere bildirerek bir geri besleme mekanizması oluşturur. IP protokol takımının bir parçasıdır. Bu nedenle layer 3'te yer alır. ICMP, IP ile aynı düzeyde olmasına karşın aslında kendisi de IP’yi kullanır. ICMP, TCP/IP’ nin işlemesine yardımcı olan bir protokoldür. Her hostta mutlaka ICMP protokolü çalışır. Hata durumunda host tarafından geri bilgilendirmeyi sağlar.
ICMP genel olarak;
- TTL süresi dolduğu zaman paketin sahibine bildirim yapma,
- Herhangi bir durumda yok edilen paket hakkında geri bildirim sağlama,
- Hata oluşumlarında geri bildirim sağlama,
- Örneğin, sorun çözümü için sıkça kullanılan Ping ve Tracert komutları
ICMP Echo Request ve ICMP Echo Reply mesajları ile çalışır.
ICMP mesajları IP datagramının kullanıcı verisi alanında taşınır. IP başlığındaki protokol alanı 1’e set edilerek ICMP’nin kullanıldığı gösterilir. Tüm ICMP mesajları üç alandan oluşur.
| IP Başlığı |
| Tip(8) |
| Kod(8) |
| Toplumsal Hata (16) |
| Parametreler(eğer parametreler yoksa kullanılmaz.) |
| Bilgi (Değişken) |
| N= (alandaki bitlerin sayısı) |
- Tip Alanı: Mesajın tipini tanımlar.
- Kod Alanı: Hata veya durum tipini tanımlar.
- Toplamsal-hata (checksum) alanı: ICMP mesajının 16-bitlik 1’e tümleyenini hesaplar.
- Parametreler: Parametrelerin daha uzun halinin belirlenmesinde kullanılır.
- Bilgi:Mesajla ilgili bilgidir.
ICMP paketinde durum bilgisi tip bölümünün aldığı parametreler ile tanımlanır.
Tip Kodu Değeri
|
ICMP Mesajın Tipi
|
| 0 | Eko yanıt-ping yanıtı(Echo Reply)(Yankı) |
| 3 | Hedefe Erişilemedi(Destnation Not Reachable) |
| 4 | Kaynak Kapatmak(Source Quench) |
| 5 | Yeniden Yönlendirme(Redirection Required) |
| 8 | Eko yanıt-ping isteği(Echo Request) |
| 9 | Yönlendirici tanıtımı |
| 10 | Yönlendirici istemi |
| 11 | Zaman aşımı–traceroute kullanır(Time to Live Exceeded) |
| 12 | Parametre Problemi(Parameter Problem) |
| 13 | Timestamp İstemi(Timestamp Request) |
| 14 | Timestamp Yanıtı(Timestamp Reply) |
| 15 | Bilgi İstemi(Information Request) |
| 16 | Bilgi Yanıtı(Information Reply) |
| 17 | Addres Maskesi istemi(Address Mask Request) |
| 18 | Addres Maskesi yanıtı(Address Mask Reply) |
Hedeften cevap dönen bir "ping" sorgusu:
Hedef ulaşılamaz (Destination Unreachable) (3): Hedef bilgisayardan ağda herhangi bir bilgi alınamadığı durumlarda bu parametre kullanılır.
Kaynak Kapatmak (Source Quench) (4): Datagramların geçiş oranını kontrol eder. Bu mesaj alındığında gönderim hızı azaltılmalıdır.
Yeniden Yönlendirme (Redirect) (5): Daha iyi bir rota mevcut olduğu durumlarda ağ geçidine(gateway) gönderilir. Bu mesaj gönderilince kod alanında(code field) oluşan numara yönlendirmenin(routing) nasıl olucağını belirler.
Parametre Problemi(Parameter Problem) (12): Parametre sorunu paket başlık parametrelerinde oluşan hataları "paremeter problem message" olarak geri bildirir.
Bunun yanında Tracert komutu bir veri paketinin gönderilmek istenildiği adrese ulaşıncaya kadar geçen sürede, veri paketinin hangi cihazlar (Bilgisayar,Yönlendirici) üzerinden geçtiğini gösterir. Tracert, IP başlığındaki TTL alanını ve ICMP kullanır.
ICMP ATAKLARI
Bu saldırı, ICMP (Internet Control Message Protocol) protokolünü hedef almaktadır. Bu
sistemin özelliği, saldırının birden çok noktadan yapılması durumunda başarılı sonuç vermesidir. Aksi takdirde çok bir etkisi olmayacaktır.
ICMP Flood Saldırılarından Bazıları
- Smurf Saldırıları
- Ping Flood
- Ping of Death
Ping istekleri aralıksız bir şekilde networkün “directed broadcast” adresine yollanır. Bu adres, geriye, networke bağlı her bilgisayara ping isteklerini yollar-ki bu da birkaç yüz belki de daha fazla bilgisayar eder. Yani bir ağdaki tüm bilgisayarlar işleme karışmış olur. Bu birkaç yüzden fazla bilgisayarın her biri ping isteğine cevap yollar. Bilgisayarlar, cevap paketlerini, ping isteğinin üzerinde adresi yazan hedefe yollar. Bunlar hackera gönderilmez çünkü o, önceden ping isteğindeki adresi değiştirmiştir.
Ping of Death: ICMP protokolü ağda bilgisayarların hata mesajlarını birbirlerine göndermesini yada 'Ping' gibi basit işlemlerin yapılmasını sağlar. ICMP spesifikasyonunda, ICMP Echo request'lerin data kısmı 216 ile 65,536 byte
arasında olmak zorundadır. Eğer bu veri sınırlarının dışına taşmış bir
paket kurban sisteme yollanırsa işletim sistemi böyle bir şey beklemediği için
çalışamaz duruma gelecektir.
Bir saldırgan hedef aldığı bir makineye büyük ping paketleri gönderir. Birçok işletim sistemi gelen bu maksimum derecede paketleri anlayamaz, cevap vermez duruma gelir ve işletim sistemi ya ağdan düşer ya da çöker.
Ping Flood: Bant genişliği yüksek internet çıkışı olan şirketlerde çalışan kişiler tarafından icat edilen saldırı çeşididir. ICMP ping paketlerinin boyu degişken
olabildiğinden karşı tarafa sürekli büyük ebatlarda (64kB gibi) arka arkaya ping paketleri atılır. bir süre sonra karşı taraf hiç bir şey yapamaz hale gelir ve bağlantısı kullanılmaz hale gelir ya da kopar.
Burada 1000 byte boyutunda bir paket yollanmıştır.
ICMP ATAKLARINDAN NASIL KORUNULUR?
- ICMP hata mesajlarının dışarı çıkışına izin verilmemeli,
- İnternetten iç ağa ICMP trafiği engellenmelidir.
- Cihazlardan gelen ICMP paketlerinin denetimi yapılarak ICMP floodlar engellenebilir. Gelen paketlerin boyut sınırlandırılması yapılabilir. Süre aralığı verilip gelen paketlerin sayısı ve boyutu kısıtlanabilir. Mesela 1 sn'de toplam 100 byte'lık paket kabul et gibi vs.
- Fakat en temel mantık gönderim sıklığına ve paket boyutuna göre paketleri filtreleyen bir güvenlik duvarı yapılandırılması oluşturmaktır.
Görüldüğü gibi ICMP Flood'lara karşı;
- Saniyede kaç pakete izin verildiği,
- Paket gönderilen adresin tehlikeli bulunması halinde kaç saniye bloklanacağı (IDS),
- Bu denetimlerin hangi kaynaklara karşı uygulanacağı yapılandırma ayarlarında ayarlanabilir.
Icmp Nedir? - Siber Güvenlik Eğitimi >>>>> Download Now
YanıtlaSil>>>>> Download Full
Icmp Nedir? - Siber Güvenlik Eğitimi >>>>> Download LINK
>>>>> Download Now
Icmp Nedir? - Siber Güvenlik Eğitimi >>>>> Download Full
>>>>> Download LINK