ICMP-Angriffe: Alles, was Sie wissen müssen

Veröffentlicht: 2023-09-19

Es ist keine Überraschung, dass Hacker danach streben, in allem eine Schwachstelle zu finden, von einfacher Software bis hin zu den grundlegendsten Protokollen, die der Struktur des Internets, wie wir es kennen, zugrunde liegen. Als eine der wesentlichen Komponenten des Internet-Protokollstapels fungiert das Internet Control Message Protocol als globaler Nachrichtenträger und übermittelt wichtige Informationen über den Zustand der Netzwerkgeräte und ganzer Netzwerke, die das World Wide Web bilden.

Obwohl ICMP ein unschätzbar wertvolles Kommunikationstool ist, stellt es für Angreifer eine potenzielle Möglichkeit dar, die in seinem Design liegenden Schwachstellen auszunutzen. Unter Ausnutzung des Vertrauens, das Netzwerkgeräte in ICMP-Nachrichten setzen, versuchen böswillige Akteure, vom Host des Opfers bereitgestellte Sicherheitssysteme zu umgehen, was zu Störungen des Netzwerkbetriebs führt, was letztendlich zu einem Denial-of-Service führen kann.

Als eigenständige Gruppe von Denial-of-Service-Angriffen sind ICMP-Angriffe nicht mehr das primäre Werkzeug im Werkzeugkasten des Angreifers. Sie richten jedoch weiterhin verheerende Schäden für Online-Unternehmen an. Ping-Flood-Angriffe, Smurf-Angriffe und der sogenannte Ping of Death – allesamt verschiedene Varianten von ICMP-Angriffen, die nach wie vor eine Bedrohung für den Netzwerkbetrieb weltweit darstellen können.

In diesem Leitfaden zu ICMP-Angriffen erfahren Sie, was ICMP ist und wie Hacker es nutzen, um Denial-of-Service auf Servern und ganzen Netzwerken auszulösen. Wir werden uns intensiv mit den Mechanismen befassen, die ICMP-Angriffen zugrunde liegen, um Ihnen das nötige Wissen und die nötigen Werkzeuge an die Hand zu geben, um Ihr Unternehmen vor dem Schaden zu schützen, den sie verursachen.

ICMP-Angriff

Was ist ICMP?

Das Internet Control Message Protocol (ICMP) ist ein Netzwerkprotokoll, das von Netzwerkgeräten verwendet wird, um Betriebsinformationen untereinander zu übermitteln. Während ICMP häufig als Teil des IP-Protokolls betrachtet wird, da seine Nachrichten als IP-Nutzlast übertragen werden, liegt das Internet Control Message Protocol direkt darüber und wird in IP-Datagrammen als Protokoll der oberen Schicht spezifiziert. Seine Aktivität ist jedoch immer noch auf die dritte Schicht des Internetprotokolls beschränkt, die als Netzwerkschicht bekannt ist.

Jede ICMP-Nachricht verfügt über einen Typ und ein Codefeld, die die Art der übermittelten Informationen und ihren Zweck sowie einen Teil der ursprünglichen Anfrage angeben, die zur Generierung der Nachricht geführt hat. Wenn der Zielhost beispielsweise nicht erreichbar ist, generiert der Router, der die ursprüngliche Anfrage nicht an ihn weitergeleitet hat, eine ICMP-Nachricht vom Typ drei, Code eins, um Sie darüber zu informieren, dass er keinen Pfad zu dem von Ihnen angegebenen Server gefunden hat.

Wofür wird ICMP verwendet?

Meistens wird ICMP zur Fehlerberichterstattung in Situationen verwendet, in denen das Zielnetzwerk oder Endsystem nicht erreicht werden konnte. Fehlermeldungen wie „Zielnetzwerk nicht erreichbar“ haben beide ihren Ursprung in ICMP und werden Ihnen angezeigt, wenn Ihre Anfrage ihre beabsichtigte Reise nie abgeschlossen hat. Da die ICMP-Nachricht einen Teil der ursprünglichen Anfrage enthält, kann das System sie problemlos dem richtigen Ziel zuordnen.

Obwohl die Fehlerberichterstattung eine der Hauptanwendungen des Internet Control Message Protocol ist, unterstützt ICMP die Funktionalität von zwei grundlegenden Netzwerkdiagnosetools – Ping und Traceroute. Beide Dienstprogramme werden häufig zum Testen der Netzwerkkonnektivität und zum Verfolgen des Pfads zum Entfernen von Netzwerken und Endsystemen verwendet. Und obwohl Ping und Traceroute häufig synonym verwendet werden, unterscheiden sich ihre Betriebsmethoden erheblich.

Ping und Traceroute

Ping sendet eine Reihe von ICMP-Nachrichten vom Typ Echo-Anfrage und erwartet Echo-Antworten vom Zielhost. Wenn jede Anfrage eine Antwort erhält, meldet Ping keinen Paketverlust zwischen dem Quell- und Zielsystem. Wenn einige der Nachrichten aufgrund einer Netzwerküberlastung ihr Ziel nie erreichen, meldet das Dienstprogramm diese Pakete ebenfalls als verloren.

Traceroute verfügt über einen komplexeren Mechanismus und wurde für einen anderen Zweck entwickelt. Anstatt Echo-Anfragen an den vorgesehenen Host zu senden, sendet es eine Reihe von IP-Paketen, die ablaufen sollten, sobald sie das vorgesehene Ziel erreichen. Auf diese Weise wird der empfangende Router oder Host gezwungen, die ICMP-Nachricht „Time to Live (TTL) abgelaufen“ zu generieren, die an die Quelle zurückgesendet wird. Nachdem Traceroute ICMP-Antwortnachrichten für jedes Originalpaket erhalten hat, verfügt es über die Namen der Paketschalter, die die Route zum Zielhost bilden, sowie über die Zeit, die die Originalpakete benötigt haben, um die einzelnen Pakete zu erreichen.

Was macht ICMP leicht auszunutzen?

Da ICMP auf die Netzwerkschicht des Open Systems Interconnection (OSI)-Modells beschränkt ist, erfordern seine Anfragen vor der Übertragung keinen Verbindungsaufbau, was beim von TCP eingeführten und durch TLS verstärkten Drei-Wege-Handshake der Fall ist die Verwendung von SSL/TLS-Zertifikaten. Dadurch ist es möglich, Ping-Anfragen an jedes System zu senden, was wiederum die Ausnutzung erleichtert.

Wie Sie sehen, hat sich ICMP zwar als unschätzbar wertvoller Bestandteil des globalen Netzwerks erwiesen, hat aber auch die Aufmerksamkeit von Cyberkriminellen auf sich gezogen, die es für böswillige Zwecke nutzen wollten. Böswillige Akteure nutzen Schwachstellen in der ICMP-Implementierung aus, um Netzwerke und einzelne Hosts zu stören. Durch ICMP-Angriffe verwandeln Hacker ICMP von einem wichtigen Netzwerkdiagnosetool in eine Hauptursache für Netzwerkausfälle.

ICMP-Angriffe als weniger gefährliche Art von Denial of Service (DoS)

ICMP-Angriffe nutzen die Fähigkeiten des Internet Control Message Protocol aus, um gezielte Netzwerke und Geräte mit Anfragen zu überschwemmen und so das sogenannte Bandbreitenfluten zu verursachen, eine Form von Denial of Service (DoS), die darauf abzielt, die Fähigkeit des Opfers, eingehenden Datenverkehr zu verarbeiten, zu erschöpfen. Ein ICMP-Angriff kann als Denial-of-Service-Angriff definiert werden, der ICMP-Nachrichten als primäres Werkzeug verwendet, um den Netzwerkbetrieb zu stören.

ICMP-Angriffe gelten oft als weniger gefährlich und leichter abzuwehren als die meisten anderen Arten von Denial-of-Service-Angriffen. Und obwohl ICMP-Angriffe immer noch erheblichen Schaden anrichten können, sind sie aus mehreren Gründen in der Regel einfacher zu erkennen und abzuwehren:

  • ICMP-Angriffe konzentrieren sich auf die Netzwerkschicht. ICMP arbeitet auf einer niedrigeren Ebene des Internetprotokollstapels und ICMP-Nachrichten enthalten eine geringere Nutzlast im Vergleich zu datenintensiven Nutzlasten, die bei anderen Denial-of-Service-Angriffen verwendet werden. Dies erleichtert die Identifizierung böswilligen ICMP-Verkehrs.
  • ICMP-Angriffe weisen charakteristische Muster auf. Schädliche ICMP-Nachrichten weisen häufig charakteristische Muster auf, beispielsweise eine Flut von Echo-Anfragen desselben Absenders oder bestimmte Fehlermeldungen.
  • Der ICMP-Verkehr lässt sich einfacher begrenzen. Netzwerkadministratoren können den ein- und ausgehenden ICMP-Verkehr einschränken oder sogar vollständig deaktivieren, ohne dass der normale Betrieb spürbar gestört wird.

3 Haupttypen von ICMP-Angriffen

Zu den drei Haupttypen von ICMP-Angriffen gehören Ping-Flood-Angriffe, Smurf-Angriffe und Ping-of-Death-Angriffe. Jeder von ihnen verwendet unterschiedliche Mechanismen, der Hauptunterschied besteht jedoch in den Arten von ICMP-Nachrichten, die Cyberkriminelle verwenden.

Wie wir besprochen haben, werden ICMP-Nachrichten normalerweise vom Zielsystem generiert, um die Quelle eines bestimmten Problems zu warnen, mit Ausnahme des Ping-Dienstprogramms, das Echoanfragen generiert und an das Ziel weiterleitet. Auf diese Weise können Angreifer, anstatt einen Ausbruch von ICMP-Paketen auf das System eines Opfers zu richten, ausgefeiltere Techniken anwenden und beispielsweise das Opfer des Angriffs in den Augen eines anderen Opfers zum Angreifer machen.

Werfen wir einen genaueren Blick auf jede der drei häufigsten Arten von ICMP-Angriffen und sehen wir, wie sie das Internet massiv störten, bevor prominente Abwehrmechanismen umfassend eingeführt wurden.

Ping-Flut

Ping-Flood ist die einfachste und am weitesten verbreitete Variante eines ICMP-Angriffs, bei dem böswillige Akteure eine übermäßige Menge an Echo-Anfragen an das System oder Netzwerk des Opfers richten. Cyberkriminelle simulieren die normale Aktivität des Ping-Dienstprogramms und greifen die Bandbreite des Zielhosts an.

Bei einer Flut von ICMP-Anfragen, die in die gleiche Richtung gesendet werden, wird die Zugriffsverbindung des Ziels verstopft, wodurch legitimer Datenverkehr erfolgreich daran gehindert wird, das Ziel zu erreichen. Und da für jede Echo-Anfrage eine ICMP-Echo-Antwortnachricht erwartet wird, kann ein Ping-Flood-Angriff zu einer erheblichen Erhöhung der CPU-Auslastung führen, was das Endsystem verlangsamen und zu einem vollständigen Denial-of-Service führen kann.

Wie bei jeder anderen Art von DoS können böswillige Akteure mehrere Hosts nutzen, um einen Ping-Flood-Angriff durchzuführen und ihn so in einen Distributed-Denial-of-Service-Angriff (DDoS) umzuwandeln. Die Verwendung mehrerer Angriffsquellen verstärkt nicht nur die Auswirkungen des Angriffs, sondern hilft dem Angreifer auch, einer Entdeckung zu entgehen und seine Identität zu verbergen.

Distributed-Denial-of-Service-Angriffe nutzen typischerweise Botnetze – Netzwerke aus kompromittierten Endpunkten und Netzwerkgeräten, die vom Angreifer kontrolliert werden. Botnets werden erstellt und erweitert, indem das Gerät des Opfers mit einer speziellen Art von Malware infiziert wird, die es dem Besitzer des Botnets ermöglicht, das kompromittierte System aus der Ferne zu steuern. Nach der Anweisung beginnt das infizierte Gerät, das Ziel des Ping-Flood-Angriffs mit ICMP-Echo-Request-Nachrichten zu überwältigen, ohne dass der rechtmäßige Besitzer davon Kenntnis oder Zustimmung hat.

Einer der bekanntesten groß angelegten Ping-Flood-Angriffe fand im Jahr 2002 statt. Cyberkriminelle nutzten ein Botnetz, um Lastwagenladungen von ICMP-Echo-Request-Nachrichten an jeden der dreizehn DNS-Root-Nameserver zu leiten. Da die Paketschalter hinter den Nameservern bereits so konfiguriert waren, dass alle eingehenden Ping-Nachrichten verworfen wurden, hatte der Angriff glücklicherweise kaum oder gar keine Auswirkungen auf das weltweite Interneterlebnis.

Schlumpf-Angriff

Smurf-Angriffe verwandeln das Opfer in den wahrgenommenen Angreifer, indem sie den Eindruck erwecken, dass ICMP-Echo-Anfragen aus einer anderen Quelle stammen. Indem sie die Absenderadresse fälschen, leiten Angreifer eine große Anzahl von ICMP-Nachrichten an ein oder mehrere Gerätenetzwerke weiter, in der Hoffnung, dass die Echoantworten den Host des tatsächlichen Opfers überfordern – das System, das in den ursprünglichen Ping-Anfragen als Quelle angegeben wurde.

Smurf-Angriffe galten einst aufgrund ihres enormen Zerstörungspotenzials als große Bedrohung für Computernetzwerke. Derzeit wird dieser Angriffsvektor jedoch nur noch selten genutzt und gilt allgemein als behobene Schwachstelle. Dies liegt daran, dass die überwiegende Mehrheit der Paketfilter ICMP-Nachrichten automatisch verwirft, die an eine Broadcast-Adresse gesendet werden, was bedeutet, dass sie an alle Geräte im Zielnetzwerk weitergeleitet werden. Durch die Angabe einer solchen Regel wird verhindert, dass das Netzwerk für einen Smurf-Denial-of-Service-Angriff genutzt wird, wodurch dieser effektiv beendet wird.

Ping des Todes

Während Ping-Flood- und Smurf-Angriffe als volumenbasierte Denial-of-Service-Angriffe gelten, handelt es sich bei Ping-of-Death um einen Schwachstellenangriff, der darauf abzielt, das Opfersystem funktionsunfähig zu machen, indem gut gestaltete ICMP-Nachrichten an das Ziel gesendet werden. Dieser ICMP-Angriff gilt als weniger verbreitet als die beiden anderen DoS-Angriffe, die wir zuvor besprochen haben. Dennoch birgt es das größte Zerstörungspotenzial.

ICMP-Nachrichten werden in IP-Datagrammen übertragen, die eine begrenzte Größe haben können. Das Senden einer fehlerhaften oder übergroßen Nachricht an einen Host kann zu einem Speicherüberlauf und möglicherweise zu einem vollständigen Systemabsturz führen. So gefährlich es auch klingen mag, die meisten modernen Systeme sind mit ausreichenden Mitteln ausgestattet, um solche Anomalien zu erkennen und zu verhindern, dass fehlerhafte ICMP-Nachrichten ihr Ziel erreichen.

Wie erkennt und entschärft man einen ICMP-Angriff?

Insbesondere bei groß angelegten DDoS-Angriffen wählen Hacker nicht aus, welche Websites und Server sie angreifen. Wenn Sie sich fragen: „Warum sollte ein Hacker meine Website angreifen?“, ist es wichtig, sich daran zu erinnern, dass das Wissen zur Abwehr von ICMP-Angriffen unabhängig vom Grund für die Aufrechterhaltung der Sicherheit Ihrer Online-Präsenz von entscheidender Bedeutung ist.

Die Abwehr von ICMP-Angriffen, insbesondere im Fall einer Ping-Flood, unterscheidet sich nicht von der Abwehr anderer Arten von Denial-of-Service-Angriffen. Der Schlüssel besteht darin, bösartigen Datenverkehr zu identifizieren und dessen Quelle zu blockieren, wodurch den Angreifern effektiv der Zugriff auf den Server verweigert wird.

Sie müssen den Netzwerkverkehr jedoch selten manuell beobachten und analysieren, da die meisten Sicherheitslösungen, von herkömmlichen zustandslosen Paketfiltern bis hin zu fortschrittlichen Intrusion Detection Systemen (IDS), standardmäßig so konfiguriert sind, dass sie den ICMP-Verkehr begrenzen und ICMP-Angriffe wirksam abwehren. Dank der Weiterentwicklung moderner Sicherheitslösungen stellen Ping-Floods und andere Arten von ICMP-Angriffen keine große Bedrohung mehr für Server und Websites dar.

Wie verteidigt man sich gegen ICMP-Angriffe?

Eine wirksame Verteidigungsstrategie gegen ICMP-Angriffe beginnt mit der Implementierung strenger Paketfilterregeln, zu denen auch die Ratenbegrenzung oder sogar die vollständige Deaktivierung des ein- und ausgehenden ICMP-Verkehrs gehört. Durch das Blockieren aller ICMP-Nachrichten am Ein- und Ausgang des Servers wird es zwar unmöglich, die Route zum Server zurückzuverfolgen und Ping-Anfragen können ihn nie erreichen, es hat jedoch nur geringe bis gar keine Auswirkungen auf den Server- und Website-Betrieb.

In den meisten Fällen wird ausgehender ICMP-Verkehr standardmäßig durch Software-Firewalls eingeschränkt, daher besteht eine gute Chance, dass Ihr Hosting-Anbieter dies bereits für Sie erledigt hat. Alle von LiquidWeb und Nexcess angebotenen vollständig verwalteten Hosting-Lösungen verfügen über leistungsstarke Firewall-Regeln, die zur Abwehr von ICMP-Angriffen kaum oder gar keine Anpassungen erfordern.

Wenn Sie möchten, dass Ihr Server im globalen Netzwerk von den Dienstprogrammen Ping und Traceroute erkannt wird, können Sie im Allgemeinen eine Ratenbegrenzung für eingehende und ausgehende Ping-Anfragen festlegen. Die Standardkonfiguration der meisten Software-Firewalls besteht darin, die Anzahl der eingehenden ICMP-Echo-Anfragen auf eine pro Sekunde für jede IP-Adresse zu begrenzen, was ein guter Ausgangspunkt ist.

Eine gute Möglichkeit, Ihren Server vor Ping-Flood und anderen ICMP-Angriffen zu schützen, ist die Verwendung eines Content Delivery Network (CDN). Moderne CNDs implementieren strenge Firewall-Regeln und führen eine umfassende Paketprüfung durch, wodurch die Anzahl bösartiger Anfragen, die Ihren Server erreichen, erheblich reduziert wird. Im Falle von ICMP-Angriffen tragen sogar die vom CDN bereitgestellten Standard-Firewall-Regelsätze zur wirksamen Abwehr von ICMP-Angriffen bei.

Schützen Sie Ihre WordPress-Website mit iThemes Security Pro

Indem sie die Implementierung von Internet Control Message im Protokollstapel ausnutzen, können Cyberkriminelle eine grundlegende Komponente des Internets in eine gefährliche Waffe verwandeln, die sowohl Unternehmen als auch Privatpersonen Schaden zufügen kann. ICMP-Angriffe wie Ping-Flood- oder Smurf-Angriffe zielen darauf ab, einen Denial-of-Service auszulösen, indem sie den Zielhost oder das Netzwerkgerät mit einer Flut schädlicher ICMP-Nachrichten überfluten. Durch die Nutzung von Botnets und das Spoofing der Quelladresse können Hacker ICMP-Angriffe noch effektiver gestalten und ihr Zerstörungspotenzial deutlich erhöhen.

Glücklicherweise stellen ICMP-Angriffe keine große Bedrohung mehr für Websites und Server dar, da moderne Sicherheitslösungen über hervorragende Abwehrmechanismen verfügen, die dabei helfen, Ping-Floods erfolgreich zu verhindern und einzudämmen. ICMP-Angriffe können als weniger gefährlich angesehen werden als andere Denial-of-Service-Angriffe (DoS), die auf die Anwendungsschicht des Protokollstapels abzielen.

iThemes Security Pro und BackupBuddy sorgen dafür, dass Sie Cybersicherheitsbedrohungen immer einen Schritt voraus sind, indem Sie Ihr WordPress jederzeit schützen. Mit flexiblen Backup-Zeitplänen und Wiederherstellungen mit einem Klick können Sie sicher sein, dass eine saubere Arbeitskopie Ihrer WordPress-Website sicher an einem entfernten Ort gespeichert wird, an einem Ort, den Hacker nicht erreichen können. Fortschrittlicher Brute-Force-Schutz, Multi-Faktor-Authentifizierung, Dateiintegritätsüberwachung und Schwachstellen-Scanning reduzieren die Angriffsfläche erheblich und helfen Ihnen, Bedrohungen mühelos abzuwehren.