Обработка сообщений ICMP.

Стандартом интернета «Требования к хостам» определяется, что протокол TCP должен передавать информацию об ошибке, полученную в сообщении ICMP, соединению, с которым связана эта ошибка. Для определения этого соединения реализации TCP нужно проанализировать данные, содержащиеся в сообщении ICMP.
В TCP связь сообщения ICMP с тем или иным из существующих соединений определяется на основе сравнения четырех значений - двух адресов IP (отправитель и получатель) и двух номеров портов. Однако ни спецификация протокола ICMP, ни стандартные требования к хостам не определяют каких-либо механизмов проверки корректности информации, содержащейся в сообщении ICMP. Благодаря отсутствию такой проверки атакующий может создать сообщение ICMP, содержащее специально подготовленную дезинформацию, реакция на которую со стороны протокола TCP (в соответствии с требованиями RFC) может привести к весьма печальным результатам вплоть до разрыва существующих соединений. Для того чтобы сообщение ICMP оказало воздействие на интересующее соединение TCP, организатор атаки, кроме указания адресов IP участников соединения, должен определить или угадать номера портов, через которые организовано соединение. Кроме того, для многих служб в сети Интернет используются стандартные номера портов, что существенно упрощает задачу подбора нужного квартета, поскольку три (IP-адреса и номер порта на сервер) из четырех значений можно определить достоверно без подбора. Учитывая специфику выделения номеров портов на клиентской стороне соединений TCP в различных операционных системах и приложениях, можно значительно сузить диапазон возможных значений остающегося неизвестным параметра (номер порта на клиентской стороне соединения) и ускорить подбор нужного номера. В крайнем случае, когда приходится перебирать все возможные значения номера порта на стороне клиента, число таких значений составляет 65 536. Если в атакуемом соединении и сервер использует нестандартный номер порта, это может дополнительно осложнить задачу (число перебираемых значений возводится в квадрат), но такая ситуация является достаточно экзотической для современной практики в сети Интренет, хотя в условиях частных IP-сетей могут применяться и нестандартные номера портов на серверах. Однако и в этом случае задача организации атаки путем подбора номеров остается вполне решаемой.
Типы и коды ICMP-сообщений
ICMP-сообщение
Описание сообщения
Тип Код
0 Эхо-ответ (ping-отклик)
3 Адресат не достижим
0 * С еть не достижима
1 * ЭВМ не достижима
2 * П ротокол не доступен
3 * П орт не доступен
4 * Н еобходима фрагментация сообщения
5 * И сходный маршрут вышел из строя
6 * С еть места назначения неизвестна
7 * ЭВМ места назначения неизвестна
8 * И сходная ЭВМ изолирована
9 * С вязь с сетью места назначения административно запрещена
10 * С вязь с ЭВМ места назначения административно запрещена
11 * С еть не доступна для данного вида сервиса
12 * ЭВМ не доступна для данного вида сервиса
13 * С вязь административно запрещена с помощью фильтра
14 * Н арушение старшинства ЭВМ
15 * Дискриминация по старшинству
4 0 * Отключение источника при переполнении очереди
5 Переадресовать (изменить маршрут)
0 Переадресовать дейтаграмму в сеть (устарело)
1 Переадресовать дейтаграмму на ЭВМ
2 Переадресовать дейтаграмму для типа сервиса (tos) и сети
3 Переадресовать дейтаграмму для типа сервиса и ЭВМ
8 0 Эхо-запрос (ping-запрос)
9 0 Объявление маршрутизатора
10 0 Запрос маршрутизатора
11 Для дейтаграммы время жизни истекло (ttl=0):
0 * при передаче
1 * при сборке (случай фрагментации)
12 * П роблема с параметрами дейтаграммы
0 * Ошибка в IP-заголовке
1 * Отсутствует необходимая опция
13 Запрос временной метки
14 Временная метка-отклик
15 Запрос информации (устарел)
16 Информационный отклик (устарел)
17 Запрос адресной маски
18 Отклик на запрос адресной маски
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii Группа в Телеграм: https://t.me/zashchitainformacii1 Сайт: https://legascom.ru Электронная почта: online@legascom.ru #защитаинформации #информационнаябезопасность