ICMP

Was ist ICMP?

Das Internet Control Message Protocol (ICMP) ist ein grundlegendes Netzwerkprotokoll innerhalb des Internetprotokoll-Stacks (IP), das nicht zur Datenübertragung, sondern zur Kommunikation über den Zustand von Netzwerken dient. ICMP wird verwendet, um Fehlermeldungen und Diagnoseinformationen zwischen Routern, Hosts und anderen Netzwerkgeräten auszutauschen. Es operiert auf Layer 3 (Netzwerkschicht) des OSI-Modells und wird meist in Verbindung mit IPv4 und IPv6 verwendet.

ICMP ermöglicht essenzielle Funktionen wie die Erreichbarkeitsprüfung eines Hosts („ping“) oder die Rückmeldung bei Routing-Fehlern („Destination Unreachable“). Obwohl es ein wichtiges Werkzeug für die Netzwerkadministration ist, birgt ICMP auch sicherheitsrelevante Risiken, etwa bei der Aufklärung von Netzwerktopologien durch Angreifer oder beim sogenannten „ICMP Tunneling“.

Technischer Aufbau & Varianten

Typische ICMP-Nachrichtentypen:

• Echo Request/Echo Reply (Typ 8/0):
  Wird für Erreichbarkeitsprüfungen via ping eingesetzt.

• Destination Unreachable (Typ 3):
  Meldet, dass ein Paket sein Ziel nicht erreichen konnte (z. B. Port nicht erreichbar).

• Time Exceeded (Typ 11):
  Informiert, wenn die TTL (Time To Live) eines Pakets abgelaufen ist—z. B. bei traceroute.

• Redirect Message (Typ 5):
  Verweist auf einen besseren Routerpfad für ein Ziel.

ICMPv6 (für IPv6):

• Erweiterte Funktionen wie Neighbor Discovery, Router Solicitation/Advertisement etc.

Relevanz in der Praxis

ICMP ist essenziell für:

• Netzwerkdiagnose und Performance-Analyse

• Fehlermeldungen und Pfadvalidierung (z. B. durch Traceroute)

• MTU-Erkennung durch Fragmentation Needed-Nachrichten

• Steuerung von Traffic durch Redirects

Gleichzeitig kann ICMP aber auch ausgenutzt werden:

• Reconnaissance-Scans zur Netzwerkerkundung

• ICMP Tunneling als versteckter Datenkanal

• Flooding-Angriffe (ICMP-Flood / Smurf Attack)

Standards & regulatorische Anforderungen

• RFC 792 – ICMP für IPv4

• RFC 4443 – ICMPv6 für IPv6

• BSI Grundschutz OPS.1.1.5 – Steuerung und Protokollierung von Netzwerkdiensten

• ISO 27001 A.13.1.1 – Netzwerksicherheitskontrollen (einschließlich Protokollmanagement)

Verwandte Begriffe

• DoS (Denial of Service)

• Ping

• Traceroute

• Firewall Rule Set Audit

• Network Segmentation

Beispiel aus der Praxis

Ein Penetrationstester nutzte ICMP Echo Requests, um eine Liste aktiver Hosts im Zielnetzwerk zu erstellen. Anschließend analysierte er ICMP-Fehlermeldungen, um Firewall-Regeln und Filterpfade zu kartieren. Ein schlecht konfigurierter Router gab ICMP Redirect-Nachrichten preis, wodurch interne Routen offengelegt wurden. Die Erkenntnisse flossen in einen gezielten Angriff auf einen exponierten Webserver.