Internet Control Message Protocol

İnternet iletişim kuralları dizisi

OSI modeli

Katman İletişim kuralları
7. Uygulama katmanı HTTP, DNS, SMTP, FTP, TFTP, UUCP, NNTP, SSL, SSH, IRC, SNMP, SIP, RTP, Telnet, ...
6. Sunum katmanı ISO 8822, ISO 8823, ISO 8824, ITU-T T.73, ITU-T X.409, ...
5. Oturum katmanı NFS, SMB, ISO 8326, ISO 8327, ITU-T T.6299, ...
4. Ulaşım katmanı TCP, UDP, SCTP, DCCP, ...
3. Ağ katmanı IP, IPv4, IPv6, ICMP, ARP, IGMP, IPX,...
2. Veri bağlantısı katmanı Ethernet, HDLC, Wi-Fi, Token ring, FDDI, PPP, L2TP...
1. Donanım katmanı ISDN, RS-232, EIA-422, RS-449, EIA-485, ...

ICMP nedir

Internet Kontrol Mesaj İletişim Kuralı, ICMP(Internet Control Message Protocol), hata mesajları ve TCP/IP yazılımının bir takım kendi mesaj trafiği amaçları için kullanılır.ICMP RFC 792'de tanımlanmış ve RFC 950'de revize edilmiştir. Hataları raporlamak için kullanılan,kontrol amaçlı bir protokoldür.Bu şekilde normal kullanımının yanında, uzak sistem hakkında bilgi toplamak için sıkça kullanıldığından çok önemlidir.Genel olarak sistemler arası kontrol mesajları IP yerine ICMP üzerinden aktarılır. ICMP, IP ile aynı düzeyde olmasına karşın aslında kendisi de IP’yi kullanır.ICMP' nin hata raporlamak için kullanılması,IP'yi güvenli yaptığı anlamına gelmez.Datagram,yerine ulaşmayabilir ve bununla ilgili bir hata mesajı da gelmeyebilir.ICMP mesajlarındaki hataları raporlamak için ICMP kullanılmaz.ICMP TCP/IP' nin işlemesine yardımcı olan bir protokoldür. Her hostta mutlaka ICMP protokolü çalışır. Hata durumunda host tarafından geri bilgilendirmeyi sağlar.

ICMP ağ hakkında bazı bilgileri toplamak amacı ile de kullanılır. IP hata-raporlama veya hata-düzeltme mekanizmalarına sahip değildir. ICMP yapı olarak UDP 'ye benzer bir protokoldür. ICMP de mesajlarını sadece bir datagram içine koyar. Bununla beraber UDP'ye göre daha basit bir yapıdadır. Başlık bilgisinde port numarası bulundurmaz. Bütün ICMP mesajları ağ yazılımının kendisince yorumlanır, ICMP mesajının nereye gideceği ile ilgili bir port numarasına gerek yoktur.

ICMP paketleri ortamda bir geri besleme sağlarlar. Bu yolla ciddi sorunları, haberleşen birimlere bildirerek bir hata bildirim mekanizması oluştururlar. ICMP mesajı, IP paketinin veri bölümünde taşınır. Bu yüzden ICMP paketlerinin dağıtım güvenilirliği, IP paketlerinin dağıtım güvenilirliği ile sınırlı kalmaktadır. Buradan ICMP paketlerinin güvenilir iletilemeyeceği ve hedefe vardığının garanti edilemeyeceği sonuçları çıkarılabilir.

ICMP kullanan komutlara örnek olarak ping ve traceroute verilebilir.

ICMP paketinin yapısı ve formatı

ICMP mesajları IP datagramının kullanıcı verisi alanında taşınır. IP başlığındaki protokol alanı 1'e set edilerek ICMP'nin kullanıldığı gösterilir. Tüm ICMP mesajları üç alandan oluşur

IP Başlığı
Tip(8)
Kod(8)
Toplamsal-Hata(16)
Parametreler(eğer parametreler yoksa kullanılmaz)
Bilgi(Değişken)
n=( alandaki bitlerin sayisi )
  1. Tip alanı: mesajın tipini tanımlar
  2. Kod alanı: hata veya durum bilgisi tipini tanımlar.
  3. Toplamsal-hata (checksum) alanı: ICMP mesajının 16-bit lik 1'e tümleyenini hesaplar.
  4. Parametreler:parametlerin daha uzun halinin belirlenmesinde kullanılır.
  5. Bilgi:Mesajla ilgili bilgidir

ICMP neden kullanılır

ICMP şu amaçlarla kullanılır.

ICMP hata ve durum raporlama prosedürleri

ICMP tarafından rapor edilen hata ve durum raporlama servisleri aşağıda listelenmiştir.

Tip Kodu Değeri ICMP Mesajın Tipi
0 Eko yanıt-ping yanıtı (Echo Reply)
3 Hedefe Erişilemedi (Destination Not Reachable)
4 Kaynak Kapatmak (Source Quench)
5 Yeniden Yönlendirme (Redirection Required)
8 Eko yanıt-ping isteği (Echo Request)
9 Yönlendirici tanıtımı
10 Yönlendirici istemi
11 Zaman aşımı—traceroute kullanır (Time to Live Exceeded)
12 Parametre Problemi (Parameter Problem)
13 Timestamp İstemi (Timestamp Request)
14 Timestamp Yanıtı (Timestamp Reply)
15 Bilgi İstemi (Information Request)
16 Bilgi Yanıtı (Information Reply)
17 Addres Maskesi istemi (Address Mask Request)
18 Addres Maskesi yanıtı (Address Mask Reply)

ICMP mesaj tipleri ile internet uzerinde kontrol amaçlı birçok program yazılması olasıdır. Örneğin timestap mesajları kullanılarak internet üzerindeki gecikmeler ölçülebilir.

ICMP uygulamaları

Basit ve sıkça kullanılan 2 tane ICMP uygulaması vardır: Ping ve Traceroute. Daha çok ağ üzerindeki sorunları tespit edebilmek ya da çözmek için kullanılan bu 2 uygulama aynı zamanda, hackin işleminin başlangıç aşamalarından birini oluşturur. ağdaki canlı makineleri bulabilmek için ping taramaları ya da ağın haritasını çıkartabilmek için traceroute uygulamaları hacker'ler tarafından sıkça kullanılır.

Ping en basit TCP/IP uygulamasıdır. Bir hosta ulaşmanın ilk adımı ona ping çekmektir. Eğer bir hosta ping ile ulaşabiliyorsanız, telnet ya da FTP ile ulaşmanız (ilgili portlar açıksa) mümkündür. Son yıllarda güvenlik duvarlarının yönlendiricilerdeki "access list"lerin ve diğer güvenlik kontrol mekanizmalarının sıkça kullanılmaya başlanılmasıyla bu yargı değişmeye başlamıştır. Yani bir hosta ping çekemiyorsanız, telnet ya da ftp yapamayacağınız anlamına gelmez. Ping uygulaması, ICMP Echo ve ICMP Reply mesajlarını kullanarak bir hostun erişilebilir olup olmadığını belirler. Ping, alıcı bilgisayara "echo request" paketi gönderirken, cevap olarak da "echo reply" paketini bekler. Traceroute programı ise gönderen bilgisayardan alıcı bilgisayara giden paket ve izlediği yolla ilgili çok önemli bilgiler verir. Bu bilgiler arasında en çok kullanılanı "paketin izlediği yol (path)" bilgisidir. Bu sayede paketin hangi yollardan geçerek alıcı hosta ulaştığı rahatlıkla izlenebilir. Traceroute programı ICMP protokolünün bir parçasıdır. ICMP protokolü, iki host arasında bilgi akışı olurken, bu esnada ortaya çıkan hataları ve diğer bilgileri mesaj yoluyla raporlar.

ICMP sorgulaması

Ping taraması bir ICMP uygulamasıdır ama bir sistem hakkında ICMP sorgulaması yapmak sadece ping paketleri ile yapılmaz. Bir sisteme birçok yoldan ICMP sorgulaması yapılabilir ve çok değerli bilgiler elde edilebilir. Mesela,Unix tabanlı sistemlerde kullanılan "icmpquery" ya da "icmppush" uygulaması sayesinde sistemin saati(hangi zaman bölgesinde olduğu) "ICMP type 13" (TIMESTAMP) ile öğrenilebilir ya da bir hostun hangi ağ maskesinde olduğu "ICMP type 17" (ADDRESS MASK REQUEST)mesajı ile elde edilebilir. Ağ maskesi(Netmask) bilgisi önemlidir,çünkü saldırgan sadece belli bir alt ağdaki(subnet) sisteme saldırmak isteyebilir.Burada dikkat edilmesi gereken bir nokta da tüm yönlendiricilerin ICMP TIMESTAMP ya da ICMP NETMASK sorgulamasına cevap vermedikleridir.

Önlemler

ICMP sorgulamasını engellemek,ilgili ICMP tiplerini (ICMP TIMESTAMP - type 13 gibi) bloke etmekle yapılabilir. Cisco yönlendiricilerde bu engelleme genişletilmiş erişim listesiyle şöyle yapılır:

Access-list 101 deny icmp any any 13

Ancak ICMP paketlerini engellemek,ağdaki sorunların çözülmesini geciktirebilir. ICMP sorgulaması saldırı tespit programları ile rahatlıkla gözlenebilir.

[1]

İç bağlantılar

Kaynakça

  1. Hacking Bilişim Korsanlığı ve Korunma Yöntemleri-Davut Yılmaz
This article is issued from Vikipedi - version of the 1/9/2017. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.