ICMP как инструмент исследования сети.
ICMP как инструмент исследования сети.
Протокол ICMP служит для выявления проблем, связанных с сетевым уровнем. Как правило, в локальных сетях его не блокируют, так как он часто используется самими системными администраторами для поиска неполадок в сети. Благодаря этому с помощью ICMP можно производить исследование работающих в сети сервисов.
Прежде всего рассмотрим основные принципы работы данного протокола. Сообщения ICMP передаются в виде IP-датаграмм, то есть к ним прибавляется заголовок IP. Формат ICMP-пакета представлен следующим образом:
Формат ICMP-пакета
Type (Тип) Code (Код) Checksum (Контрольная сумма)
Данные
Существует несколько типов сообщений ICMP. Каждый имеет свой формат, при этом все они содержат следующие три поля:
8-битного целого числа, обозначающего тип сообщения (TYPE);
8-битного поля кода (CODE), который конкретизирует назначение сообщения;
16-битного поля контрольной суммы (CHECKSUM).
Все типы сообщений ICMP можно условно поделить на две группы:
сообщения oб ошибках (например, Destination unreachable);
запросы и ответы (например, Echo Request и Echo Reply).
Начнем с рассмотрения сообщений об ошибках. Они содержат заголовок и первые 64 бита данных пакета IP, при передаче которого возникла ошибка. Это делается для того, чтобы узел-отправитель смог более точно проанализировать причину ошибки, так как все протоколы прикладного уровня стека TCP/IP содержат наиболее важную информацию для анализа именно в первых 64 битах своих сообщений. Для большинства сообщений об ошибках задействовано поле кода. В основном для исследования сети используются Echo Reply, Echo Request и Timestamp. Полный список полей можно найти в стандарте RFC.
Наилучшим методом определения доступности узла является посылка сообщения ICMP Echo (Туре 8). Если система работает и отсутствует фильтрация графика данного типа, то в ответ придет сообщение ICMP Echo Reply (Туре 0).
Идентификация (то есть обнаружение) сетевых устройств с помощью протокола ICMP может быть выполнена двумя способами:
посылка запроса, получение ответа;
вызов ситуации ошибки, получение сообщения об ошибке.
В основу идентификации заложен следующий принцип. Узел, отправляющий ICMP-запрос, устанавливает значения полей Identifier, эти значения позволяют определить ответы, пришедшие от разных узлов. А для того, чтобы отличить несколько ответов, пришедших от одного узла, используется поле Sequence Number. В поле Code записывается ноль, поле данных произвольно (например, алфавит). Отвечающая сторона должна заменить значение поля Туре на 0 и отправить датаграмму обратно.
Теперь от теории начнем переходить к практике.
Для выполнения обнаружения узла обычно используется утилита ping, входящая в состав большинства ОС. В качестве параметра ping указывается IP/имя, и в результате получаем ответ удаленной системы. Однако у нее есть существенный недостаток - все узлы опрашиваются последовательно, что существенно увеличивает продолжительность опроса.
Обращение сразу к нескольким узла (диапазона) с использованием ICMP-запросов (Echo) называется ICMP Sweep или Ping Sweep. Для исследования большой сети потребуется утилита, способная посылать ICMP-запросы параллельно. Однако, говоря о Ping Sweep, стоит отметить, что из-за параллельной отправки множества ICMP-запросов системы обнаружения атак легко определят такое сканирование.
В следующих моих постах мы рассмотрим несколько из них в качестве примера.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
ICMP as a network research tool.
The ICMP protocol is used to identify problems related to the network layer. As a rule, it is not blocked in local networks, as it is often used by system administrators themselves to search for network problems. Due to this, ICMP can be used to conduct research on services operating on the network.
First of all, let's consider the basic principles of this protocol. ICMP messages are transmitted as IP datagrams, meaning the IP header is appended to them. The ICMP packet format is presented as follows:
ICMP packet format
Type (Type) Code (Code) Checksum (Checksum)
Data
There are several types of ICMP messages. Each has its own format, and they all contain the following three fields:
an 8-bit integer indicating the type of the message (TYPE);
An 8-bit code field that specifies the purpose of the message;
A 16-bit checksum field.
All types of ICMP messages can be roughly divided into two groups:
error messages (for example, Destination unreachable);
requests and responses (for example, Echo Request and Echo Reply).
Let's start by reviewing the error messages. They contain the header and the first 64 data bits of the IP packet that the error occurred in transmitting. This is done so that the sending node can more accurately analyze the cause of the error, since all protocols of the TCP/IP stack application layer contain the most important information for analysis in the first 64 bits of their messages. The code field is used for most error messages. Echo Reply, Echo Request and Timestamp are mainly used for network research. A complete list of fields can be found in the RFC standard.
The best way to determine the availability of a node is to send an ICMP Echo message (Round 8). If the system is running and there is no filtering of this type of graph, an ICMP Echo Reply message (Round 0) will be sent in response.
The identification (i.e. detection) of network devices using the ICMP protocol can be performed in two ways:
sending a request, receiving a response;
invoking an error situation, receiving an error message.
The identification is based on the following principle. The node sending the ICMP request sets the values of the Identifier fields, these values allow you to determine the responses received from different nodes. And in order to distinguish several responses that came from the same node, the Sequence Number field is used. Zero is written in the Code field, the data field is arbitrary (for example, the alphabet). The responding party must replace the value of the Tour field with 0 and send the datagram back.
Now let's start moving from theory to practice.
To perform node detection, the ping utility is usually used, which is included in most operating systems. The IP/name is specified as the ping parameter, and as a result, we receive a response from the remote system. However, it has a significant drawback - all nodes are polled sequentially, which significantly increases the duration of the survey.
Accessing multiple nodes (ranges) at once using ICMP requests (Echo) is called ICMP Sweep or Ping Sweep. To explore a large network, you will need a utility capable of sending ICMP requests in parallel. However, speaking of Ping Sweep, it is worth noting that due to the parallel sending of multiple ICMP requests, attack detection systems will easily detect such a scan.
In my next posts, we'll look at a few of them as an example.
Oleg Petukhov, lawyer in the field of international law and personal data protection, information security specialist security, protection of information and personal data.
Telegram channel: https://t.me/protectioninformation
Telegram Group: https://t.me/informationprotection1
Website: https://legascom.ru
Email: online@legascom.ru
#informationprotection #informationsecurity
ICMP als Netzwerkforschungswerkzeug.
Das ICMP-Protokoll dient zur Identifizierung von Problemen mit der Netzwerkschicht. Normalerweise wird es in lokalen Netzwerken nicht blockiert, da es häufig von Systemadministratoren selbst verwendet wird, um nach Problemen im Netzwerk zu suchen. Aus diesem Grund können Sie mit Hilfe von ICMP die im Netzwerk laufenden Dienste untersuchen.
Betrachten wir zunächst die Grundprinzipien dieses Protokolls. ICMP-Nachrichten werden als IP-Datagramme gesendet, d. H. Ein IP-Header wird hinzugefügt. Das Format des ICMP-Pakets wird wie folgt dargestellt:
ICMP-Paketformat
Type (Typ) Code (Code) Checksum (Prüfsumme)
Die Daten
Es gibt verschiedene Arten von ICMP-Nachrichten. Jedes hat sein eigenes Format, wobei alle die folgenden drei Felder enthalten:
eine 8-Bit-Ganzzahl, die den Nachrichtentyp (TYPE) angibt;
ein 8-Bit-Code-Feld, das den Zweck der Nachricht konkretisiert;
ein 16-Bit-Feld der Prüfsumme (CHECKSUM).
Alle ICMP-Nachrichtentypen können in zwei Gruppen unterteilt werden:
fehlermeldungen (z. B. Destination unreachable);
anfragen und Antworten (z. B. Echo Request und Echo Reply).
Beginnen wir mit der Überprüfung der Fehlermeldungen. Sie enthalten den Header und die ersten 64 Bits der IP-Paketdaten, bei denen ein Fehler aufgetreten ist. Dadurch kann der Absenderknoten die Ursache des Fehlers genauer analysieren, da alle Protokolle auf Anwendungsebene des TCP/IP-Stapels die wichtigsten Informationen für die Analyse in den ersten 64 Bits ihrer Nachrichten enthalten. Für die meisten Fehlermeldungen wird ein Codefeld verwendet. Hauptsächlich werden Echo Reply, Echo Request und Timestamp für die Netzwerkforschung verwendet. Eine vollständige Liste der Felder finden Sie im RFC-Standard.
Die beste Methode zur Bestimmung der Verfügbarkeit eines Knotens ist das Senden einer ICMP-Echo-Nachricht (Tour 8). Wenn das System in Betrieb ist und kein Diagramm dieses Typs gefiltert wird, wird die Meldung ICMP Echo Reply (Runde 0) als Antwort angezeigt.
Die Identifizierung (d. H. Die Erkennung) von Netzwerkgeräten mithilfe des ICMP-Protokolls kann auf zwei Arten erfolgen:
senden einer Anfrage, Empfangen einer Antwort;
rufen Sie eine Fehlersituation auf, erhalten Sie eine Fehlermeldung.
Die Identifizierung basiert auf dem folgenden Prinzip. Der Knoten, der die ICMP-Anforderung sendet, legt die Werte der Identifier-Felder fest, mit diesen Werten können Sie Antworten definieren, die von verschiedenen Knoten stammen. Und um mehrere Antworten von einem einzelnen Knoten zu unterscheiden, wird das Feld Sequenznummer verwendet. Im Feld Code wird Null geschrieben, das Datenfeld ist willkürlich (z. B. Alphabet). Die antwortende Partei muss den Wert des Felds Toure durch 0 ersetzen und das Datagramm zurücksenden.
Jetzt werden wir von der Theorie in die Praxis übergehen.
Normalerweise wird das Ping-Dienstprogramm verwendet, das in den meisten Betriebssystemen enthalten ist, um eine Knotenermittlung durchzuführen. Der Ping-Parameter gibt die IP/den Namen an, und das Ergebnis ist eine Antwort des Remote-Systems. Es hat jedoch einen wesentlichen Nachteil: Alle Knoten werden nacheinander abgefragt, was die Dauer der Umfrage erheblich erhöht.
Das gleichzeitige Zugreifen auf mehrere Knoten (Bereiche) mithilfe von ICMP-Abfragen (Echo) wird als ICMP Sweep oder Ping Sweep bezeichnet. Um ein großes Netzwerk zu untersuchen, benötigen Sie ein Dienstprogramm, das ICMP-Anfragen parallel senden kann. Wenn wir jedoch von Ping Sweep sprechen, ist es erwähnenswert, dass Angriffserkennungssysteme aufgrund des gleichzeitigen Sendens vieler ICMP-Anfragen einen solchen Scan leicht erkennen können.
In meinen nächsten Beiträgen werden wir einige davon als Beispiel betrachten.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
ICMP comme outil de recherche de réseau.
Le protocole ICMP permet d'identifier les problèmes liés à la couche réseau. En règle générale, il n'est pas bloqué sur les réseaux locaux, car il est souvent utilisé par les administrateurs système eux-mêmes pour résoudre les problèmes réseau. Grâce à cela, il est possible d'effectuer des recherches sur les services en ligne à l'aide de l'ICMP.
Tout d'abord, considérons les principes de base de ce protocole. Les messages ICMP sont transmis sous forme de datagrammes IP, c'est-à-dire qu'un en-tête IP est Ajouté. Le format du package ICMP est le suivant:
Format du paquet ICMP
Type (Type) Code (Code) Checksum (somme de Contrôle)
Données
Il existe plusieurs types de messages ICMP. Chacun a son propre format, tous contenant les trois champs suivants:
Entier de 8 bits indiquant le type de message (TYPE);
Champ de code 8 bits (CODE) qui spécifie la destination du message;
Champ de somme de contrôle 16 bits (CHECKSUM).
Tous les types de messages ICMP peuvent être divisés en deux groupes:
messages d'erreur (par exemple Destination unreachable);
demandes et réponses (par exemple, Echo Request et Echo Reply).
Commençons par examiner les messages d'erreur. Ils contiennent l'en-tête et les 64 premiers bits de données du paquet IP lors de la transmission d'une erreur. Cela permet à l'hôte expéditeur d'analyser plus précisément la cause de l'erreur, car tous les protocoles de la couche d'application de la pile TCP/IP contiennent les informations les plus importantes à analyser dans les 64 premiers bits de leurs messages. Pour la plupart des messages d'erreur, un champ de code est impliqué. La plupart du temps, Echo Reply, Echo Request et Timestamp sont utilisés pour l'exploration du réseau. La liste complète des champs peut être trouvée dans la norme RFC.
La meilleure méthode pour déterminer la disponibilité d'un hôte consiste à envoyer un message ICMP Echo (Ture 8). Si le système fonctionne et qu'il n'y a pas de filtrage de ce type de graphique, le message ICMP Echo Reply (ture 0) sera répondu.
L'identification (c'est-à-dire la découverte) des périphériques réseau à l'aide du protocole ICMP peut être effectuée de deux manières:
envoyer une demande, recevoir une réponse;
appeler la situation d'erreur, recevoir le message d'erreur.
L'identification repose sur le principe suivant. Le nœud qui envoie la requête ICMP définit les valeurs des champs Identifier, ces valeurs vous permettent d'identifier les réponses provenant de différents nœuds. Et pour distinguer plusieurs réponses provenant d'un seul nœud, le champ Sequence Number est utilisé. Le champ Code écrit zéro, le champ de données est arbitraire (par exemple, alphabet). Le répondant doit remplacer la valeur du champ Touré par 0 et renvoyer le datagramme.
Maintenant, de la théorie, nous commençons à passer à la pratique.
L'utilitaire ping, qui fait partie de la plupart des systèmes d'exploitation, est généralement utilisé pour effectuer la détection de nœud. Le paramètre ping est spécifié IP / nom, et le résultat est une réponse du système distant. Cependant, elle présente un inconvénient important: tous les nœuds sont interrogés de manière séquentielle, ce qui augmente considérablement la durée de l'enquête.
L'accès à plusieurs nœuds (plages) à la fois à l'aide de requêtes ICMP (Echo) est appelé balayage ICMP ou balayage Ping. Pour Explorer un grand réseau, vous aurez besoin d'un utilitaire capable d'envoyer des requêtes ICMP en parallèle. Cependant, en parlant de Ping Sweep, il convient de noter qu'en raison de l'envoi simultané de nombreuses demandes ICMP, les systèmes de détection d'attaque identifieront facilement un tel balayage.
Dans mes prochains articles, nous en examinerons quelques-uns à titre d'exemple.
Petukhov Oleg, avocat en droit international et protection des données personnelles, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Telegram Channel: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
E-mail: online@legascom.ru
#sécuritéinformations #informationsécurité
ICMP comme outil de recherche de réseau.
Le protocole ICMP permet d'identifier les problèmes liés à la couche réseau. En règle générale, il n'est pas bloqué sur les réseaux locaux, car il est souvent utilisé par les administrateurs système eux-mêmes pour résoudre les problèmes de réseau. Grâce à cela, il est possible de faire des recherches sur les services en ligne à l'aide de l'ICMP.
Tout d'abord, considérons les principes de base de ce protocole. Les messages ICMP sont transmis sous forme de datagrammes IP, c'est-à-dire qu'un en-tête IP est Ajouté. Le format du paquet ICMP est le suivant:
Format du paquet ICMP
Type (Type) Code (Code) Checksum (somme de contrôle)
Données
Il existe plusieurs types de messages ICMP. Chacun a son propre format, tous contenant les trois champs suivants:
Entier de 8 bits indiquant le type de message (TYPE);
Champ de code 8 bits (CODE) qui spécifie la destination du message;
Champ de somme de contrôle 16 bits (CHECKSUM).
Tous les types de messages ICMP peuvent être divisés en deux groupes:
messages d'erreur (par exemple Destination non reachable);
demandes et réponses (par exemple, Écho Request et Écho Reply).
Commençons par examiner les messages d'erreur. Ils contiennent l'en-tête et les 64 premiers bits de données du paquet IP lors de la transmission d'une erreur. Cela permet à l'hôte expéditeur d'analyser plus précisément la cause de l'erreur, car tous les protocoles de la couche d'application de la pile TCP/IP contiennent les informations les plus importantes à analyser dans les 64 premiers bits de leurs messages. Pour la plupart des messages d'erreur, un champ de code est impliqué. La plupart du temps, Echo Reply, Echo Request et Timestamp sont utilisés pour l'exploration du réseau. La liste complète des champs se trouve dans la norme RFC.
La meilleure méthode pour déterminer la disponibilité d'un hôte est d'envoyer un message ICMP Echo (Ture 8). Si le système fonctionne et qu'il n'y a pas de filtrage de ce type de graphique, le message ICMP Echo Reply (ture 0) sera répondu.
L'identification (c'est-à-dire la découverte) des périphériques réseau à l'aide du protocole ICMP peut être effectuée de deux façons : envoyer une demande, recevoir une réponse; appeler la situation d'erreur, recevoir le message d'erreur. L'identification est basée sur le principe suivant. Le nœud qui envoie la requête ICMP définit les valeurs des champs Identifier, ces valeurs vous permettent d'identifier les réponses provenant de différents nœuds. Et pour distinguer plusieurs réponses provenant d'un seul nœud, le champ Sequence Number est utilisé. Le champ Code écrit zéro, le champ de données est arbitraire (par exemple, alphabet). Le répondant doit remplacer la valeur du champ Touré par 0 et retourner le datagramme.
Maintenant, de la théorie, on commence à passer à la pratique.
L'utilitaire ping, qui fait partie de la plupart des systèmes d'exploitation, est généralement utilisé pour effectuer la détection de nœud. Le paramètre ping est spécifié IP / nom, et le résultat est une réponse du système distant. Cependant, elle présente un inconvénient important : tous les nœuds sont interrogés de manière séquentielle, ce qui augmente considérablement la durée de l'enquête.
L'accès à plusieurs nœuds (plages) à la fois à l'aide de requêtes ICMP (Echo) est appelé balayage ICMP ou balayage Ping. Pour Explorer un grand réseau, vous aurez besoin d'un utilitaire capable d'envoyer des requêtes ICMP en parallèle. Cependant, en parlant de Ping Sweep, il convient de noter qu'en raison de l'envoi simultané de nombreuses demandes ICMP, les systèmes de détection d'attaque identifieront facilement un tel balayage.
Dans mes prochains articles, nous en examinerons quelques-uns à titre d'exemple.
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel: online@legascom.ru
#sécuritéinformations #informationsécurité
ICMP como herramienta de investigación de red.
El protocolo ICMP sirve para identificar problemas relacionados con la capa de red. Por lo general, no se bloquea en las redes locales, ya que a menudo es utilizado por los propios administradores del sistema para encontrar problemas en la red. Gracias a esto, con la ayuda de ICMP, es posible investigar los servicios que operan en la red.
En primer lugar, consideremos los principios básicos de este protocolo. Los mensajes ICMP se transmiten como datagramas IP, es decir, se les agrega un encabezado IP. El formato del paquete ICMP se presenta de la siguiente manera:
Formato de paquete ICMP
Type (Tipo) Code (código) Checksum (suma de Comprobación)
Datos
Hay varios tipos de mensajes ICMP. Cada uno tiene su propio formato, y todos contienen los siguientes tres campos:
Un entero de 8 bits que indica el tipo de mensaje (TYPE);
Campo de código de 8 bits (CODE) que especifica el propósito del mensaje;
Campo de suma de comprobación de 16 bits (CHECKSUM).
Todos los tipos de mensajes ICMP se pueden dividir condicionalmente en dos grupos:
mensajes de error (por ejemplo, Destination unreachable);
solicitudes y respuestas (por ejemplo, echo Request y echo Reply).
Comencemos mirando los mensajes de error. Contienen el encabezado y los primeros 64 bits de datos del paquete IP en el que se produjo el error. Esto se hace para que el nodo emisor pueda analizar con mayor precisión la causa del error, ya que todos los protocolos de la capa de aplicación de la pila TCP/IP contienen la información más importante para analizar en los primeros 64 bits de sus mensajes. La mayoría de los mensajes de error incluyen un campo de código. Se utilizan principalmente para la investigación de la red Echo Reply, echo Request y Timestamp. La lista completa de campos se puede encontrar en el estándar RFC.
El mejor método para determinar la disponibilidad de un nodo es enviar un mensaje ICMP Echo (Tour 8). Si el sistema funciona y no hay filtrado de gráficos de este tipo, el mensaje ICMP Echo Reply (ture 0) responderá.
La identificación (es decir, detección) de dispositivos de red mediante el protocolo ICMP se puede hacer de dos maneras:
envío de la consulta, Recepción de la respuesta;
llamar a una situación de error, recibir un mensaje de error.
La identificación se basa en el siguiente principio. El nodo que envía la solicitud ICMP establece los valores de los campos Identifier, estos valores le permiten identificar las respuestas que provienen de diferentes nodos. Y para distinguir varias respuestas que provienen de un solo nodo, se usa el campo Sequence Number. El campo Code escribe cero, el campo de datos es arbitrario (por ejemplo, alfabeto). La parte que responde debe reemplazar el valor del campo Touré por 0 y enviar el datagrama de vuelta.
Ahora, de la teoría, comencemos a pasar a la práctica.
Para realizar la detección de nodos, generalmente se usa la utilidad ping, que es parte de la mayoría de los sistemas operativos. El parámetro ping especifica IP / nombre y, como resultado, obtenemos la respuesta del sistema remoto. Sin embargo, tiene un inconveniente importante: todos los nodos se sondean secuencialmente, lo que aumenta significativamente la Duración de la encuesta.
Llamar a varios nodos (rangos) a la vez usando consultas ICMP (Echo) se llama ICMP Sweep o Ping Sweep. La exploración de una red grande requerirá una utilidad capaz de enviar solicitudes ICMP en paralelo. Sin embargo, hablando de Ping Sweep, vale la pena señalar que, debido al envío paralelo de muchas solicitudes ICMP, los sistemas de detección de ataques detectarán fácilmente dicho escaneo.
En mis siguientes publicaciones, veremos algunos de ellos como ejemplo.
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
ICMP como ferramenta de pesquisa de rede.
O protocolo ICMP é usado para identificar problemas relacionados à camada de rede. Normalmente, ele não é bloqueado em redes locais, pois é frequentemente usado pelos próprios administradores de sistemas para solucionar problemas de rede. Isso permite que o ICMP investigue os serviços que operam na rede.
Antes de mais nada, consideremos os princípios básicos deste protocolo. As mensagens ICMP são transmitidas como datagramas IP, ou seja, um cabeçalho IP é adicionado a elas. O formato do pacote ICMP é apresentado da seguinte forma::
Formato do pacote ICMP
Type (Tipo) Code (Código) Checksum (checksum)
Dados
Existem vários tipos de mensagens ICMP. Cada um tem seu próprio formato, e todos eles contêm os seguintes três campos:
Um número inteiro de 8 bits que indica o tipo de mensagem (TYPE);
Um campo de código de 8 bits que especifica o propósito da mensagem;
Um campo de soma de verificação de 16 bits (CHECKSUM).
Todos os tipos de mensagens ICMP podem ser divididos em dois grupos:
mensagens de erro (por exemplo, Destination unreachable);
solicitações e respostas (por exemplo, Echo Request e Echo Reply).
Vamos começar examinando as mensagens de erro. Eles contêm o cabeçalho e os primeiros 64 bits de dados do pacote IP que ocorreu um erro de transmissão. Isso é feito para que o host de origem possa analisar com mais precisão a causa do erro, já que todos os protocolos da camada de aplicação da pilha TCP/IP contêm as informações mais importantes para análise nos primeiros 64 bits de suas mensagens. A maioria das mensagens de erro usa um campo de código. O Echo Reply, o Echo Request e o Timestamp são usados principalmente para pesquisa de rede. Uma lista completa de Campos pode ser encontrada no padrão RFC.
O melhor método para determinar a disponibilidade de um nó é enviar uma mensagem ICMP Echo (Tour 8). Se o sistema estiver funcionando e não houver filtragem de gráficos desse tipo, A resposta será a mensagem ICMP Echo Reply (Tour 0).
A identificação (ou seja, detecção) de dispositivos de rede usando o protocolo ICMP pode ser realizada de duas maneiras:
enviar uma solicitação, receber uma resposta;
chamando uma situação de erro, recebendo uma mensagem de erro.
A base da identificação é o seguinte princípio. O host que envia a solicitação ICMP define os valores dos Campos Identifier, esses valores permitem que você determine as respostas que vêm de diferentes hosts. O campo Sequence Number é usado para distinguir várias respostas de um nó. O campo de código é zero, o campo de dados é arbitrário (por exemplo, alfabeto). A parte responsável deve substituir o valor do campo Ture por 0 e enviar o datagrama de volta.
Passemos da teoria para a prática.
Para realizar a detecção de host, o utilitário ping, que faz parte da maioria dos sistemas operacionais, é normalmente usado. O parâmetro ping especifica o IP/nome e, como resultado, obtemos a resposta do sistema remoto. No entanto, ele tem uma desvantagem significativa - todos os nós são entrevistados de forma consistente, o que aumenta significativamente a duração da pesquisa.
Acessar vários nós (intervalo) usando consultas ICMP (echo) é chamado de varredura ICMP ou Varredura Ping. Para explorar uma grande rede, você precisará de um utilitário capaz de enviar solicitações ICMP em paralelo. No entanto, falando de Ping Sweep, vale a pena notar que, devido ao envio paralelo de muitas solicitações ICMP, os sistemas de detecção de ataque detectarão facilmente essa varredura.
Nos meus próximos posts, consideraremos alguns deles como exemplo.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
ICMP como ferramenta de pesquisa de rede.
O protocolo ICMP é usado para identificar problemas relacionados à camada de rede. Como regra, ele não é bloqueado em redes locais, pois é frequentemente usado pelos próprios administradores do sistema para procurar problemas de rede. Devido a isso, o ICMP pode ser usado para realizar pesquisas sobre serviços que operam na rede.
Em primeiro lugar, vamos considerar os princípios básicos deste protocolo. As mensagens ICMP são transmitidas como datagramas IP, o que significa que o cabeçalho IP é anexado a elas. O formato do pacote ICMP é apresentado da seguinte forma:
Formato do pacote ICMP
Tipo (Tipo) Código (Código) Checksum (Checksum)
Dados
Existem vários tipos de mensagens ICMP. Cada um tem seu próprio formato e todos eles contêm os três campos a seguir:
um inteiro de 8 bits indicando o tipo da mensagem (tipo);
Um campo de código de 8 bits que especifica a finalidade da mensagem;
Um campo checksum de 16 bits.
Todos os tipos de mensagens ICMP podem ser divididos em dois grupos:
mensagens de erro (por exemplo, Destination unreachable);
solicitações e respostas (por exemplo, solicitação de Eco e Resposta de Eco).
Vamos começar revisando as mensagens de erro. Eles contêm o cabeçalho e os primeiros 64 bits de dados do pacote IP que ocorreu o erro na transmissão. Isso é feito para que o nó remetente possa analisar com mais precisão a causa do erro, uma vez que todos os protocolos da camada de aplicação da pilha TCP/IP contêm as informações mais importantes para análise nos primeiros 64 bits de suas mensagens. O campo Código é usado para a maioria das mensagens de erro. Echo Reply, Echo Request e Timestamp são usados principalmente para pesquisa de rede. Uma lista completa de Campos pode ser encontrada no padrão RFC.
A melhor maneira de determinar a disponibilidade de um nó é enviar uma mensagem de eco ICMP (Round 8). Se o sistema estiver em execução e não houver filtragem desse tipo de gráfico, UMA Mensagem de Resposta de eco ICMP (rodada 0) será enviada em resposta.
A identificação (ou seja, detecção) de dispositivos de rede usando o protocolo ICMP pode ser realizada de duas maneiras:
enviando uma solicitação, recebendo uma resposta;
invocando uma situação de erro, recebendo uma mensagem de erro.
A identificação é baseada no seguinte princípio. O nó que envia a solicitação ICMP define os valores dos Campos identificadores, esses valores permitem determinar as respostas recebidas de diferentes nós. E para distinguir várias respostas que vieram do mesmo nó, o campo Número de sequência é usado. Zero é escrito no campo de código, o campo de dados é arbitrário (por exemplo, o alfabeto). A parte respondente deve substituir o valor do campo Tour por 0 e enviar o datagrama de volta.
Agora vamos começar a passar da teoria para a prática.
Para realizar a detecção de nós, geralmente é usado o utilitário ping, incluído na maioria dos sistemas operacionais. O IP/nome é especificado como o parâmetro ping e, como resultado, recebemos uma resposta do sistema remoto. No entanto, tem uma desvantagem significativa - todos os nós são pesquisados sequencialmente, o que aumenta significativamente a duração da pesquisa.
Acessar vários nós (intervalos) de uma só vez usando solicitações ICMP (Echo) é chamado de varredura ICMP ou Varredura Ping. Para explorar uma grande rede, você precisará de um utilitário capaz de enviar solicitações ICMP em paralelo. No entanto, por falar em Ping Sweep, é importante notar que, devido ao envio paralelo de várias solicitações ICMP, os sistemas de detecção de ataques detectarão facilmente essa varredura.
Nos próximos posts, veremos alguns deles como exemplo.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
ICMP come strumento di esplorazione della rete.
Il protocollo ICMP consente di identificare i problemi relativi al livello di rete. Di norma, non viene bloccato nelle reti locali, poiché viene spesso utilizzato dagli stessi amministratori di sistema per risolvere i problemi di rete. Grazie a ciò, con L'aiuto di ICMP, è possibile effettuare ricerche sui servizi in esecuzione sulla rete.
Prima di tutto, considera i principi di base di questo protocollo. I messaggi ICMP vengono trasmessi come datagrammi IP, ovvero viene aggiunta un'intestazione IP. Il formato del pacchetto ICMP è rappresentato come segue:
Formato pacchetto ICMP
Type (Tipo) Code (Codice) Checksum (Checksum)
Data
Esistono diversi tipi di messaggi ICMP. Ognuno ha un formato diverso, con tutti i seguenti tre campi:
Numero intero a 8 bit che indica il tipo di messaggio (TYPE);
Un campo di codice a 8 bit (CODE) che istanzia lo scopo del messaggio;
Campo checksum (CHECKSUM) a 16 bit.
Tutti i tipi di messaggi ICMP possono essere suddivisi in due gruppi:
messaggi di errore (ad esempio Destination unreachable);
richieste e risposte (come Echo Request ed Echo Reply).
Iniziamo esaminando i messaggi di errore. Contengono un'intestazione e i primi 64 bit di dati del pacchetto IP che ha generato un errore durante la trasmissione. Questo viene fatto in modo che il nodo mittente sia in grado di analizzare più accuratamente la causa dell'errore, poiché tutti i protocolli a livello di applicazione dello stack TCP/IP contengono le informazioni più importanti da analizzare esattamente nei primi 64 bit dei loro messaggi. Per la maggior parte dei messaggi di errore, è coinvolto un campo di codice. Fondamentalmente, Echo Reply, Echo Request e Timestamp vengono utilizzati per esplorare la rete. Un elenco completo dei campi può essere trovato nello standard RFC.
Il metodo migliore per determinare la disponibilità di un nodo è inviare un messaggio ICMP Echo (Ture 8). Se il sistema funziona e non è presente alcun filtro grafico di questo tipo, verrà visualizzato un messaggio ICMP Echo Reply (Ture 0).
L'identificazione (ovvero il rilevamento) dei dispositivi di rete tramite il protocollo ICMP può essere eseguita in due modi:
inviare una richiesta, ricevere una risposta;
chiamare la situazione di errore, ottenere il messaggio di errore.
Il seguente principio si basa sull'identificazione. Il nodo che invia la richiesta ICMP imposta i valori dei campi Identifier, questi valori consentono di identificare le risposte provenienti da nodi diversi. E per distinguere più risposte provenienti da un singolo nodo, viene utilizzato il campo Numero di sequenza. Il campo Codice scrive zero, il campo dati è arbitrario (ad esempio alfabeto). Il rispondente deve sostituire il valore del campo Ture con 0 e inviare nuovamente il datagramma.
Ora dalla teoria inizieremo a passare alla pratica.
Per eseguire il rilevamento del nodo, di solito viene utilizzata l'utilità ping, inclusa nella maggior parte dei sistemi operativi. Il parametro ping specifica IP / nome e, di conseguenza, otteniamo la risposta del sistema remoto. Tuttavia, presenta uno svantaggio significativo : tutti i nodi vengono interrogati in sequenza, il che aumenta significativamente la durata del sondaggio.
L'accesso a più nodi contemporaneamente (intervallo) utilizzando le richieste ICMP (Echo) è chiamato ICMP Sweep o Ping Sweep. L'esplorazione di una rete di grandi dimensioni richiederà un'utilità in grado di inviare richieste ICMP in parallelo. Tuttavia, parlando di Ping Sweep, vale la pena notare che, a causa dell'invio simultaneo di molte richieste ICMP, i sistemi di rilevamento degli attacchi determineranno facilmente tale scansione.
Nei miei prossimi post, ne esamineremo alcuni come esempio.
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
