ICMP Tunneling

Was ist ICMP?

Das Internet Control Message Protocol (ICMP) ist ein Protokoll der Schicht drei im ISO/OSI Modell und wird in der RCF 792 beschrieben. Grundsätzlich ist ICMP ein Bestandteil von IPv4, wird aber wie ein eigenständiges Protokoll behandelt.

Die digitale Bedrohungslage hat sich in den letzten Jahren stark weiterentwickelt. Die IT-Security Landschaft in Unternehmen hat sich dementsprechend angepasst.

Firewalls, Intrusion Detection und Prevention Systeme (IDS & IPS), Security Information and Event Management Systeme (SIEM), User and Entity Behavior Analytics (UEBA) und Stateful Protocol Analysis – Netzwerküberwachung wird immer enger gestrickt und Angreifer sind gezwungen, neue Wege zu finden, um unentdeckt im Netzwerk zu bleiben.

Eine beliebte Möglichkeit ist das ICMP-Tunneling. Hacker nutzen Protokolle der unteren ISO/OSI-Modell Schichten, die üblicherweise nicht so streng überwacht werden, um Ihren Traffic zu verschleiern.

ICMP, uses the basic support of IP as if it were a higher level protocol, however, ICMP is actually an integral part of IP, and must be implemented by every IP module.
RFC 792:

Beim IMCP-Tunneling wird ICMP in Netzwerken für Informations- oder Fehlermeldungen über das IPv4 Protokoll genutzt.

Ist Dein IT-System vor IMCP-Tunneling geschützt?

Lass Deine IT jetzt durch eine professionelle Schwachstellenanalyse überprüfen!

Zum Schwastellenanalyse

Aufbau einer ICMP Nachricht

Bit 0-7

Bit 8-15

Bit 16-23

Bit 24-31

Typ

Code

Prüfsumme

Daten (optional)

Es gibt beim ICMP-Tunneling unterschiedliche ICMP Pakettypen. Der jeweilige Typ des ICMP Pakets wird als 8-Bit-Zahl am Anfang des ICMP-Headers festgelegt. Das Feld Code spezifiziert die Art der Nachricht genauer.

Typ

Typname

Code

Bedeutung

Echo Reply

Destination Unreachable

Host unreachable

Post unreachable

Echo Request

Die Tabelle bildet nur einen kleinen Teil der ICMP-Pakettypen ab

Wie funktioniert das ICMP-Tunneling?

Normalerweise werden im Datenfeld des ICMP Pakets genauere Informationen zur Zuordnung der ICMP-Nachricht hinterlegt. In der RFC 792 gibt es aber keine Regelung dazu, was in dem Datenfeld stehen muss. Diese Design-Entscheidung nutzen Angreifer beim ICMP-Tunneling aus. Anstatt direkt mit dem Ziel über z.B. TCP zu kommunizieren, verpacken Angreifer jedes Paket in ein ICMP-Echo oder Reply Paket. In einem Netzwerkmitschnitt würde man nur eine Reihe von Ping Paketen sehen, anstatt z.B. eine TCP-Verbindung.

Windows und Linux ICMP-Tools versenden Pakete meist mit einem Payload von 64 Byte. Das Protokoll erlaubt aber einen Payload von insgesamt 64 KiloByte.

Um Daten über ICMP zu tunneln, bedarf es einem Client und einem Server. Bei asynchronen Verbindungen ist der Traffic dabei wesentlich höher als bei synchronen Verbindungen.

Problematisch wird es dann aber bei stateful Firewalls oder NAT Geräten. Diese erlauben einen Echo Reply nur, wenn es ein passendes Echo Request Paket gibt. Stateful Firewalls und NAT Geräte würden also viele Echo Reply Pakete verwerfen, da es mehr Replies als Requests geben würde.

Es gibt aber schon einige ICMP-Tunneling Tools, die auch dieses Problem umgehen können. Der Client sendet in kontinuierlichen Abständen leere Echo Request Pakete, auf die der Server mit Echo Reply Paketen antworten kann.

Wie kann ICMP-Tunneling erkannt werden?

Überdurchschnittlicher Traffic

Sollte der ICMP Tunnel genutzt werden, um große Mengen an Daten zu tunneln, steigt die Anzahl der ICMP Pakete im Netzwerk extrem an. Ein normales ICMP Tool würde nur ein „paar“ Pakete pro Sekunde versenden. Sollte man beim ICMP-Tunneling HTTP über ICMP tunneln, bedarf es jedoch einiger tausend Pakete in derselben Zeit.

Paketgröße

Im Normalfall haben ICMP Pakete eine feste Größe. Die Größe mag von Betriebssystem zu Betriebssystem unterschiedlich sein, sollte aber weitestgehend gleichbleiben. Gerade um im Bezug zum ersten Punkt weniger aufzufallen, werden Angreifer beim ICMP-Tunneling mehr Daten in ein einzelnes ICMP Paket verschachteln, um weniger Traffic zu erzeugen.

ICMP ECHO REQUESTS

Um stateful Firewalls und NAT zu umgehen, werden beim ICMP-Tunneling in kontinuierlichen Abständen leere ICMP Echo Requests gesendet. Diese sollten bei genauerer Betrachtung des Netzwerkverkehrs auffallen, sind aber schwer von normalen ICMP Traffic zu unterscheiden.

ICMP ECHO REPLIES

Normalerweise enthalten ICMP Echo Replies denselben Payload wie dazugehörige Echo Requests. Sollte sich der Payload unterscheiden, ist dies ein Zeichen für ICMP-Tunneling.

Gerne beraten wir Dich auch bei weiteren IT-Sicherheitsthemen!

Kontaktiere uns jetzt! Per Telefon oder über unser Kontaktformular

Zum Kontakt

ICMP-Tunneling mit ProSec aufspüren

Damit die sensiblen Daten Ihres Unternehmens sicher und geschützt bleiben, ist die IT-Sicherheit Ihres Firmennetzwerks von großer Bedeutung. ICMP-Tunneling stellt eine neuartige Bedrohung für Ihre IT-Infrastruktur dar und sollte daher bei der Überprüfung der IT-Sicherheit nicht außer Acht gelassen werden. ProSec ist sich dieser Tatsache bewusst und überprüft mithilfe von Penetration Tests auch diese Möglichkeit des Eindringens in Ihr Firmennetzwerk. Finden Sie heraus, wie hoch die Gefahr durch ICMP-Tunneling für Sie ist und nehmen Sie noch heute Kontakt zu uns auf. Wir helfen Ihnen dabei, sicher und geschützt zu bleiben.