[정보보안 정리] 네트워크 - ICMP 프로토콜

3계층 IP 프로토콜은 신뢰할 수 없는 프로토콜.

전송상태에 대한 관리가 이루어지지 않는 단점을 보완하기 위한 프로토콜이 ICMP 프로토콜

 

*ICMP 프로토콜

: IP 패킷 전송 중 에러 발생 시 에러 발생 원인을 알려주거나 네트워크 상태를 진단해주는 기능 제공

-Error-Reporting Message : 전송 중 오류 발생 시 에러메시지 생성

-Query Message : 네트워크 상태 진단을 위한 쿼리 요청 및 응답 메시지

 

---

 

*ICMP 프로토콜 구조

https://info.support.huawei.com/info-finder/encyclopedia/en/ICMP.html

- Type(8bits) : ICMP 메시지 유형/용도

-Code(8bits) : Type 세부 내용

-Checksum(16bits) : ICMP 메시지 오류 검사 값

-Rest of the header : Type과 Code에 따라 추가되는 헤더

-Data section : 데이터가 위치하는 영역

 

---

 

*ICMP Error-Reporting 메시지

-Destination Unreachable(Type 3) : 해당 목적지 도달 할 수 없음

(1) Code 1(Host Unreachable) : 최종 단계의 라우터가 목적지 호스트로 패킷 전송 실패

(2) Code 2(Protocol Unreachable) :  목적지 호스트에서 특정 프로토콜을 사용할 수 없는 경우

(3) Code 3(Port Unreachable) : 목적지 호스트에 해당 UDP 포트가 열려있지 않은 경우,

TCP 경우 포트가 열려있지 않으면 TCP RST 패킷 반환

(4) Code 4(Fragmentation needed and don't fragment was set) : IP 패킷 단편화가

반드시 필요하나 IP 헤더의 Don't fragment 플래그가 설정되어 단편화가 불가능한 경우

 

-Redirection(Type 5) : 라우팅 경로가 잘못되어 새로운 경로를 이전 경유지 또는 호스트에게 알려주는 메시지

(1) ICMP Redirect 공격에 사용

 

-Time Exceeded(Type 11) : 타임아웃이 발생하여 IP 패킷 폐기

(1) Code 0(Time To Live exceeded in Transit) : IP 패킷이 최종 목적지 도달하기 전에 TTL 값이 0이 되어 폐기

(2) Code 1(Fragment reassembly time exceeded) : IP 패킷 재조합 과정에서 타임아웃

 

---

 

*ICMP Query 메시지

-Echo Request(Type 8) and Reply(Type 0)

: ping 유틸리티 프로그램에 사용되는 메시지. 종단 노드간에 네트워크 호스트 상태진단 목적

 

---

 

*ICMP 리다이렉트(Redirect) 공격

: ICMP Redirection 메시지(Type 5)를 이용해 패킷 경로를 악의적으로 재설정하는 공격.

ICMP Redirection 메시지를 수신한 호스트는 자신의 라우팅 테이블에 특정 목적지로 나가는 gateway 주소를 변경하는데

공격자는 이를 악용하여 자신이 원하는 형태의 ICMP Redirection 메시지를 만들어 특정 목적지로 가는 패킷을 공격자로 향하도록 함.

 

-ARP Redirect와의 차이점

(1) ARP Redirect : 희생자의 ARP Cache Table 변조하여 스니핑

(2) ICMP Redirect : 희생자의 라우팅 테이블 변조하여 스니핑

 

-대응방법

(1) ICMP Redirection 메시지에 의해 라우팅 테이블이 변경되지 않도록 Redirect 옵션 해제

#sysctl -w net.ipv4.conf.all.accept_redirects=0