ICMP-Timestamp-Anfrage mit hping
Version vom 25. Juli 2024, 06:54 Uhr von Thomas.will (Diskussion | Beiträge) (→Deaktivieren von ICMP-Timestamp-Anfragen)
Erklärung der ICMP-Timestamp-Anfrage und -Antwort
Der Begriff "LOW - ICMP Timestamp Request Remote Date Disclosure" bezieht sich auf eine Sicherheitslücke, die in Netzwerken auftreten kann. Hier ist eine detaillierte Erklärung auf Deutsch:
Bedeutung der Begriffe
- LOW: Dies zeigt an, dass die Sicherheitslücke als geringes Risiko eingestuft wird. Es bedeutet, dass das Problem nicht sehr schwerwiegend ist und wahrscheinlich keine großen Schäden verursachen wird, aber dennoch beachtet werden sollte.
- ICMP: Internet Control Message Protocol. Dies ist ein Netzwerkprotokoll, das verwendet wird, um Fehlerberichte und operationale Informationen im Netzwerk zu senden, z.B. durch Ping-Befehle.
- Timestamp Request: Dies ist eine spezielle Art von ICMP-Nachricht. Sie wird verwendet, um die Uhrzeit eines entfernten Systems zu erfragen.
- Remote Date Disclosure: Dies bedeutet, dass ein Angreifer durch diese Sicherheitslücke Informationen über das Datum und die Uhrzeit eines entfernten Systems herausfinden kann.
Erklärung der Sicherheitslücke
Diese Sicherheitslücke tritt auf, wenn ein System auf eine ICMP-Timestamp-Anfrage antwortet. Ein Angreifer kann diese Antwort nutzen, um die aktuelle Uhrzeit des Systems zu erfahren. Das mag auf den ersten Blick unbedeutend erscheinen, aber es gibt Situationen, in denen diese Information nützlich sein kann, z.B.:
- Zeitbasiertes Angriffsszenario: Ein Angreifer könnte die Zeitinformationen nutzen, um die Reihenfolge von Netzwerkpaketen zu analysieren und Rückschlüsse auf die Aktivität oder den Zustand eines Systems zu ziehen.
- Synchronisation von Angriffen: Bei koordinierten Angriffen könnte ein Angreifer die Uhrzeit nutzen, um die Angriffe besser zu synchronisieren.
Maßnahmen zur Abhilfe
- ICMP-Timestamp-Anfragen deaktivieren: Eine der besten Möglichkeiten, diese Sicherheitslücke zu schließen, besteht darin, die Antworten auf ICMP-Timestamp-Anfragen auf Firewalls oder im Betriebssystem zu deaktivieren.
- Netzwerküberwachung: Überwachen Sie Ihr Netzwerk auf ungewöhnliche ICMP-Aktivitäten, um mögliche Angriffsversuche zu erkennen.
Abfrage eines ICMP-Timestamps mit hping3
Um eine ICMP-Timestamp-Anfrage auf einem Linux-System zu senden und die Antwort zu analysieren, können Sie das Kommandozeilen-Tool hping3 verwenden.
Beispiel
Hier ist ein Beispiel, wie man eine ICMP-Timestamp-Anfrage an das System gaius.tuxmen.de sendet:
sudo hping3 -1 --icmp-ts -c 1 gaius.tuxmen.de
HPING gaius.tuxmen.de (eth0 78.47.133.194): icmp mode set, 28 headers + 0 data bytes
len=42 ip=78.47.133.194 ttl=53 id=61165 icmp_seq=0 rtt=11.7 ms
ICMP timestamp: Originate=24701842 Receive=24701848 Transmit=24701848
ICMP timestamp RTT tsrtt=12
--- gaius.tuxmen.de hping statistic ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 11.7/11.7/11.7 ms
Erklärung der wichtigen Felder
- Originate=24701842: Dies ist der Zeitpunkt, zu dem das Timestamp-Paket von Ihrem System gesendet wurde. Der Wert wird in Millisekunden seit Mitternacht UTC angegeben.
- Receive=24701848: Dies ist der Zeitpunkt, zu dem das Zielsystem das Timestamp-Paket erhalten hat.
- Transmit=24701848: Dies ist der Zeitpunkt, zu dem das Zielsystem das Antwortpaket gesendet hat.
- ICMP timestamp RTT tsrtt=12: Dies gibt die Round-Trip-Time (RTT) der ICMP-Timestamp-Anfrage und -Antwort in Millisekunden an. In diesem Fall beträgt sie 12 Millisekunden.
Deaktivieren von ICMP-Timestamp-Anfragen
- Falls Sie feststellen, dass Ihr System auf solche Anfragen antwortet und Sie dies deaktivieren möchten, können Sie die folgende iptables-Regel verwenden:
sudo iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP
- Diese Regel fügt eine Regel in die Eingabekette der Firewall hinzu, die alle ICMP-Timestamp-Anfragen verwirft.
Zusammenfassung
- Das Zielsystem gaius.tuxmen.de antwortet auf ICMP-Timestamp-Anfragen und gibt dabei Zeitstempel in Millisekunden seit Mitternacht UTC an.
- Dies könnte potenziell von Angreifern genutzt werden, um zusätzliche Informationen über das System zu erhalten. Durch das Blockieren solcher Anfragen können Sie die Sicherheit Ihres Systems erhöhen.