Hva er egentlig ICMP ?

[hhhmmm]

Er en av dem som har Kvalito som isp. Og opplever av og til skrekkelig dårlig forbindelse til utlandet. For en tid tilbake postet Kvalito en forklaring på dette i driftsloggen sin.

 

Det jeg lurer på er

1 ) Hva er egentlig ICMP ?

2 ) Hvilken effekt har det at isp'en blokkerer 92 bytes ICMP ting ?

3 ) Hvis det har noen negativ effekt, hvordan kan jeg unngå dette ?

 

Hele forklaring fra dem, finnes også på http://www.kvalito.no/driftslogg/loggs.asp ;

 

Her kommer forklaringen i fra vår utenlandslinjeleverandør, om årsaken til at ping og traceroute fungerer dårlig: We has long had a policy of rate-limiting ICMP traffic on our network border, which was instituted in February of 2000 in response to a distributed denial of service attack against Yahoo. This rate limiting has been very effective in minimizing the impact of distributed denial of service attacks over the last 3.5 years. Over the last few months, with the continuing growth of infections of Windows machines with the Nachi worm (also known as Welchi, Welchia, or MSBLAST.D), the quantity of ICMP traffic on the Internet and on Global Crossing's network has grown to such an extent that the ICMP rate limits were being exceeded and traffic dropped on some peering interfaces. To resolve this problem, we have instituted separate filters designed to specifically drop the 92-byte ICMP echo request packets generated by the worm. Unfortunately, this has the side-effect of also blocking Microsoft Windows tracert ICMP echo request packets which are also 92 bytes in length. This means that Windows tracert will stop with "Request timed out" at Global Crossing's network edge. Traditional UDP-based traceroute (such as Unix traceroute) is unaffected by the filters and is recommended as a workaround. We have also had a report of HP OpenView wrongly reporting outages on the basis of using 92-byte ICMP traffic to measure availability, which can be worked around similarly. At this point, we plan to keep the Nachi worm filters in place until the ICMP traffic from the worm subsides to a much lower level. This will only happen when the thousands of infected machines are cleaned up and patched to remove the worm. We recommend that all customers take steps to identify sources of 92-byte ICMP echo requests on their network and get the owners of the machines generating that traffic as a result of the Nachi worm to clean and patch their machines. Some additional helpful resources on the Nachi worm may be found here: http://www.microsoft.com/security/incident/blast.asp http://www.microsoft.com/technet/treeview/...technet/securit y/virus/alerts/nachi.asp http://www.cisco.com/warp/public/707/cisco...820-nachi.shtml http://securityresponse.symantec.com/avcen...lchia.worm.html http://www.f-secure.com/v-descs/welchi.shtml http://www.trendmicro.com/vinfo/virusencyc...=WORM_MSBLAST.D Thank you

[Atypic]

ICMP betyr direkte "Internet Control Message Protocol" og er en meldings-kontroll og feilmelding-protokoll mellom en host server og en gateway til internet.

 

Om du ikke skjønte det jeg nettopp sa blir jeg kanskje nødt til å gi en kjapp 101 i nettverksterminologi, det får vi se.

 

ICMP er en del av IP, og ICMP-meldinger blir sendt i mange situasjoner, f.eks. når eg datagram ikke når målet sitt.

 

Men ICMP kan brukest til mye annet også. Når du bruker det vesle programmet "ping" til å teste om en carrier er aktiv, sender du et lite datagram til en host og ber ICMP delen av IP om et svar.

 

En worm ved navn Nachi infiserer en maskin og får maskinen til å sende ut enorme mengder ICMP-"pakker" på 92 byte (20 (IP) + 8 (ICMP) + 64 (data) = 92), og disse store mengdene data lager rett og slett kapasitetstrøbbel, og Global Crossing har bestemt seg for å ikke godta noen ICMP-pakker på 92byte lengde.

 

Effekten av dette er egentlig bare at programmer som bruker 92 byte pakker ikke lenger kan kommunisere med gateway, f.eks. windows' "tracert" blir stoppet på kanten av Global Crossing sitt nettverk.

 

Negativ effekt.. nei, bortsett fra at du ikke kan sende ICMP pakker på 92 byte lenger er vell ikke effekten den helt store.

[Atypic]

En liten fotnote, denne ICMP-trafikken skal ikke ha mye å si for "ordinær" trafikk på linjene, så brukte Kvalito dette som unnskyldning på dårlig utenlandslinje så er det bare en halvsannhet i beste tilfelle.