Da ICMP-Meldungen zur Steuerung von IP-Verbindungen benötigt werden, sollten
sie nicht generell abgelehnt werden. ICMP-Meldungen besitzen weder einen
Source- noch einen Destinationport, aber sie haben ein ICMP-Nachrichten-Type-
Feld an Hand dessen man die Pakete filtern kann. Die meisten Paketfilter
bieten die Möglichkeit ICMP-Pakete zu filtern.
Chapman und Zwicky geben in [BIF-96] die in Tabelle 3.1
aufgelisteten Empfehlungen zum Umgang mit ICMP-Paketen.
Tabelle 3.1:
Umgang mit ICMP-Meldungen, Quelle [BIF-96] S. 305
Nachrichtentyp
Bedeutung
Reaktion
0
Echo Reply
zulassen
3
Destination Unreachable
nicht zulassen
4
Source Quench
zulassen
5
Redirect
nicht zulassen
8
Echo Request
zulassen
11
Time Exceeded
zulassen
12
Parameter Problem
zulassen
Vor ICMP-Angriffen schützen folgende Maßnahmen:
Denial-of-Service
ICMP-Version überprüfen, aktuelle ICMP-Implementierungen sind gegen
Denial-of-Service Angriffe immun.
Ping-to-Death
Aktuelle IP-Implementierungen verwenden, da diese einen Overflow
korrekt abfangen.
Redirect
Redirect-Nachrichten durch Paketfilter abweisen.