ICMP (Internet Control Message Protocol)
ICMP adalah protokol yang gunakan untuk memberikan informasi kepada kita. ICMP dapat melaporkan error yang terjadi pada jaringan dan memberitahu jika tujuan bisa / tidak bisa dijangkau.
ICMP digunakan
untuk melaporkan kesalahan dan informasi lain berdasarkan pemrosesan paket IP
kembali ke sumbernya. ICMP, yang didokumentasikan dalam RFC 792, paling dikenal
untuk digunakan oleh program "ping" dan "traceroute" pada
perangkat jaringan yang mendukung/memiliki IP Address. Utilitas ping mengirim paket echo request ICMP ke host tujuan untuk menguji konektivitas IP ke host tujuan tersebut, kemudian menerima pesan echo reply ICMP menunjukkan bahwa host dapat berhasil
dihubungi.
contoh test koneksi dengan perintah "ping"
Sebagai seorang
analis keamanan, penting untuk memahami ICMP. Misalnya, dalam paket echo request ICMP, orang seharusnya tidak mengharapkan untuk melihat muatan data yang
besar didalam sebuah paket echo request. echo reply juga harus dipasangkan dengan echo request (satu request akan dibalas dengan 1 reply). Jika Anda
melihat banyak echo request ICMP dan membalas paket dengan muatan besar,
atau jika Anda melihat ketidakseimbangan dalam echo request dengan jumlah echo reply, Anda harus menduga bahwa sesuatu yang mencurigakan mungkin
terjadi. Seorang penyerang mungkin melakukan tunneling data menggunakan ICMP.
Tunneling ICMP sendiri dibolehkan berdasarkan RFC 792, yang mendokumentasikan aturan
IETF yang mengatur paket ICMP, yang membolehkan untuk menambahkan atau merubah jumlah variable data pada setiap tipe 8 (echo request), atau tipe 0 (echo reply) paket ICMP.
Struktur ICMP
Hasil capture packet ICMP
Selain echo request dan echo reply, ICMP memiliki beberapa jenis pesan lainnya termasuk destination unreachable, redirect, waktu terlampaui (time exceeded), dan
sebagainya.
