Pour les articles homonymes, voirICMP.
Internet Control Message Protocol (ICMP, Protocole de message de contrôle sur Internet) est l’un desprotocoles fondamentaux constituant lasuite des protocoles Internet. C'est un protocole decouche réseau (coucheno 3 dumodèle OSI), au même niveau que leprotocole Internet (IP). Le protocole IP ne gérant que le transport des paquets et ne permettant pas l'envoi de messages d'erreur, on lui associe ICMP pour contrôler les erreurs de transmission. ICMP permet de transporter des messages de contrôle et d’erreur pour qu'une machine émettrice sache qu'il y a eu un incident deréseau, par exemple lorsqu’un service ou un hôte est inaccessible. La commandePing est un exemple d'application utilisant des messages de contrôle ICMP.
Cet article traite d’ICMP version 4 qui accompagneIPv4, détaillé dans laRFC 792[1]. La versionIPv6 du protocole,RFC 4443[2], est présentée dans l’articleInternet Control Message Protocol V6.
Bien qu'il soit à un niveau équivalent au protocole IP (si l'on tente de rapprocher le modèle OSI au modèleTCP/IP), un paquet ICMP est néanmoins encapsulé dans un paquetIP. Dans le cadre de l'IPv4, la forme générale d'un tel paquet est la suivante :
| Bit 0 - 7 | Bit 8 - 15 | Bit 16 - 23 | Bit 24 - 31 |
|---|---|---|---|
| Version et IHL | Type de service | Longueur totale | |
| Identification (fragmentation) | flags etoffset (fragmentation) | ||
| Durée de vie (TTL) | Protocole | Somme de contrôle de l'en-tête | |
| Adresse IP source | |||
| Adresse IP destination | |||
| Type de message | Code | Somme de contrôle | |
| Bourrage ou données | |||
| Données (optionnel et de longueur variable) | |||
Avec :
Les différents incidents possibles sont reportés ci-dessous, avec le type de message et le code d'erreur correspondant.
| Type | Code | Description |
|---|---|---|
| 0 - Réponse d'echo | Réponse d'ECHO (Réponse au message de type 8) | |
| 1 et 2 - Réservés | Reservés | |
| 3 – Destinataire inaccessible | 0 | Le réseau n'est pas accessible |
| 1 | La machine n'est pas accessible | |
| 2 | Le protocole n'est pas accessible | |
| 3 | Le port n'est pas accessible | |
| 4 | Fragmentation nécessaire mais impossible à cause du drapeau (flag) DF | |
| 5 | Le routage a échoué | |
| 6 | Réseau inconnu | |
| 7 | Machine inconnue | |
| 8 | Machine non connectée au réseau (inutilisé) | |
| 9 | Communication avec le réseau interdite | |
| 10 | Communication avec la machine interdite | |
| 11 | Réseau inaccessible pour ce service | |
| 12 | Machine inaccessible pour ce service | |
| 13 | Communication interdite (filtrage) | |
| 14 | Priorité d'hôte violée | |
| 15 | Limite de priorité atteinte | |
| 4 – Extinction de la source | 0 | Extinction de la source (source quench) |
| 5 – Redirection | 0 | Redirection pour un réseau |
| 1 | Redirection pour un hôte | |
| 2 | Redirection pour un réseau et un service | |
| 3 | Redirection pour un hôte et un service | |
| 8 – Demande d'echo | 0 | Demande d'ECHO (utilisé par la commandeping) |
| 11 – Temps dépassé | 0 | Temps de vie du datagramme dépassé |
| 1 | Temps de ré-assemblage des fragments dudatagramme dépassé | |
| 12 – En-tête erroné | 0 | Le pointeur indique l'erreur |
| 1 | Absence d'une option obligatoire | |
| 2 | Mauvaise longueur | |
| 13 – Demande heure | 0 | Timestamp request |
| 14 – Réponse heure | 0 | Timestamp reply |
| 15 – Demande adresse IP | 0 | Demande d'adresse réseau |
| 16 – Réponse adresse IP | 0 | Réponse d'adresse réseau |
| 17 – Demande masque sous-réseau | 0 | Demande de masque de sous-réseau |
| 18 – Réponse masque sous-réseau | 0 | Réponse de masque de sous-réseau |
Unrouteur de transit ou la machine d'extrémité demande à l'émetteur de ralentir le rythme des envois de trame. Les routeurs de transit stockent les trames reçues dans untampon (buffer) avant de les router (store and forward). Si ce tampon venait à être plein ou si la chargeCPU du routeur dépassait un seuil (ou toute autre motif de congestion) il ne pourrait plus assumer le routage des paquets à venir. Ils seraient alors perdus silencieusement. Afin que cela ne se produise pas, n'importe quel nœud de transit peut ainsi informer l'émetteur de ralentir la cadence. Et cela pour n'importe quel protocole de la couche 4 (UDP, TCP…).
Ce mécanisme n'est pas redondant avec celui d'annonce de la taille de la fenêtre glissante d'une connexion TCP car cette dernière ne peut être contrôlée que par le destinataire (saufproxification) or ici il s'agit des routeurs de transit.
Ce type de message a été rendu obsolète par laRFC 6633[4] en 2012.
Le routeur remarque que la route qu'a choisie l'ordinateur émetteur n'est pas optimale car le prochain routeur à passer pour atteindre le destinataire se trouve sur le même réseau que celui de l'ordinateur émetteur. Le routeur envoie l'adresse du prochain routeur à ajouter dans latable de routage de l'ordinateur émetteur de façon que le prochain envoi vers le même destinataire ne passe pas inutilement par lui. Cette option est souvent bloquée dans les réseaux des entreprises parce qu'elle peut être utilisée par un attaquant pour rediriger le flux de données d'une victime vers sa propre machine.
Il existe plusieurs attaques connues contre ICMP[5],[6],[7]. Parmi elles, on peut citer :
