Linux - Wegweiser für Netzwerker Online-Version Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen. Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.

Das Internet Control Message Protocol

IP hat noch ein verwandtes Protokoll, über das wir bisher noch nicht gesprochen haben. Dieses Internet Control Message Protocol (ICMP) wird vom Netzwerkcode des Kernel verwendet, um Fehlermeldungen und ähnliches an andere Hosts weiterzugeben. Nehmen wir beispielsweise an, daß Sie mal wieder vor erdos sitzen und über telnet auf Port 12345 auf quark zugreifen wollen. Leider existiert dort kein Prozeß, der an diesem Port horcht. Wenn das erste TCP-Paket für diesen Port bei quark ankommt, erkennt die Netzwerkschicht dies sofort und sendet umgehend eine ICMP-Nachricht an erdos zurück, um mitzuteilen, daß der Port nicht erreichbar ist (“Port Unreachable”).

ICMP stellt verschiedene Nachrichten zur Verfügung, von denen viele Fehlerbedingungen behandeln. Darunter befindet sich auch eine sehr interessante Nachricht namens “Redirect”. Diese wird vom Routing-Modul erzeugt, wenn es erkennt, daß es von einem anderen Host als Gateway verwendet wird, obwohl es einen wesentlich kürzeren Weg gibt. Beispielsweise könnte die Routing-Tabelle von sophus nach dem Booten unvollständig sein. Die Tabelle könnte die Routen zum Mathe-Netzwerk, dem FDDI-Backbone und die Default-Route enthalten, die auf das Gateway gcc1 des Universitäts-Rechenzentrums weist. Alle Pakete, die für quark bestimmt sind, würden also an gcc1 geschickt werden und nicht an niels, das Gateway des physikalischen Instituts. Empfängt es ein solches Datagramm, bemerkt gcc1, daß dies eine ungünstige Route ist, und leitet das Paket an niels weiter, während gleichzeitig eine ICMP-Redirect-Nachricht an sophus gesandt wird, die dem Rechner die bessere Route mitteilt.

Nun sieht das vielleicht nach einer sehr cleveren Methode aus, mit der Sie es vermeiden können, alle außer den grundlegenden Routen von Hand einzutragen. Seien Sie aber gewarnt, daß es nicht immer eine gute Idee ist, sich auf dynamische Routing-Schemata zu verlassen – egal, ob RIP oder ICMP-Redirects. ICMP-Redirect und RIP bieten Ihnen gar keine oder nur geringe Möglichkeiten, die Authentizität der empfangenen Routing-Informationen zu überprüfen. Auf diese Weise könnten bösartige Taugenichtse Ihr ­gesamtes Netz lahmlegen oder noch schlimmeres tun. Aus diesem Grund behandelt der Netzwerkcode des Linux-Kernels Redirect-Messages für Netzwerkrouten so, als wären es nur Redirects für Hostrouten.Dies verringert die Zerstörungsgefahr bei einem Angriff, indem es ihn auf einen einzigen Host beschränkt und dadurch der Rest des Netzwerks verschont bleibt. Auf der anderen Seite bedeutet dies aber, daß durch die Sicherheitsüberprüfung, die jeden Host zur Erzeugung eines ICMP-Redirects veranlaßt, der Netzwerkverkehr umfangreicher wird. In Anbetracht der heutigen Datenflut ist es daher nicht ratsam, für jeden denkbaren Anwendungsfall ICMP-Redirects einzusetzen.

Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center