ICMP: Ping und Fehlermeldungen

Wenn ein Paket sein Ziel nicht erreicht, wenn ein Router überlastet ist oder wenn du einfach prüfen willst, ob ein Rechner erreichbar ist – dann ist ICMP im Einsatz. Das Internet Control Message Protocol ist kein Transportprotokoll für Nutzerdaten, sondern das Diagnosesystem des IP-Netzwerks. Ohne ICMP wärst du bei Problemen im Dunkeln – keine Fehlermeldungen, kein Ping, kein Traceroute.

1. Was ist ICMP?

ICMP steht für Internet Control Message Protocol und ist in RFC 792 definiert. Es arbeitet direkt auf Schicht 3 des OSI-Modells, also zusammen mit IP – nicht darüber. ICMP ist kein Protokoll für Nutzerdaten wie HTTP oder FTP: Es transportiert keine Dateien, keine E-Mails, keine Webseiten. Stattdessen ermöglicht es Netzwerkgeräten, sich gegenseitig über Fehler und Statusinformationen zu informieren.

Stell dir ICMP wie das Rückmeldungssystem beim Paketversand vor: Wenn ein Paket nicht zugestellt werden kann, schickt der Router eine ICMP-Nachricht zurück an den Absender – quasi ein „Rückschein" mit Fehlercode. Das klingt einfach, ist aber für die Diagnose und den Betrieb von Netzwerken unverzichtbar.

ICMPv4 gehört zu IPv4, ICMPv6 zu IPv6. Letzteres übernimmt dort auch Aufgaben, die früher ARP erledigte. In diesem Kapitel konzentrieren wir uns auf ICMPv4, das du im Berufsalltag am häufigsten begegnest.

💡 Querverweis: ICMP arbeitet auf Schicht 3 des OSI-Modells. Den vollständigen Schichtenaufbau findest du in OSI-Modell – Einführung. IP-Adressen, die ICMP nutzt, werden in IP-Adressen Grundlagen erklärt.

2. ICMP-Nachrichtentypen

Jede ICMP-Nachricht hat einen Typ (Type) und einen Code. Der Typ beschreibt die grobe Kategorie, der Code verfeinert sie. Die wichtigsten Typen, die du für die IHK-Prüfung und den Berufsalltag kennen musst:

Typ 0Echo Reply

Antwort auf einen Echo Request – also die Rückmeldung bei einem Ping. Bedeutet: „Ich bin erreichbar."

Typ 3Destination Unreachable

Ziel nicht erreichbar. Verschiedene Codes: Netz, Host, Port oder Protokoll nicht erreichbar. Kommt vom Router oder Ziel-Host.

Typ 8Echo Request

Anfrage für einen Ping. Der Sender schickt diesen Typ, das Ziel antwortet mit Typ 0.

Typ 11Time Exceeded

TTL ist auf 0 gefallen, Paket wurde verworfen. Grundlage von Traceroute – zeigt den Pfad durch Router.

Typ 5Redirect

Router teilt dem Sender mit, dass er eine bessere Route kennt. Selten heute, in gesicherten Netzen oft deaktiviert.

Typ 12Parameter Problem

Fehler im IP-Header – ein Feld hat einen ungültigen Wert. Selten, aber wichtig für Debugging.

3. ping – der Netzwerk-Herzschlag

Das Kommando ping ist das erste Werkzeug, das du bei Netzwerkproblemen einsetzt. Es sendet ICMP Echo Requests (Typ 8) an eine Zieladresse und wartet auf Echo Replies (Typ 0). Aus den Antwortzeiten und Verlustraten kannst du sofort ableiten, ob ein Host erreichbar ist und wie gut die Verbindung ist.

Unter Windows sendet ping standardmäßig vier Pakete, unter Linux und macOS läuft es bis du es abbrichst. Die Ausgabe zeigt die RTT (Round-Trip-Time) in Millisekunden – die Zeit, die ein Paket hin und zurück braucht.

C:\> ping 8.8.8.8

Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:

Antwort von 8.8.8.8: Bytes=32 Zeit=14ms TTL=117

Antwort von 8.8.8.8: Bytes=32 Zeit=13ms TTL=117

Antwort von 8.8.8.8: Bytes=32 Zeit=15ms TTL=117

Antwort von 8.8.8.8: Bytes=32 Zeit=14ms TTL=117

Ping-Statistik für 8.8.8.8:

Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust)

Ca. Zeitangaben in Millisek.:

Minimum = 13ms, Maximum = 15ms, Mittelwert = 14ms

Wichtige ping-Parameter, die du kennen solltest:

Parameter	Windows	Linux/macOS	Bedeutung
Anzahl Pakete	`-n 10`	`-c 10`	10 Pakete senden statt 4
Paketgröße	`-l 1400`	`-s 1400`	1400 Byte Datengröße
TTL setzen	`-i 64`	`-t 64`	TTL-Wert im Paket
Kein Fragment	`-f`	`-M do`	Fragmentierung verbieten (PMTUD)
Dauerhaft	`-t`	(Standard)	Ping läuft bis Strg+C

Die folgende Animation zeigt, wie Echo Request und Echo Reply zwischen zwei Hosts ablaufen – und was passiert, wenn ein Paket verloren geht:

4. TTL – Time To Live

Jedes IP-Paket trägt im Header einen TTL-Wert (Time To Live). Dieser Wert ist kein Zeitwert im klassischen Sinne, sondern ein Hop-Zähler: Jedes Mal wenn ein Router ein Paket weiterleitet, verringert er den TTL-Wert um 1. Erreicht der TTL-Wert 0, verwirft der Router das Paket und schickt eine ICMP-Nachricht vom Typ 11 (Time Exceeded) an den Absender zurück.

Ohne TTL könnten Pakete theoretisch endlos im Netzwerk kreisen – z.B. bei einer Routing-Schleife. Der TTL schützt also vor solchen Endlosschleifen. Beim ping-Ergebnis siehst du den TTL-Wert der Antwortpakete – damit kannst du grob abschätzen, wie viele Hops das Paket durchquert hat.

Betriebssystem	Standard-TTL	Typischer Empfangs-TTL
Windows	128	117–127 (je nach Hops)
Linux	64	50–63
macOS	64	50–63
Cisco IOS (Router)	255	240–254

Merkhilfe: Empfangener TTL = Start-TTL − Anzahl der Hops. Wenn du einen TTL von 117 siehst, waren es bei einem Windows-Host (128) etwa 11 Hops bis zum Ziel.

5. traceroute / tracert

Mit tracert (Windows) bzw. traceroute (Linux/macOS) kannst du den kompletten Weg eines Pakets durch das Netzwerk sichtbar machen – Hop für Hop. Das Werkzeug nutzt dabei einen cleveren Trick mit dem TTL-Feld: Es sendet zunächst ein Paket mit TTL=1, dann mit TTL=2, dann mit TTL=3 usw. Jeder Router, der das Paket aufgrund TTL=0 verwirft, schickt eine ICMP Time Exceeded-Nachricht zurück – und verrät dabei seine eigene IP-Adresse. So entsteht eine vollständige Karte des Pfads.

C:\> tracert 8.8.8.8 (vereinfacht)

1192.168.1.11 ms 1 ms 1 ms← Heimrouter

210.12.34.18 ms 7 ms 8 ms← ISP-Router

362.154.0.19 ms 9 ms 10 ms← ISP-Backbone

4* * *Request timed out.← ICMP gefiltert

5108.170.253.9713 ms 12 ms 13 ms← Google-Netz

68.8.8.814 ms 13 ms 14 ms← Ziel erreicht

Die drei Zeitwerte pro Zeile sind drei separate Messungen – so erkennst du, ob Latenzschwankungen nur bei einem Router auftreten oder sich durchziehen. Die Sternchen (* * *) bedeuten nicht zwingend ein Problem: Viele Router filtern ICMP-Antworten aus Sicherheitsgründen, lassen aber normalen Datenverkehr durch.

tracert (Windows)

Nutzt ICMP Echo Requests
-d: keine DNS-Auflösung
-h 30: max. Hops
Einfach, immer verfügbar

traceroute (Linux)

Nutzt standardmäßig UDP (Port 33434+)
-I: ICMP-Modus wie tracert
-n: keine DNS-Auflösung
Mehr Optionen, flexibler

6. PMTUD – Path MTU Discovery

Netzwerke haben eine maximale Paketgröße – die MTU (Maximum Transmission Unit). Ethernet-Netze verwenden standardmäßig eine MTU von 1500 Byte, VPN-Tunnel oder ältere Verbindungen oft weniger. Wenn ein Paket zu groß ist und nicht fragmentiert werden darf, entsteht ein Problem.

Die Path MTU Discovery (PMTUD) löst dieses Problem elegant: Der Sender setzt im IP-Header das Flag Don't Fragment (DF). Wenn ein Router das Paket wegen zu großer MTU nicht weiterleiten kann, schickt er eine ICMP Typ 3 Code 4-Nachricht zurück: „Destination Unreachable – Fragmentation Needed". Der Sender verkleinert daraufhin seine Pakete.

Praxisproblem: Wenn Firewalls ICMP komplett blockieren, funktioniert PMTUD nicht mehr. Das führt zu mysteriösen Verbindungsproblemen – Verbindungen werden aufgebaut, aber große Dateitransfers schlagen fehl. Dieses Phänomen heißt PMTUD Black Hole.

7. ICMP und Sicherheit

ICMP ist nützlich, aber auch ein potenzielles Angriffswerkzeug. Deshalb werden ICMP-Nachrichten in vielen Unternehmensnetzwerken gefiltert oder eingeschränkt. Drei bekannte Angriffsmuster solltest du kennen:

Ping of Death: Früher konnten überdimensionierte ICMP-Pakete (>65535 Byte nach Reassemblierung) Betriebssysteme zum Absturz bringen. Heute durch OS-Updates behoben.
Ping Flood / ICMP Flood: Massenhafter Versand von Echo Requests überlastet das Ziel. Teil von DoS/DDoS-Angriffen.
Smurf-Angriff: Echo Requests mit gefälschter Absender-IP (Opfer) werden an Broadcast-Adressen gesendet. Alle Hosts antworten gleichzeitig – das Opfer wird überflutet. Heute durch Router-Konfiguration verhindert.

In der Praxis wird ICMP oft selektiv erlaubt: Echo Request/Reply für interne Netze, Time Exceeded für Traceroute – aber Ping von außen nach innen gesperrt. Wichtig ist dabei: ICMP zu blockieren ist kein Allheilmittel und kann zu schwer diagnostizierbaren Problemen führen (Stichwort PMTUD).

💡 Querverweis: ICMP-Filterregeln in Firewalls und Paketfiltern werden in Paketfilter-Grundlagen erklärt. Wie Angreifer ICMP für Reconnaissance nutzen, findest du in Netzwerk-Reconnaissance.

8. ICMPv6

In IPv6-Netzwerken übernimmt ICMPv6 (RFC 4443) deutlich mehr Aufgaben als sein Vorgänger. Neben den klassischen Ping-Funktionen ist ICMPv6 grundlegend für den Betrieb von IPv6-Netzwerken:

Neighbor Discovery Protocol (NDP): Ersetzt ARP aus IPv4. Ermittelt die MAC-Adresse zu einer IPv6-Adresse.
Router Discovery: Clients finden automatisch ihren Standard-Gateway.
SLAAC: Stateless Address Autoconfiguration – IPv6-Adressen ohne DHCP.
Multicast Listener Discovery (MLD): Verwaltung von Multicast-Gruppen.

ICMPv6 ist so zentral, dass IPv6-Netze ohne es schlicht nicht funktionieren. Es kann nicht einfach geblockt werden – ein wichtiger Unterschied zu ICMPv4.

💡 Querverweis: ICMPv6 und NDP spielen eine zentrale Rolle in IPv6-Netzen. Den vollständigen Überblick gibt es in IPv6 – Einführung.