diff --git a/Writerside/images/image_700.png b/Writerside/images/image_700.png
new file mode 100644
index 0000000..1ecd7d3
Binary files /dev/null and b/Writerside/images/image_700.png differ
diff --git a/Writerside/topics/04/Rechnernetze/01_Internetworking.md b/Writerside/topics/04/Rechnernetze/01_Internetworking.md
index 89a6fe1..072816a 100644
--- a/Writerside/topics/04/Rechnernetze/01_Internetworking.md
+++ b/Writerside/topics/04/Rechnernetze/01_Internetworking.md
@@ -51,6 +51,13 @@
   - Endgerät
   - braucht eine individuelle IP-Adresse
 
+##### IPv4 Lebenszeit
+- beim Routen durch vermaschte Netze könnten Datagramme ziellos unendlich lang kreisen 
+  - Ressourcen werden vergeudet
+> **Lösung: TTL-Feld**
+> 
+> Jeder Router reduziert TTL um `1`,
+> bei Erreichen von `0` wird Paket gelöscht
 
 ###### Subnetting
 - gleich großer Host/Netz Anteil
@@ -58,6 +65,42 @@
 
 #### ICMP
 ![image_699.png](image_699.png)
+- Falls IP Fehler bei Zustellung hat, ICMP zur Benachrichtigung des Senders nutzen
+  - Destination Unreachable
+  - Fragmentation Needed and DF set
+    - _Fragmentierung benötigt, aber nicht erlaubt_
+  - Time To Live Exceeded
+  - Source Quench
+    - _Host kann Datagramme nicht so schnell verarbeiten, wie diese vom Netzwerk eintreffen_
+
+**Eigenschaften**
+- ICMP-Nachrichten als Nutzdaten in IP-Paketen
+- enthält
+  - Typ
+    - ![image_700.png](image_700.png)
+  - Code
+  - ggf. erste 8 Byte des IP-Pakets, das die Fehlermeldung verursacht hat
+- wird direkt von `Ping` und `Traceroute` verwendet
+
+##### ICMP: Traceroute
+- Sender schickt IP-Paket mit TTL=1
+  - 1. Router sendet ICMP zurück
+- Sender schickt IP-Paket mit TTL=2
+  - 2. Router sendet ICMP zurück
+- ...
+
+
+##### ICMP-Flooding-Angriff
+- Angreifer überflutet Zielgerät mit ICMP-Echo-Request-Paketen
+  - Zielgerät beantwortet alle
+    - verbraucht Ressourcen
+
+##### ICMP Smurf-Angriff
+- Angreifer schickt ICMP-Paket mit gefälschter Quell-IP-Adresse
+- Netzwerk antwortet an gefälschte IP-Adresse
+- → DDoS-Angriff auf OSI-Schicht 3
+
+