icmp数据包格式分析

1、ICMP数据包格式分析ICMP报文格式ICMP网络控制报文协议包含有一下几个字段，类型、代码、校验和、identifier、序列号、图1请求应答报文对请求与应答报文对可分为回应请求与应答报文、路由器请求与通告报文、时间戳请求与应答报文和地址掩码请求与应答报文。如图2所示为一组回应请求与应答报文：请求报文类型为8,表示回应请求报文,传递的ping命令通常用于测试信宿的可到达性(如图3)。Inte门亡1GontredMessageProtocolType:B(Echo(pimg)request)code:0Checksum:0 xe90acorrectidentifier(be):0(0 x000

2、0)identifier(le):0(0 x0000)Sequencenumber(EE):1(0 x0001)sequencenumber(LE):256(0 x0100)刍电：门：21田Data(72bytes)图3应答报文类型为0，表示回应应答报文。比较这组报文对，其标识符和序列号是一样的，且数据部分也是一样的(如图4)。InternEtGontredMessageProtocolType:0(Echo(pimg)reply)code:0Checksum:OxflOacorrectidentifier(be):0(0 x0000)identifier(le):0(0 x0000)Sequ

3、encenumber(EE):1(0 x0001)sequencenumber(LE):256(0 x0100)REEDOn刍电To:11ResponseTime:31.000ms田Data(72bytes)图4差错报告1下图为一个UDP数据报错误引发的信宿不可达报告：Filter:|ip.id=26391TExpression.ClearApply5our匚已DestinationProto匚ol亠Info222.95.20.45220.181.61.201UDPSourceoort:4574Dee3InternetControlMessageProtocolType:3(Destinati

4、onunreachable)Code:3(Portunrea匚hable)Checksum:0 xde55correctInternetProtocol,Src:222.95.20.45(222.95.20.45),Dst:220.181.61.201Vers1on:4Header1ength:20bytesDifferentiatedServicesField:0 x00(DSCP0 x00:Default;ECN:0 x00)TotalLength:780Identif1cation:0 x6717(26391)卜Flags:0 x00Fragmentoffset:0Timetolive:

5、122报告类型为3,代码为3，说明产生信宿不可达报文的原因可能是端口不可达。在ICMP报文的数据部分封装了出错数据报的部分信息。本例中封装了出错的IP数据报首部和核日P数据报封装的UDp首部和一部分数据段(这里与书上有些差异，书上说是数据部分的前6#位，本例中为520个字节的数据，看了其他同类型报文封装的数据大小不一9丽产生信宿不可达报文的原因还有可能是网络不可达、主机不可达和协议不可达等。其代码分别为0、1、2。如下图是主机不可达：78.226.196.10222.95.20.45ICMPDestinationunreachabIe(HostunreachabIe2.下图为一个ICMP请求超

6、时引发的数据报超时报告:Filter:ip.id=46817Expression.ClearAjjplyTimeSource亠DestinationrotocolInfo125一”拆菲JR一q5一兀一45刀尺一引一qi一iF（h门门i门门）广1戸门丨戸临1iInternetControlMessageProtocolType:11(Time-to-1iveexceeded)Code:0(Timeto11veexceeded1ntrans11)Checksum:OxQfaBcorrect-InternetProtocol,Src:222.95.20.45(222.95.20.45),Dst:218.31.91.1(21：Version:4Header1ength:20bytesDifferentiatedServicesField:0 x00(DSCP0 x00:Default;ECN:0 x00)TotalLength:60Identification:0 xb6el(46817)Flags:0 x00报告类型为代码为：0,说明是路由器TTL超时。该报文