理论教学1.1-1基于PT分析ICMP协议讲解

国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施学习情境1：实训任务1.1利用PacketTracer分析协议工作过程ICMP协议原理及分析课程思政内容内容介绍

任务场景及工具软件介绍1任务相关技术原理介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6任务场景及工具软件介绍任务场景及工具软件介绍任务场景及工具软件介绍任务相关技术原理介绍卷1主要讲述TCP/IP协议方面的内容。讲述了RFCS的标准协议，结合大量实例讲述了TCP/IP协议，TCP/IP的知识：路由协议、寻址协议、组控制协议、简单邮件传输协议等。卷1适合于网络技术，而卷2-3更侧重于编程。任务相关技术原理介绍网络层次结构与数据封装解封装任务相关技术原理介绍ICMP协议原理1.基本概念InternetControlMessageProtocol：网际控制报文协议IP提供的尽力数据报通信服务无连接服务，而并不能解决网络低层的数据报丢失、重复、延迟或乱序等问题，TCP在IP基础建立有连接服务解决以上问题，不能解决网络故障或其它网络原因无法传输数据包的问题。所以，ICMP设计的本意就是希望对IP包无法传输时提供差错报告，这些差错报告帮助了发送方了解为什么无法传递，网络发生了什么问题，确定应用程序后续操作。任务相关技术原理介绍2.协议特征ICMP就像一个更高层的协议那样使用IP（即，ICMP消息被封装在IP数据报中）。然而，ICMP是IP的一个组成部分，并且所有IP模块都必须实现它。ICMP用来报告错误，是一个差错报告机制。它为遇到差错的路由器提供了向最初源站报告差错的办法，源站必须把差错交给一个应用程序或采取其它措施来纠正问题。ICMP不能用来报告ICMP消息的错误，这样就避免了无限循环。当ICMP查询消息时通过发送ICMP来响应。对于被分段的数据报，ICMP消息只发送关于第一个分段中的错误。也就是说，ICMP消息永远不会引用一个具有非0片偏移量字段的IP数据报。响应具有一个广播或组播目的地址的数据报时，永远不会发送ICMP消息响应一个没有源主机IP地址的数据报时永远不会发送ICMP消息。也就是说，源地址不能为0，一个回送地址，一个广播地址或者一个组播地址。任务相关技术原理介绍2.协议特征通过ICMP可以知道故障的具体原因和位置。由于IP不是为可靠传输服务设计的，ICMP的目的主要是用于在TCP/IP网络中发送出错和控制消息。ICMP的错误报告只能通知出错数据包的源主机，而无法通知从源主机到出错路由器途中的所有路由器(环路时)。ICMP数据包是封装在IP数据包中的。ICMP报文的种类有三大类种，即ICMP差错报告报文、控制报文、请求/应答报文。任务相关技术原理介绍3.协议封装每个ICMP报文放在IP数据报的数据部分中通过互联网传递，而IP数据报本身放在二层帧的数据部分中通过物理网络传递。ICMP首部ICMP数据IP数据报首部IP数据报数据区二层帧首部二层帧数据区任务相关技术原理介绍4.协议报文格式

ICMP定义了五种常用差错报文和六种询问报文类型，以及用代码表达某类型下面不同情况的细分。类型代号校验和ICMP数据（取决于消息类型）………………用来标识报文，有15个不同的值提供有关报文类型的进一步信息覆盖整个ICMP报文任务相关技术原理介绍4.协议报文格式类型代码名称00回应应答3

目的地不可达

0网路不可达

1主机不可达

2协议不可达

3端口不可达

4需要分片和不需要分片标记置位

5源路由失败

6目的网络未知

7目的主机未知

8源主机被隔离

9与目的网络的通告被禁止

10目的主机的通信被禁止

11对请求的服务类型，目的网路不可达

12对请求的服务类型，目的主机不可达40源抑制（SourceQuench）5

重定向

0为网络（子网）重定向数据报

1为主机重定向数据报

2为网络和服务类型重定向数据报

3为主机和服务类型重定向数据报60选择主机地址80回应(请求)90路由器通告100路由器选择11

超时

0传输中超出TTL

1超出分片重组时间12

参数问题

0指定错误的指针

1缺少需要的选项

2错误长度130时间戳140时间戳回复150信息请求（废弃）160信息回复（废弃）170地址掩码请求180地址掩码回复30

跟踪路由31

数据报会话错误32

移动主机重定向33

IPv6你在哪里34

IPv6我在这里35

移动注册请求36

移动注册回复任务相关技术原理介绍5.协议主要差错报文所有ICMP差错报告报文中的数据字段都具有同样的格式。将收到的需要进行差错报告的IP数据报的首部和数据字段的前8个字节提取出来，作为ICMP报告的数据字段。再加上相应的ICMP差错报告报文的前8个字节，就构成了ICMP差错报告报文。提取收到的数据报的数据字段的前8个字节是为了得到传输层的端口号（对于TCP和UDP）以及传输层报文的发送序号（对于TCP）类型（1字节）

代码（1字节）

校验和（2字节）路由器互联网地址IP数据报首部+数据的前64比特…………….任务相关技术原理介绍5.协议主要差错报文IP数据报首部8字节IP数据报首部8字节首部ICMP差错报告报文收到的IP数据报ICMP差错报告报文装入ICMP报文的IP数据报ICMP的前8个字节重定向Redirect（5）当一个源主机创建的数据报发至某路由器，该路由器发现数据报应该选择其他路由，则向源主机发送改变路由报文。改变路由的报文能指出网络或特定主机的变化，一般发生在一个网络连接多路由器的情况下。任务相关技术原理介绍5.协议主要差错报文重定向Redirect（5）：改变路由的报文当一个源主机创建的数据报发至某路由器，该路由器发现数据报应该选择其他路由，则向源主机发送改变路由报文。改变路由的报文能指出网络或特定主机的变化，一般发生在一个网络连接多路由器的情况下。在因特网中各路由器之间要经常交换路由信息，以便动态更新各自的路由表。但在因特网中主机的数量远大于路由器的数量。主机如果也像路由器那样经常交换路由信息，就会产生很大的附加通信量，因而大大浪费了网络资源。所以，出于效率的考虑，连接在网络上的主机的路由表一般都采用人工配置，并且主机不和连接在网络上的路由器定期交换路由信息。在主机刚开始工作时，一般都在路由表中设置了一个默认路由器的IP地址。不管数据报要发送到哪个目的地址，都一律先将数据报传送给网络上的这个默认路由器，而这个默认路由器知道到每一个目的网络的最佳路由。如果默认路由器发现主机发往某个目的地址的数据报的最佳路由不应当经过默认路由器，而是应当经过网络上的另一个路由器R时，就用改变路由报文将此情况报告主机。于是，该主机就在其路由表中增加一项：到某某目的地址应经过路由器R（而不是默认路由器）。任务相关技术原理介绍5.协议主要差错报文目的站不可达DestinationUnreachable（3）当路由器检测到数据报无法传递到目的地时，向创建数据报的源主机发出目的地不可达报文。这报文区分：网络不通（如路由器故障），目的主机连不通，协议不可达、端口不可达等共15种不同的情况，用不同代码表示。源站抑制SourceQuench（4）当路由器收到太多的数据报以致内存不够时，在丢弃所收数据报的同时，向创建数据报的源主机发送源抑制报文。源主机收到源抑制报文后，需要降低发送数据报的速率。任务相关技术原理介绍5.协议主要差错报文超时TimeExceeded（11）有两种情况需要发送超时报文。一种是路由器把数据报的生存时间减至零时，路由器丢弃数据报，并向源主机发送超时报文；另一种是一个数据报的所有段到达前，重组计时到点，接收主机也会向源主机发送超时报文。参数问题ParameterProblem数据报头部的标志出现差错，或缺少必须的选项任务相关技术原理介绍5.协议主要差错报文请求/应答EchoRequest/Reply可以对任何一台网上主机的ICMP软件发请求/应答报文。这种询问报文用来测试目的站是否可达以及了解其有关状态。Ping服务就是采用这个报文来获得两个主机之间的连通性。地址掩码请求/应答AddressMaskRequest/Reply主机启动时，会广播一个地址掩码请求报文。路由器收到地址掩码请求报文后，回送一个包含本网使用的32位地址掩码的应答报文。用于无盘系统在引导过程中获取自己的子网掩码。时间戳请求/应答TimestampRequest/Reply主机发出查询当前时间的请求，应答报文建议值是自午夜开始计算的毫秒数，UTCCoodinatedUniversaltime，协调统一时间）。可用来进行时钟同步和测量时间。其它还有DNS请求/应答，以及最新IPv6、安全、移动定位等类型定义任务相关技术原理介绍6.三种ICMP协议常见应用：Ping、Traceroute、MTU测试Ping：使用ICMP回送和应答消息来确定一台主机是否可达。Ping是应用层直接使用网络层ICMP的一个例子。发送数据Z我不知道怎样访问Z广域网到Z目的端不可达A任务相关技术原理介绍6.协议常见应用：TracerouteTraceroute：该程序用来确定通过网络的路由IP数据报。Traceroute基于ICMP和UDP。它把一个TTL为1的IP数据报发送给目的主机。第一个路由器把TTL减小到0，丢弃该数据报并把ICMP超时消息返回给源主机。这样，路径上的第一个路由器就被标识了。随后用不断增大的TTL值重复这个过程，标识出通往目的主机的路径上确切的路由器系列.

继续这个过程直至该数据报到达目的主机。但是目的主机哪怕接收到TTL为1的IP数据报，也不会丢弃该数据并产生一份超时ICMP报文，这是因为数据报已经到达其最终目的地。任务相关技术原理介绍6.协议常见应用：TracerouteTraceroute实现有两种方法一种：发送一个ICMP回应请求报文；目的主机将会产生一个ICMP回应答复报文。Microsoft实现（tracert）中采用该方法。当回应请求到达目的主机时，ICMP就产生一个答复报文，它的源地址等于收到的请求报文中的目的IP地址。另一种：发生一个数据报给一个不存在的应用进程；目的主机将会产生一个ICMP目的不可达报文。大多数UNIX版本的traceroute程序采用该方法。Traceroute程序发送一份UDP数据报给目的主机，但它选择一个不可能的值作为UDP端口号（大于30000），使目的主机的任何一个应用程序都不可能使用该端口。因为，当该数据报到达时，将使目的主机的UDP模块产生一份“端口不可达”错误的ICMP报文。这样，Traceroute程序所要做的就是区分接收到的ICMP报文是超时还是端口不可达，以判断什么时候结束。任务相关技术原理介绍6.协议常见应用：用ICMP发现路径MTUMTU测试：MaxTransmissionUnit是网络最大传输单元（包长度），IP路由器必须对超过MTU的IP报进行分片，目的主机再完成重组处理，所以确定源到目的路径MTU对提高传输效率是非常必要的。确定路径MTU的方法是“要求报告分片但又不被允许”的ICMP报文。将IP数据报的标志域中的分片BIT位置1，不允许分片。当路由器发现IP数据报长度大于MTU时，丢弃数据报，并发回一个要求分片的ICMP报。将IP数据报长度减小，分片BIT位置1重发，接收返回的ICMP报的分析。发送一系列的长度递减的、不允许分片的数据报，通过接收返回的ICMP报的分析，可确定路径MTU。任务相关技术原理介绍7.协议安全性分析PingofDeath黑客利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“PingofDeath”(死亡之Ping)攻击。“PingofDeath”攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃,致使主机死机。ICMP攻击导致拒绝服务(DoS)攻击向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。它的工作原理是利用发出ICMP类型8的echo-request给目的主机，对方收到后会发出中断请求给操作系统，请系统回送一个类型0的echo-reply。大量的ICMP数据包会形成“ICMP风暴”或称为“ICMP洪流”，使得目标主机耗费大量的CPU资源处理，疲于奔命。这种攻击被称为拒绝服务（DoS）攻击，它有多种多样具体的实现方式。任务相关技术原理介绍7.协议安全性分析针对宽带的DOS的攻击主要是利用无用的数据来耗尽网络带宽。通过高速发送大量的ICMPecho-reply数据包，目标网络的带宽瞬间就会被耗尽，组织合法的数据通过网络。ICMPecho-reply数据包具有较高的优先级，在一般情况下，网络总是允许内部主机使用Ping命令。针对连接的DOS攻击针对连接的DOS攻击，可以终止现有的网络连接。它使用合法的ICMP消息影响所有的IP设备。Nuke通过发送一个伪造的ICMPDestinationUnreachable或Redirect消息来终止合法的网络连接。更具恶意的攻击如puke和smack，会给某一个范围内的端口发送大量的数据包，毁掉大量的网络连接，同时还会消耗受害主机CPU的时钟周期。任务相关技术原理介绍7.协议安全性分析Smurf攻击首先，攻击者会先假冒目的主机(受害者)之名向路由器发出广播的ICMPecho-request数据包。因为目的地是广播地址，路由器在收到之后会对该网段内的所有计算机发出此ICMP数据包，而所有的计算机在接收到此信息后，会对源主机(亦即被假冒的攻击目标)送出ICMPecho-reply响应。如此一来，所有的

ICMP数据包在极短的时间内涌入目标主机内，这不但造成网络拥塞，更会使目标主机因为无法反应如此多的系统中断而导致暂停服务。除此之外，如果一连串的ICMP广播数据包洪流(packetflood)被送进目标网内的话，将会造成网络长时间的极度拥塞，使该网段上的计算机(包括路由器)都成为攻击的受害者。任务相关技术原理介绍7.协议安全性分析基于重定向（redirect）的路由欺骗技术攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力。除了路由器，主机必须服从ICMP重定向。如果一台机器想网络中的另一台机器发送了一个ICMP重定向消息，这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包，这样就形成了攻击和窃听。任务相关技术原理介绍7.协议安全性分析ICMP攻击防范措施虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非防不胜防的。只要在网络管理中提前做好准备，就可以有效地避免遭受ICMP的攻击。

对于利用ICMP产生的拒绝服务攻击可以采取下面的方法：一、在路由器或主机端拒绝所有的ICMP包(对于Smuff攻击：可在路由器禁止IP广播)；二、在该网段路由器对ICMP包进行带宽限制(或限制ICMP包的数量)，控制其在一定的范围内。

避免ICMP重定向欺骗的最简单方法是将主机配置成不处理ICMP重定向消息，另一种方法是路由器之间一定要经过安全认证。例如，检查ICMP重定向消息是否来自当前正在使用的路由器，要检查重定向消息发送者的IP地址并校验该IP地址与ARP高速缓存中保留的硬件地址是否匹配。ICMP重定向消息应包含转发IP数据报的报头信息，报头虽然可用于检验其有效性，但也有可能被窥探并加以伪造。无论如何，这种检查可增加对重定向消息有效性的信心，并且由于无须查阅路由表及ARP高速缓存，所以执行起来比其他检查容易一些。