第5章 ICMP协议.ppt

1、第5章ICMP协议，第5章ICMP协议，5.1 ICMP协议的作用和原理5.2 ICMP数据包格式5.3各种ICMP数据包5.3.1回显请求和响应5.3.2目标无法到达错误5.3.3源终止5.3.4超时错误5.1 ICMP协议的作用和原理，通过故障间控制消息协议(ICMP)IP不是为可靠的传输服务而设计的，因此ICMP的目的主要是在TCP/IP网络中传输错误和控制消息。ICMP中的错误报告只能通知包含出错包的源主机，不能通知从源主机到出错路由器的所有路由器(在环路上)。ICMP数据包封装在IP数据包中。5.2 ICMP数据包格式；层：ICMP数据包封装在IP数据包中。5.2 ICMP数据包格式

2、，ICMP数据包格式如图5-1所示。5.3各种ICMP包，两种ICMP消息茄子：ICMP错误报告消息和ICMP查询消息。ICMP消息的“类型”字段值与ICMP消息类型的匹配如下表所示：5.3各种ICMP包、ICMP消息类型、5.3各种ICMP包、ICMP消息类型、5.3各种ICMP包、ICMP消息类型、5.3各种ICMP包、ICMP消息类型、5.3各种ICMP包、Ping原理为类型代码0Ping程序计算时间间隔并计算递送的包数。这是因为PING的请求包每次通过路由器时，出口地址都会复制到包中，最终目标主机将地址复制到响应包中，然后发送到源主机。复制限制(放置在IP层)！同层偏上！为什么？路由器

3、报告IP层、5.3各种ICMP包、ICMP错误消息的特性IP数据报传输中的错误是ICMP消息的最基本功能，ICMP错误消息具有以下特性：(1) ICMP错误消息基本上是从路由器发送到源主机的。这是因为IP数据报包含源主机的IP地址、报告。(2) ICMP错误消息仅提供传输过程中IP数据报的错误报告，不规定对各种错误应采取什么处理措施。错误的特定处理需要接收ICMP错误消息的源主机将该错误与应用程序相关联，然后才能执行相应的错误处理。5.3各种ICMP数据包；(3)ICMP错误消息不享有任何优先级，没有特殊的可靠性保证措施，像普通IP数据一样发送，在传输过程中可能会丢失、损坏，甚至被丢弃。(4)

4、 ICMP错误消息是由于丢弃了错误的IP数据报而产生的。(5)当路由器发送ICMP错误消息(如参数错误)时，ICMP消息数据区域将始终包含生成ICMP错误消息的IP数据报的头部和该数据区域的前8个字节(64位)。5.3各种ICMP包、路由器发送参数错误等的ICMP消息数据字段由两部分组成。一个是需要错误报告的IP数据报的第一部分，另一个是IP数据报的数据字段的前8个字节，如图5-3所示。5.3各种ICMP数据包，(6)在某些情况下，为了防止网络过程中出现大量ICMP错误消息(广播风暴)，即使发生错误以影响网络正常操作，也不会生成ICMP错误消息。这包括ICMP消息错误。这是为了防止不断生成错误

5、消息(但是，ICMP查询消息可能会生成ICMP错误消息)。目标地址是广播地址或多播地址(D类地址)的IP数据报。作为链路层播出的数据报。不是IP片段的第一个片段。源地址不是单个主机的数据报。即，源地址不能是0地址、环回地址、广播地址或多播地址。5.3各种ICMP包、ICMP控制消息1拥塞控制和源站抑制消息当一个路由器接收IP数据报的速度比处理IP数据报的速度快，或当路由器接收数据报的速度大于发送数据报的速度时，就会发生拥塞。此时，路由器可以发送源工作站抑制消息，以抑制源主机发送IP数据报的速度，从而防止可能发生的错误。5.3各种ICMP数据包，源工作站抑制消息的类型字段为4，代码字段可以为0。

6、源站抑制技术的拥塞控制方法如下：(1)路由器拥塞时，将发送ICMP源工作站抑制消息。停滞的判别可以用三种茄子方法来完成。一是确保路由器缓存已满。二是设置缓存输出队列的阈值，以确定队列中的数据报数是否超过阈值。第三，检测输入线的波特率是否太高。(2)源主机收到抑制消息后，以一定速度降低发送到目标主机的资料传输速度。(3)在一段时间内，如果内源性主机没有收到抑制消息，则认为拥塞已解除，源主机可以逐渐恢复到原始数据报的流量。5.3各种ICMP数据包，2 .路由控制和重定向消息源主机向目标主机发送IP数据报，并且源主机的默认路径为路由器1，则源主机首先将IP数据提交给路由器1，然后在路由器1进行路由。

7、路由器1牙齿选定后，将IP数据发送到路由器2。路由器1还发现，源主机可以发送到目标主机的IP数据报，然后直接发送到路由器2(因为路由器1和路由器2位于同一网络内)。路由器1向源主机发送ICMP重定向消息，通知其IP数据可以直接提交到路由器2。这样，源主机就可以始终保持动态、小而优秀的路径表。5.3各种ICMP包、ICMP重定向示例、5.3各种ICMP包、ICMP重定向消息格式如图所示，类型字段为5，代码字段为03，路由器IP地址是将IP数据从源主机传输到目标主机时的优化路由。5.3各种ICMP包、回显请求和响应消息回显请求消息从源主机发送，目标主机用于测试其他主机或路由器是否可到达。那种报纸格

8、式像图片。5.3各种ICMP包、地址掩码请求和响应消息(无盘电脑工作站、标识符和序列号由发件人随机设置并从响应中返回)，5.3茄子ICMP包、时间戳请求和响应消息(同步时间)，5.3茄子ICMP包，以及ICMP错误报告消息共5条。源端关闭：网络阻塞时(路由器和主机)。超时错误： TTL=0点(路由器和主机)，如果片丢失(路由器和主机)。数据包参数问题：路由器或主机发现格式不正确时，显示错误点。路由更改(重定向)、5.3各种ICMP包和ICMP查询消息有四种。回显请求和响应：用于测试两端链路和目标主机TCP/IP协议是否正常。只要接收就正常，最后一个字段很简单(主机和主机)。时间戳请求和响应掩码

9、地址请求和响应：源主机传输，ICMP地址掩码请求用于从无盘系统引导期间获取自己的子网掩码。路由器查询和通知、5.4 ICMP数据包分析、ping命令使用ICMP响应消息测试目标系统是否可到达。当源主机向目标主机发送ICMP请求包时，目标主机收到ICMP请求包时，它交换源主机、目标主机的地址，然后将收到的ICMP请求包的数据部分完整地封装在自己的ICMP请求响应包中，并将ICMP请求响应请求发送回发送方。如果验证正确，发送方认为目标主机的查询服务正常。也就是说，物理连接是无缝的。，5.4 ICMP数据包分析，ICMP不是路由协议，但有时可以引导数据包的流向(使数据流向正确的网关方向)。ICMP协

10、议通过ICMP重定向数据包(类型5，代码0:网络重定向)实现此目的。当IP包在某个地方改变方向时，将向源主机提供重定向消息。主机专用！5.4 ICMP数据包分析，收到路由器R1牙齿牙齿ARP请求数据包后，首先用ARP响应数据包响应来自主机PC的ARP请求(主机PC:路由器R1本身E0接口的MAC地址通知)。然后(路由器R1)将牙齿ICMP请求转发到路由器R2的E0接口192.168.1.254(需要正确配置为路由器R1牙齿网络192.168.3.0/24的路由表)。路由器R1还向主机PC发送ICMP重定向消息，通知主机PC更好的转发网关192.168.1.254。路由器R2现在发送请求主机PC

11、 MAC地址的ARP请求消息，主机PC向路由器R2发送ARP响应消息。最后，路由器R2通过获取的主机PC的MAC地址信息将ICMP响应消息发送到主机PC。例如，如果主机PC ping路由器R2的lo0地址192.168.3.1，主机将确定目标属于另一个网络段，因此，在将ICMP请求数据包发送到默认网关E0(192.168.1.253)之前，主机PC必须首先发送ARP请求。5.4 ICMP数据包分析，默认情况下，ICMP服务总是打开的。也就是说，在不进行任何配置的情况下打开电源后，基本上是响应这些ICMP的嗅探消息的网络设备。这会浪费系统宝贵的CPU和内存资源。黑客在网络的某个地方向网络设备(电

12、脑或路由器)发送大量ICMP嗅探消息会使网络设备疲惫不堪，浪费系统资源，无法提供服务。5.4 ICMP数据包分析、基于ICMP的攻击和传统基于TCP的攻击的区别在于，TCP的端口需要特殊的配置，此配置默认情况下关闭，并且仅在提供服务时打开。ICMP中的服务几乎在所有网络设备上默认打开。而且，过滤ICMP的服务类型也是件麻烦的事。一般来说，网络管理员不能完全阻挡ICMP的网络流量。因为要用ping测试网络连接性。可用的方法包括对ICMP响应速度的流量限制、5.4 ICMP包分析、ICMP调查网络、监控被攻击目标的操作系统类型、利用几乎被遗忘的某些ICMP的功能，黑客可以准确知道攻击目标是微软PC还是Linux、交换机或路由器，还可以知道是哪个制造商生产的网络设备，以及是什么型号，甚至是操作系统版本号。5.