1、第九章 網(wǎng)際控制報文協(xié)議（ICMP）,課程目標 掌握ICMP數(shù)據(jù)報的格式。 掌握ICMP數(shù)據(jù)報的分類。 了解ping、tracert命令實現(xiàn)原理 使用Wireshark分析ICMP數(shù)據(jù)報分片,1.IP協(xié)議的缺點 IP協(xié)議沒有差錯報告或差錯糾正機制； IP協(xié)議缺少一種為主機和管理查詢的機制； ICMP為彌補以上缺點而設計，配合IP協(xié)議使用。,第九章 網(wǎng)際協(xié)議（IP）,第九章 網(wǎng)際協(xié)議（IP）,ICMP本身是網(wǎng)絡層協(xié)議，但它的報文首先要封裝成IP數(shù)據(jù)報，再傳送給下一層。（IP數(shù)據(jù)報協(xié)議字段為1）,第九章 網(wǎng)際協(xié)議（IP）,2.IMCP報文分為兩大類 類型一：差錯報告報文 當路由器或終點主機在處理I

2、P報文時遇到問題。 類型二：查詢報文 成對出現(xiàn)，幫助網(wǎng)絡管理員從一個路由器或主機得到特定信息。,第九章 網(wǎng)際協(xié)議（IP）,第九章 網(wǎng)際協(xié)議（IP）,類型字段的值與ICMP報文的類型的關系,9.2 ICMP 報文的格式,首 部,ICMP 報文,0,數(shù) 據(jù) 部 分,檢驗和,類型,代碼,（這 4 個字節(jié)取決于 ICMP 報文的類型）,8,16,31,IP 數(shù)據(jù)報,前 4 個字節(jié) 都是一樣的 ICMP由8個字節(jié)的首部和可變長度的數(shù)據(jù)部分組成。,ICMP 的數(shù)據(jù)部分（長度取決于類型）,9.2 ICMP 報文的格式,首 部,ICMP 報文,0,數(shù) 據(jù) 部 分,檢驗和,類型,代碼,（這 4 個字節(jié)取決于 I

3、CMP 報文的類型）,8,16,31,IP 數(shù)據(jù)報,類型：定義了報文的類型。 代碼：指明了發(fā)送這個特定報文類型的原因。 校驗和：首部+數(shù)據(jù)部分的校驗。,ICMP 的數(shù)據(jù)部分（長度取決于類型）,9.3 ICMP 差錯報告,ICMP總是把差錯報文報告給原始的數(shù)據(jù)源。一共有5種差錯可處理如圖所示：,ICMP只提供報告差錯，不會糾正差錯，差錯糾正留給高層協(xié)議處理。,9.3 ICMP 差錯報告,關于ICMP差錯報文有以下的一些要點： 對 ICMP 差錯報告報文不再發(fā)送 ICMP 差錯報告報文。 對第一個分片的數(shù)據(jù)報片的所有后續(xù)數(shù)據(jù)報片都不發(fā)送 ICMP 差錯報告報文。 對具有多播地址的數(shù)據(jù)報都不發(fā)送IC

4、MP差錯報告報文。 對具有特殊地址（如127.0.0.0 或 0.0.0.0）的數(shù)據(jù)報不發(fā)送 ICMP 差錯報告報文。,ICMP 差錯報告報文的數(shù)據(jù)字段的內(nèi)容,首部,IP 數(shù)據(jù)報,ICMP 的 前 8 字節(jié),裝入 ICMP 報文的 IP 數(shù)據(jù)報,IP 數(shù)據(jù)報 首部,ICMP 差錯報告報文,8 字節(jié),收到的 IP 數(shù)據(jù)報,IP 數(shù)據(jù)報 首部,8 字節(jié),ICMP 差錯報告報文,IP 數(shù)據(jù)報的數(shù)據(jù)字段,數(shù)據(jù)部分包括原始數(shù)據(jù)報的首部+數(shù)據(jù)報中的前8個字節(jié),9.3.1 終點不可到達,當路由器不能給數(shù)據(jù)報找到路由或主機不能交付數(shù)據(jù)報時，就丟棄這個數(shù)據(jù)報，同時發(fā)送一個ICMP終點不可達報文。,9.3.1 終

5、點不可到達,代碼字段用0-15分別指明丟棄該數(shù)據(jù)報的原因： 包括：網(wǎng)絡不可達、主機不可達、協(xié)議不可達、端口不可達、需要分片等。,9.3.2 源點抑制,在ICMP的源點抑制報文就是為了給IP增加了一種流量控制而設計的。源點抑制報文通知源點，由于擁塞，在路由器或目的主機中已經(jīng)丟棄了數(shù)據(jù)報，源點必須放慢數(shù)據(jù)報的發(fā)送，直到擁塞程度減輕為止。,9.3.2 源點抑制,源點抑制注意： 首先，經(jīng)受擁塞的路由器或目的主機，必須為每一個丟棄的數(shù)據(jù)報向源主機發(fā)送源點抑制報文。 沒有一種機制可以告訴源點，擁塞程度已經(jīng)減輕，因而可以按照原來的速率發(fā)送數(shù)據(jù)。源點應繼續(xù)降低發(fā)送速率，直到不再收到更多的源點抑制報文為止。 在

6、一對一的通信或多對一的通信，都可以產(chǎn)生擁塞。,9.3.3 超時,當路由器收到生存時間字段值為0的數(shù)據(jù)報時，就丟棄這個數(shù)據(jù)報，并向源點發(fā)送超時報文。 當最后的終點在規(guī)定的時間內(nèi)，沒有收到所有的分片時，它就丟棄已收到的分片，并向源點發(fā)送超時報文。,9.3.3 超時抓包分析,舉例：執(zhí)行命令：ping i 2 。 分析： 1) i 參數(shù)表示指定TTL值 2) ping 默認發(fā)送4個回答請求數(shù)據(jù)報，同時將IP首部的TTL值設為2. 3）分析該網(wǎng)絡中會出現(xiàn)哪些數(shù)據(jù)報。 答案：4個echo request, 4個超時ICMP差錯報,ICMP Echo request回送請求報,舉例：執(zhí)行命令：ping i

7、2 。 分析： 1) i 參數(shù)表示指定TTL值 2) ping 默認發(fā)送4個回答請求數(shù)據(jù)報，同時將IP首部的TTL值設為2. 3）分析該網(wǎng)絡中會出現(xiàn)哪些數(shù)據(jù)報。 答案：4個echo request, 4個超時ICMP差錯報,ICMP 超時差錯報文,舉例：執(zhí)行命令：ping i 2 。 分析： 1) i 參數(shù)表示指定TTL值 2) ping 默認發(fā)送4個回答請求數(shù)據(jù)報，同時將IP首部的TTL值設為2. 3）分析該網(wǎng)絡中會出現(xiàn)哪些數(shù)據(jù)報。 答案：4個echo request, 4個超時ICMP差錯報,9.3.4 參數(shù)問題,存在二義性或缺少字段值，將丟棄數(shù)據(jù)報。 代碼0：在首部的某個字段中有差錯或二

8、義性。這種情況下，指針字段值指向有問題的字節(jié)。 代碼1：表示缺少所需的選項部分。這種情況下不是用指針。,9.3.5 改變路由,主機在開始工作時只有很小的路由表，這個路由表逐漸增大和更新，完成這項工作的工具之一就是改變路由報文。,9.3.5 改變路由,改變路由報文參數(shù) 代碼0：對特定網(wǎng)絡路由的改變 代碼1：對特定主機路由的改變 代碼2：基于指明的服務類型對特定網(wǎng)絡路由的改變 代碼3：基于指明的服務類型對特定主機路由的改變,9.4 ICMP 查詢報文,除差錯報告外，ICMP還能對某些網(wǎng)絡問題進行診斷。這是通過4種不同的查詢報文來完成的：,9.4.1 ICMP 回送請求和回答,回送請求和回送回答組合

9、起來確定了兩個系統(tǒng)是否能夠彼此通信； 回送請求報文可以由主機或路由器發(fā)送，收到回送請求報文的主機或路由器發(fā)送回送回答報文； 回送請求和回送回答報文可由網(wǎng)絡管理員來使用，用來檢查IP協(xié)議的工作情況； 用回送請求和回送回答報文可測試某個主機的可達性，通常調(diào)用ping命令來完成。,9.4.1 ICMP 回送請求和回答,回送請求和回送回答組合起來確定了兩個系統(tǒng)是否能夠彼此通信； 回送請求報文可以由主機或路由器發(fā)送，收到回送請求報文的主機或路由器發(fā)送回送回答報文； 回送請求和回送回答報文可由網(wǎng)絡管理員來使用，用來檢查IP協(xié)議的工作情況； 用回送請求和回送回答報文可測試某個主機的可達性，通常調(diào)用ping命

10、令來完成。,9.4.1 ICMP 回送請求和回答,標識符和序號在協(xié)議中均未正式定義，由系統(tǒng)自己實現(xiàn)。,9.4.1 ICMP 回送請求和回答,抓包分析ping 命令的實現(xiàn)原理 默認發(fā)送4個Echo request數(shù)據(jù)報 接收到4個Echo reply包則全部ping通,9.4.2 ICMP時間戳請求和回答,9.4.2 ICMP時間戳請求和回答,時間戳請求和時間戳回答報文可用來計算數(shù)據(jù)報從源點到終點所需的單向時間，以及再返回源點所需的往返時間。所用的公式是： 發(fā)送時間=接收時間戳的值-原始時間戳的值 接收時間=分組返回的時間-發(fā)送時間戳的值 往返時間= 發(fā)送時間+接收時間 注意：只有當源點和終點的

11、機器中的時鐘是同步的，發(fā)送時間和接收時間的計算才是準確的，但是即使這兩個時鐘沒有同步，往返時間的計算還是準確的。,9.4.3 ICMP地址掩碼請求和回答,9.4.4 ICMP路由器查詢和通告,9.4.4 ICMP路由器查詢和通告,9.5 校驗和,9.6 Traceroute命令實現(xiàn)原理,Traceroute功能：用來跟蹤一個分組從源點到終點的路徑。 實現(xiàn)原理： 1）源主機A向目的主機B分別發(fā)送多次UDP分組，將TTL值設為1，2，3n； 2）每過一跳路由器,TTL減1,利用收到的超時ICMP報文確定所過路由器IP； 思考：到達目的主機B的UDP報文TTL會減1,但不會丟棄，所以不會發(fā)送ICMP

12、超時報文，如何處理？,9.6 Traceroute命令實現(xiàn)原理,解決方法： 在UDP報文中封裝一個UDP協(xié)議不支持的端口，目的主機B收到后，無法交付到相應的應用程序 數(shù)據(jù)報被丟棄，并向A發(fā)送ICMP終點不可達差錯報文。(類型3，代碼3)。,9.6 Tracert命令實現(xiàn)原理,Windows 下的路由查詢工具 實現(xiàn)原理： 1）源主機A向目的主機B分別發(fā)送多次ICMP Echo Requst報文，將TTL值設為1，2，3n； 2)每次發(fā)3個報文，知道有目的主機響應Echo Reply。,Tracert抓包分析,Tracert抓包分析,9.7 ICMP網(wǎng)絡攻擊,1.針對帶寬的DOS的攻擊 利用無用的

13、數(shù)據(jù)來耗盡網(wǎng)絡帶寬。通過高速發(fā)送大量的ICMP echo reply數(shù)據(jù)包，目標網(wǎng)絡的帶寬瞬間就會被耗盡。 ICMP echo reply數(shù)據(jù)包具有較高的優(yōu)先級，在一般情況下，網(wǎng)絡總是允許內(nèi)部主機使用Ping命令。,9.7 ICMP網(wǎng)絡攻擊,2.針對連接的DOS攻擊 針對連接的DOS攻擊，可以終止現(xiàn)有的網(wǎng)絡連接。 Nuke通過發(fā)送一個偽造的ICMP Destination Unreachable或Redirect消息來終止合法的網(wǎng)絡連接。更具惡意的攻擊如puke和smack，會給某一個范圍內(nèi)的端口發(fā)送大量的數(shù)據(jù)包，毀掉大量的網(wǎng)絡連接，同時還會消耗受害主機CPU的時鐘周期。,9.7 ICMP網(wǎng)絡攻擊,3.Smurf攻擊 首先，攻擊者