ICMP协议分析

ICMP简介

• ICMP是（Internet Control Message Protoco）Internet控制报文协议。ICMP协议是一种面向无连接的协议，它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递和网络安全具有极其重要的意义。

ICMP的两级封装

ICMP报文

更加详细地看一下数据包的格式吧。用来传送ICMP 报文的IP 数据包上实际上有不少字段。但是实际上与ICMP 协议相关的只有7 个子段。

1）协议；2）源IP 地址；3）目的IP 地址；4）生存时间；这四个包含在IP 首部的字段。

5）类型；6）代码；7）选项数据；这三个包含在ICMP数据部分的字段。

这里面，1)协议字段值是1。2)和3)是用来交流ICMP 报文的地址信息，没有特殊意义。对于理解ICMP 本身，重要的是5)，6)，7)三个字段。这里面的可以称为核心的重要字段是5)类型，6)代码这两个字段。所有ICMP 用来交流错误通知和信息询问的报文，都是由类型和代码的组合来表示的。RFC 定义了15种类型。“报文不可到达”这样的错误通知和“回送请求”这样的信息查询是由类型字段来区分的。ICMP报文由类型来表达它的大概意义，需要传递细小的信息时由代码来分类。进一步，需要向对方传送数据的时候，用7）选项数据字段来放置。

可能的消息列表：

ICMP差错报文

报告IP数据报在传输中的差错是ICMP报文最基本的功能，ICMP差错报文有如下特点：

1. ICMP差错报文都是由路由器发送到源主机的，因为IP数据报中含有源主机的IP地址，报告给源主机是最可行的方案，另外，发出IP数据报的源主机最需要知道数据是否到达目标主机。
2. ICMP差错报文只提供IP数据报在传输过程中的差错报告，并不规定对各类差错应采取什么样的处理措施。具体对差错的处理，由收到ICMP差错报文的源主机将相应的差错与应用程序联系起来才能进行相应的差错处理。
3. ICMP差错报文不享受任何优先权，也没有特别的可靠性保证措施，与普通的IP数据报一样进行传输，传输过程中可能被丢失、损坏，甚至被抛弃。
4. ICMP差错报文是伴随着抛弃出错的IP数据报而产生的。
5. 当路由器发送一份参数错误等的ICMP差错报文时，ICMP报文数据区始终包含产生ICMP差错报文的IP数据报的头部和其数据区的前8个字节(64位)。
6. 在有些情况下，为了防止在网络中产生大量的ICMP差错报文(广播风暴)，影响网络的正常工作，即使发生差错，也不会产生ICMP差错报文，这些情况包括：
   ●ICMP报文发生差错。这是为了避免差错报文无休止产生而规定的(但ICMP查询报文可能会产生ICMP差错报文)。
   ●目的地址是广播地址或多播地址(D类地址)的IP数据报。
   ●作为链路层广播的数据报。
   ●不是IP分片的第一片。
   ●源地址不是单个主机的数据报。这就是说，源地址不能为零地址、回送地址、广播地址或多播地址。

ICMP控制报文

1. 拥塞控制与源站抑制报文当一个路由器接收IP数据报的速度比其处理IP数据报的速度快，或一个路由器传入数据报的速率大于传出数据报的速率时，就会产生拥塞(Congestion)现象。 这时路由器可以通过发送源站抑制(SourceQuench)报文来抑制源主机发送IP数据报的速率，避免可能产生的差错。
   源站抑制报文的类型字段为4，代码字段只能为0。源站抑制技术进行拥塞控制的方法如下：
   (1) 当路由器发生拥塞时，便发出ICMP源站抑制报文。拥塞的判别可以用三种方法：一是检查路由器缓存区是否已满；二是给缓存区输出队列设置一个阈值，判断队列中数据报的个数是否超过阈值；三是检测某输入线路的传输率是否过高。
   (2) 源主机收到抑制报文后，按一定的速率降低发往目标主机的数据报传输率。
   (3) 如果在一定的时间间隔内源主机没有收到抑制报文，便认为拥塞已解除，源主机可以逐渐恢复到原来数据报的流量。

2. 路由控制与重定向报文假如源主机要向目标主机发送IP数据报，源主机的默认路由是路由器1，则源主机先把IP数据报送到路由器1，再由路由器1进行路由选择。路由器1经过选路后，把IP数据报送到路由器2。 同时路由器1也发现源主机要发送到目标主机的IP数据报以后可以直接发送到路由器2(因为路由器1和路由器2同在一个网络中)，则路由器1向源主机发送一个ICMP重定向报文，告诉它可以直接把IP数据报送到路由器2。这样，就使源主机始终保持着一个动态的、既小且优的路径表

ICMP应用

Ping

Ping这个单词源自声纳定位，而这个程序的作用也确实如此，它利用ICMP协议包来侦测另一个主机是否可达。原理是用类型码为0的ICMP发请求，受到请求的主机则用类型码为8的ICMP回应。Ping程序来计算间隔时间，并计算有多少个包被送达。用户就可以判断网络大致的情况。我们可以看到， Ping给出来了传送的时间

Tracert

Tracert（Trace Route的缩写）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和ICMP 错误消息来确定从一个主机到网络上其他主机的路由。

ICMP安全性

• ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。例如，在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，占整个攻击总数的90%以上！可见，ICMP的重要性绝不可以忽视！

Ping of Death

• 利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death”攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。（现在的操作系统已经取消了发送ICMP数据包的大小的限制）

应对措施：对于“Ping of Death”攻击，可以采取两种方法进行防范：

1. 第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；
2. 第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。

ICMP洪水攻击

• 洪水，顾名思义，是速度极快的，当一个程序发送数据包的速度达到了每秒1000个以上，它的性质就成了洪水产生器，洪水数据是从洪水产生器里出来的，但这样还不够，没有足够的带宽，再猛的洪水也只能像公路塞车那样慢慢移动，成了鸡肋。要做真正的洪水，就需要有一条足够宽的高速公路才可以。

应对措施：

• 配置防火墙以预防攻击，用户应该配置一个合理的安全策略。以下是被普遍认可的防火墙安全配置惯例，可供管理员在系统安全性和易用性之间作出权衡。
• 防火墙应该强制执行一个缺省的拒绝策略。除了出站的ICMPEcho Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外，所有的ICMP消息类型都应该被阻止。

附录 ：超详细的ICMP介绍