tcpip-6(icmp)讲义.ppt

Traceroute程序 ICMP地址掩码请求与应答 ICMP地址掩码请求用于无盘系统在引导过程中获取自己的子网掩码，系统广播它的ICMP请求报文。ICMP地址掩码请求和应答报文格式如下： ICMP时间戳请求与应答： ICMP时间戳请求允许系统向另一个系统查询当前时间，返回的是自午夜开始记算的毫秒数。调用者必须通过其他方法获取当前时间。???? ICMP时间戳请求与应答报文格式如下： 六、实现自己的TraceRoute * * 第６讲 ICMP 协议应用 一：ICMP简介: 熟悉网络的人来说, ICMP是非常熟悉的. 它同IP协议一样工作在ISO模型的网络层, 它的全称是: Internet Control Message Protocal. 其在网络中的主要作用是: 主机探测；路由维护；路由选择；流量控制 二：ICMP数据包格式 ICMP经常被认为是IP层的一个组成部分。它传递差错信息以及其它需要注意的信息。ICMP报文通常被IP层或更高层协议（TCP或UDP）使用。一些ICMP报文把差错信息返回给用户进程。 注意: ICMP信息是在IP数据报内部被传输的 ICMP报文的格式如下图 所有报文的前4个字节都是一样的，但是剩下的其他字节则互不相同。我们逐个介绍各种报文格式。 ? 1、类型字段。可以有1 5个不同的值，以描述特定类型的ICMP报文。某些ICMP报文还使用代码字段的值来进一步描述不同的条件。 （参见WORD文档） 2、检验和字段覆盖整个ICMP报文。使用的算法与IP首部检验和算法相同。ICMP的检验和是必需的 　　ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。 1、在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，占整个攻击总数的90%以上！ 2、可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。 三、ICMP的重要性 “Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机； 3、向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。 应对ICMP攻击　　虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前准备，就可以有效地避免ICMP攻击造成的损失。　　对于“Ping of Death”攻击，可以采取两种方法进行防范： 第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击， 第二种方法是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。 四：部分ICMP数据包格式描述 1. 回送或回送响应 使用一个ICMP ECHO数据包来探测主机地址是否存活（主机没有被配置为过滤ICMP形式），通过简单的发送一个ICMP ECHO(Type 8)数据包到目标主机，如果ICMP ECHO Reply(ICMPtype0)数据包接受到，说明主机是存活状态。如果没有就可以初步判断主机没有在线或者使用了某些过滤设备过滤了ICMP的REPLY。这种机制就是我们通常所用的ping命令来检测目标主机是否可以ping到. 回送消息的源地址是回送响应消息的目的地址。若要形成一个回送响应消息，应该将源和目的地址交换，将类型代码更改为0，重新计算机校验码。 报文的格式: Type Code Checksum Identifier Sequence Number Chose Data ... 类型： 8代表回送消息； 0代表回送响应消息。 代码：0 校验码： 16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在 以后会被校验码取代。 标识符： 如果代码=0，帮助匹配回送和回送响应的代码可以为0。 序列码： 如果代码=0，帮助匹配回送和回送响应的序列码可以为0。 说明： 回送消息中接收到的消息应该在回送响应消息中返回。标识符和序列码由回送发送者使用帮助匹配回送请求的响应。代码： 从主机或网关接收0 2. 超时报文 Type Code Checksum unused Internet Header + 64 bi