ICMP及ICMP.doc

ICMP數(shù)據(jù)包 ICMP是“Internet Control Message Protocol”（Internet控制消息協(xié)議）的縮寫。它是TCP/IP協(xié)議族的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。 我們在網(wǎng)絡(luò)中經(jīng)常會使用到ICMP協(xié)議，只不過我們覺察不到而已。比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的Ping命令，這個“Ping”的過程實際上就是ICMP協(xié)議工作的過程。還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。 ICMP的重要性 ICMP協(xié)議對于網(wǎng)絡(luò)安全具有極其重要的意義。ICMP協(xié)議本身的特點決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機. 比如，可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機發(fā)起“Ping of Death”（死亡之Ping）攻擊?！癙ing of Death” 攻擊的原理是：如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時，主機就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使主機死機。 此外，向目標主機長時間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。大量的ICMP數(shù)據(jù)包會形成“ICMP風(fēng)暴”，使得目標主機耗費大量的CPU資源處理，疲于奔命。 應(yīng)對ICMP攻擊 雖然ICMP協(xié)議給黑客以可乘之機，但是ICMP攻擊也并非無藥可醫(yī)。只要在日常網(wǎng)絡(luò)管理中未雨綢繆，提前做好準備，就可以有效地避免ICMP攻擊造成的損失。 對于“Ping of Death”攻擊，可以采取兩種方法進行防范：第一種方法是在路由器上對ICMP數(shù)據(jù)包進行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內(nèi)，這樣即使有ICMP攻擊，它所占用的帶寬也是非常有限的，對整個網(wǎng)絡(luò)的影響非常少；第二種方法就是在主機上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包。 設(shè)置ICMP數(shù)據(jù)包處理規(guī)則的方法也有兩種，一種是在操作系統(tǒng)上設(shè)置包過濾，另一種是在主機上安裝防火墻。理解ICMP traceroute的原理 2008-07-21 23:11Traceroute程序的設(shè)計是利用ICMP及IP header的TTL（Time To Live）欄位（field）。首先，traceroute送出一個TTL是1的IP datagram（其實，每次送出的為3個40字節(jié)的包，包括源地址，目的地址和包發(fā)出的時間標簽）到目的地，當路徑上的第一個路由器（router）收到這個datagram時，它將TTL減1。此時，TTL變?yōu)?了，所以該路由器會將此datagram丟掉，并送回一個ICMP time exceeded消息（包括發(fā)IP包的源地址，IP包的所有內(nèi)容及路由器的IP地址），traceroute 收到這個消息后，便知道這個路由器存在于這個路徑上，接著traceroute 再送出另一個TTL是2 的datagram，發(fā)現(xiàn)第2 個路由器. traceroute 每次將送出的datagram的TTL 加1來發(fā)現(xiàn)另一個路由器，這個重復(fù)的動作一直持續(xù)到某個datagram 抵達目的地。當datagram到達目的地后，該主機并不會送回ICMP time exceeded消息，因為它已是目的地了，那么traceroute如何得知目的地到達了呢？Traceroute在送出UDP datagrams到目的地時，它所選擇送達的port number 是一個一般應(yīng)用程序都不會用的號碼（30000 以上），所以當此UDP datagram 到達目的地后該主機會送回一個ICMP port unreachable的消息，而當traceroute 收到這個消息時，便知道目的地已經(jīng)到達了。所以traceroute 在Server端也是沒有所謂的Daemon。（From Juniper Document）使用ICMP Echo Request, Echo Reply and TTL-expired.源發(fā)出 ICMP Equest，第一個request的TTL為1，第二個request的TTL為2，以后依此遞增直至第30個；中間的router送回ICMP TTL-expired ( ICMP type 11) 通知source，（packet同時因TTL超時而被drop)，由此source知曉一路上經(jīng)過的每一個router；最后的destination送回ICMP Echo Reply（最后一跳不會再回ICMP TTL-expired）。所以中間任何一個router上如果封了ICMP Echo Request, traceroute就不能工作；如果封了type 11 (TTL-expired), 中間的router全看不到，但能看到packet 到達了最后的destination；如果封了ICMP Echo Reply，中間的全能看到，最后的destination看不到。TRACERT的時候,前面都是time out只有最后一個是通的,怎么回事呢?CDocuments and SettingsAdministratortracert Tracing route to 3over a maximum of 30 hops:1 * * * Request timed out.2 * * * Request timed out.3 * * * Request timed out.4 * * * Request timed out.5 * * * Request timed out.6 * * * Request timed out.7 * * * Request timed out.8 * * * Request timed out.9 * * * Request timed out.10 * * * Request timed out.11 * * * Request timed out.12 * * * Request timed out.13 41 ms 41 ms 57 ms 3Trace complete.tracert 局域網(wǎng)是通的CDocuments