1.ICMP的基本概念
①ICMP工作在网络层,是一种管理协议,用于在IP地址、路由器之间传递消息和差错报告。
②在网络中,ICMP协议可以用于网络通不通的ping命令或者跟踪路由的trace命令。
③ICMP消息被封装在IP数据包内,通过IP包传送的ICMP信息主要是涉及错误操作的报告和回送给源结点的关于IP数据包处理情况的消息。
④ICMP的功能是报告问题而不是纠正错误,纠正错误的任务由发送方完成。
2.ICMP协议类型
ICMP报文格式有18种,常见的报文格式如下表:
=> 源抑制:当路由器缓存已满时,只能将数据包丢弃,同时路由器向源节点发出ICMP报文,让源节点在收到源抑制的报文时降低发送数据包的速度。
3.ICMP主要功能
(1)通告网络错误
当数据包在传输过程中,如果出现网络不可达(网络出现故障)、主机不可达(IP地址错误)、协议不可达(目的节点不支持数据包中指定的高层协议)、端口不可达(数据包指定的目的端口在目的节点无效)等错误,相关路由器或主机上的ICMP会向源节点发送一个“目标不可达”的ICMP报文。
(2)通告网络拥塞
当路由器或目标主机因缓存满来不及处理而丢弃IP数据包时,它会向发送数据包的源节点发出一个“源抑制”的ICMP报文。源节点收到这个报文后会降低发送速度。
(3)协助查找网络故障
①ICMP支持Echo(回送)功能,在两个主机之间发送一个往返的数据包。
②当网络中一个节点主动向另一个节点发出“Echo请求”报文,其中包含着这个报文的标识和序列号,收到该报文的结点则必须向源节点发出“Echo应答”报文。
③Ping命令即是利用这个功能,在网络上传输一系列数据包,测量平均往返时间并计算丢包率。
(4)通告超时
①每个IP数据包的包头部分有一个8比特的“生存期”(TTL)字段,取值范围是0~255。IP数据包在传输过程中,每经过一个路由器,该字段的值便减1。
②一个IP数据包从源节点出发时,它的TTL已被预先设定一个数值,在传输过程中,如果该IP包的TTL降低到零,路由器就会丢弃此包,这是会生成一个“超时”(time exceeded)的ICMP报文,通告这一事实。
③Trace就是一种基于上述功能的通用网络管理工具,它通过发送小TTL值的包及监视ICMP超时通告来探知网络路由。
【真题】sniffer抓包命令分析——①ping命令 ②trace命令?
解析:①ping命令有回送的功能,有应答和请求两种报文类型;②trace命令中涉及参数TTL字段。如果抓取到的数据包是通过发送不同的TTL数据包来监视和探知路由,那采用的肯定是trace命令。
(5)路由重定向
当一台主机自己的默认网关路由器发送一个需要转发的数据包时,如果路由器查找路由表发现有更好的路由,就会向源主机发出“重定向”的ICMP报文。
(6)检查IP协议的错误
当路由器或其他主机收到一个IP包,发现它的包头中字段的值不正确,就会向源主机发送“参数错误”的ICMP报文。
(7)测量指定路径上的通信延迟
ICMP时间戳消息的使用方法与Echo消息非常相似。不同的是其“请求”、“响应”消息均带有时间戳。
(8)获取子网掩码
一台主机可以发出一个包含“掩码请求”报文的广播包,默认网关路由器上的ICMP会向源主机发出一个“掩码应答”报文,把子网掩码通知它。
