ICMP及ICMP.doc

ICMP數(shù)據(jù)包 ICMP是“Internet Control Message Protocol”（Internet控制消息協(xié)議）的縮寫。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。 我們?cè)诰W(wǎng)絡(luò)中經(jīng)常會(huì)使用到ICMP協(xié)議，只不過(guò)我們覺(jué)察不到而已。比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的Ping命令，這個(gè)“Ping”的過(guò)程實(shí)際上就是ICMP協(xié)議工作的過(guò)程。還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。 ICMP的重要性 ICMP協(xié)議對(duì)于網(wǎng)絡(luò)安全具有極其重要的意義。ICMP協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī). 比如，可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過(guò)64KB這一規(guī)定，向主機(jī)發(fā)起“Ping of Death”（死亡之Ping）攻擊?！癙ing of Death” 攻擊的原理是：如果ICMP數(shù)據(jù)包的尺寸超過(guò)64KB上限時(shí)，主機(jī)就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使主機(jī)死機(jī)。 此外，向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會(huì)最終使系統(tǒng)癱瘓。大量的ICMP數(shù)據(jù)包會(huì)形成“ICMP風(fēng)暴”，使得目標(biāo)主機(jī)耗費(fèi)大量的CPU資源處理，疲于奔命。 應(yīng)對(duì)ICMP攻擊 雖然ICMP協(xié)議給黑客以可乘之機(jī)，但是ICMP攻擊也并非無(wú)藥可醫(yī)。只要在日常網(wǎng)絡(luò)管理中未雨綢繆，提前做好準(zhǔn)備，就可以有效地避免ICMP攻擊造成的損失。 對(duì)于“Ping of Death”攻擊，可以采取兩種方法進(jìn)行防范：第一種方法是在路由器上對(duì)ICMP數(shù)據(jù)包進(jìn)行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內(nèi)，這樣即使有ICMP攻擊，它所占用的帶寬也是非常有限的，對(duì)整個(gè)網(wǎng)絡(luò)的影響非常少；第二種方法就是在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包。 設(shè)置ICMP數(shù)據(jù)包處理規(guī)則的方法也有兩種，一種是在操作系統(tǒng)上設(shè)置包過(guò)濾，另一種是在主機(jī)上安裝防火墻。理解ICMP traceroute的原理 2008-07-21 23:11Traceroute程序的設(shè)計(jì)是利用ICMP及IP header的TTL（Time To Live）欄位（field）。首先，traceroute送出一個(gè)TTL是1的IP datagram（其實(shí)，每次送出的為3個(gè)40字節(jié)的包，包括源地址，目的地址和包發(fā)出的時(shí)間標(biāo)簽）到目的地，當(dāng)路徑上的第一個(gè)路由器（router）收到這個(gè)datagram時(shí)，它將TTL減1。此時(shí)，TTL變?yōu)?了，所以該路由器會(huì)將此datagram丟掉，并送回一個(gè)ICMP time exceeded消息（包括發(fā)IP包的源地址，IP包的所有內(nèi)容及路由器的IP地址），traceroute 收到這個(gè)消息后，便知道這個(gè)路由器存在于這個(gè)路徑上，接著traceroute 再送出另一個(gè)TTL是2 的datagram，發(fā)現(xiàn)第2 個(gè)路由器. traceroute 每次將送出的datagram的TTL 加1來(lái)發(fā)現(xiàn)另一個(gè)路由器，這個(gè)重復(fù)的動(dòng)作一直持續(xù)到某個(gè)datagram 抵達(dá)目的地。當(dāng)datagram到達(dá)目的地后，該主機(jī)并不會(huì)送回ICMP time exceeded消息，因?yàn)樗咽悄康牡亓耍敲磘raceroute如何得知目的地到達(dá)了呢？Traceroute在送出UDP datagrams到目的地時(shí)，它所選擇送達(dá)的port number 是一個(gè)一般應(yīng)用程序都不會(huì)用的號(hào)碼（30000 以上），所以當(dāng)此UDP datagram 到達(dá)目的地后該主機(jī)會(huì)送回一個(gè)ICMP port unreachable的消息，而當(dāng)traceroute 收到這個(gè)消息時(shí)，便知道目的地已經(jīng)到達(dá)了。所以traceroute 在Server端也是沒(méi)有所謂的Daemon。（From Juniper Document）使用ICMP Echo Request, Echo Reply and TTL-expired.源發(fā)出 ICMP Equest，第一個(gè)request的TTL為1，第二個(gè)request的TTL為2，以后依此遞增直至第30個(gè)；中間的router送回ICMP TTL-expired ( ICMP type 11) 通知source，（packet同時(shí)因TTL超時(shí)而被drop)，由此source知曉一路上經(jīng)過(guò)的每一個(gè)router；最后的destination送回ICMP Echo Reply（最后一跳不會(huì)再回ICMP TTL-expired）。所以中間任何一個(gè)router上如果封了ICMP Echo Request, traceroute就不能工作；如果封了type 11 (TTL-expired), 中間的router全看不到，但能看到packet 到達(dá)了最后的destination；如果封了ICMP Echo Reply，中間的全能看到，最后的destination看不到。TRACERT的時(shí)候,前面都是time out只有最后一個(gè)是通的,怎么回事呢?CDocuments and SettingsAdministratortracert Tracing route to 3over a maximum of 30 hops:1 * * * Request timed out.2 * * * Request timed out.3 * * * Request timed out.4 * * * Request timed out.5 * * * Request timed out.6 * * * Request timed out.7 * * * Request timed out.8 * * * Request timed out.9 * * * Request timed out.10 * * * Request timed out.11 * * * Request timed out.12 * * * Request timed out.13 41 ms 41 ms 57 ms 3Trace complete.tracert 局域網(wǎng)是通的CDocuments