Bootstrap

ICMP网络控制报文简单分析

ICMP全称Internet Control Message Protocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。

网络本身是不可靠的,在网络传输过程中,可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议,它不会处理网络层传输中的故障,而位于网络层的ICMP协议却恰好弥补了IP的缺限,它使用IP协议进行信息传递,向数据包中的源端节点提供发生在网络层的错误信息反馈。

ICMP的消息大致可以分为两类:一类是差错报文,即通知出错原因的错误消息(如traceroute),另一类是查询报文,即用于诊断的查询消息(如ping)。

使用ICMP协议的典型应用有ping和traceroute(windows上叫tracert)。

 

ICMP报头格式

ICMP是在IP数据报的内部被传输的,紧跟着IP报文的首部(如果IP首部有可选部分,则紧跟着可选部分)一个ICMP报文包括IP报头(至少20字节)、ICMP报头(至少八字节)和ICMP报文的数据部分。当IP报头中的协议号字段值为1时,就说明这是一个ICMP报文。ICMP报头如下图所示。


 
图上的IP首部20字节是在IP报文首部不含可选部分的情况下,若IP首部含可选部分,则大于20字节。

 

ICMP头部各字段说明

类型:占一字节,标识ICMP报文的类型,目前已定义了14种,从类型值来看ICMP报文可以分为两大类。第一类是取值为1~127的差错报文,第2类是取值128以上的信息报文。

代码:占一字节,标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型。

ICMP报文的前4个字节是统一的格式,共有三个字段:即类型,代码和检验和。8位类型和8位代码字段一起决定了ICMP报文的类型。类型8,代码0:表示回显请求(ping请求)。类型0,代码0:表示回显应答(ping应答)。类型11,代码0:超时。

校验和:占2个字节,包括数据在内的整个ICMP数据包的检验和,以检验报文在传输过程中是否出现了差错;其计算方法和IP头部检验和的计算方法一样的。

标识:占两字节,用于标识本ICMP进程,但仅适用于回显请求和应答ICMP报文,对于目标不可达ICMP报文和超时ICMP报文等,该字段的值为0。

序列号:每一个ICMP回显报文都有一个序列号且是递增的

数据:表示是一个32字节的数据

I

所有ICMP报文的前4个字节都是一样的,但剩下的其他字节则根据报文类型的不同而不同。总体可分成三类:ICMP请求报文,ICMP响应报文及ICMP差错报告报文。

  • 8位类型字段和8位代码字段决定ICMP报文的类型详细表如下。 

                                                     表1 ICMP报文类型

 

ICMP询问报文(40字节)

 

1.ICMP询问报文有四种回送请求和回答,时间戳请求和回答,掩码地址请求和回答,以及路由器询问和通过。

1>ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的机器必须给源主机发送ICMP回送应答报文。这种询问报文用来测试目的站是否可达以及了解其有关状态。

2>ICMP时间戳请求允许系统向另一个系统查询当前的时间。该ICMP报文的好处是它提供了毫秒级的分辨率,而利用其他方法从别的主机获取的时间只能提供秒级的分辨率。请求端填写发起时间,然后发送报文。应答系统收到请求报文时填写接收时间戳,在发送应答时填写发送时间戳。大多数的实现是把后面两个字段都设成相同的值。

3>主机使用ICMP地址掩码请求报文可向子网掩码服务器得到某个接口的地址掩码。系统广播它的ICMP请求报文。ICMP报文中的标识符和序列号字段由发送端任意选择设定,这些值在应答中将被返回,这样,发送端就可以把应答与请求进行匹配。

4>主机使用ICMP路由器询问和通过报文可了解连接在本网络上的路由器是否正常工作。主机将路由器询问报文进行广播(或多播)。收到询问报文的一个或几个路由器就使用路由器通过报文广播其路由选择信息

 

ICMP差错报文(56字节)

1. ICMP差错报告报文共有5种

1>终点不可达:终点不可达分为:网络不可达,主机不可达,协议不可达,端口不可达,需要分片但DF比特已置为1,以及源路由失败等六种情况,其代码字段分别置为0至5。当出现以上六种情况时就向源站发送终点不可达报文。

说明:

端口不可达:UDP的规则之一是:如果收到UDP数据报而且目的端口与某个正在使用的进程不相符,那么UDP返回一个ICMP不可达报文。

2>源站抑制:当路由器或主机由于拥塞而丢弃数据报时,就向源站发送源站抑制报文,使源站知道应当将数据报的发送速率放慢。

3>时间超过:当路由器收到生存时间为零的数据报时,除丢弃该数据报外,还要向源站发送时间超过报文。当目的站在预先规定的时间内不能收到一个数据报的全部数据报片时,就将已收到的数据报片都丢弃,并向源站发送时间超过报文。

4>参数问题:当路由器或目的主机收到的数据报的首部中的字段的值不正确时,就丢弃该数据报,并向源站发送参数问题报文。

5>改变路由(重定向)路由器将改变路由报文发送给主机,让主机知道下次应将数据报发送给另外的路由器。

说明:

以下几种情况都不会导致产生ICMP差错报文

1>ICMP差错报文(但是,ICMP查询报文可能会产生ICMP差错报文)

2>目的地址是广播地址或多播地址的IP数据报

3>作为链路层广播的数据报

4>不是IP分片的第一片

5>源地址不是单个主机的数据报。即源地址不能为零地址、环回地址、广播地址或多播地址。

这些规则是为了防止过去允许ICMP差错报文对广播分组响应所带来的广播风暴。

2.所有的ICMP差错报告报文中的数据字段都具有同样的格式。将收到的需要进行差错报告IP数据包的首部和数据字段的前8个字节提取出来,作为ICMP报文的数据字段,再加上响应的ICMP差错报告报文的前8个字节,就构成了ICMP差错报告报文。icmp差错报告报文是数据包在传输时,在路由器报错,由路由器发回的报文,而响应报文是目标主机发回的报文不一样。

提取收到的数据报的数据字段的前8个字节是为了得到传输层的端口号(对于TCP和UDP)以及传输层报文的发送序号(对于TCP)。

 

 

Ping程序

1.概述

1>Ping程序是为了测试另一台主机是否可达。该程序发送一份ICMP回显请求报文给主机,并等待返回ICMP回显应答。

2>Ping程序还能测出到这台主机的往返时间,以表明该主机离我们有多远。

2.我们将发送回显请求的ping程序为客户,而称被ping的主机为服务器。

3.ICMP回显请求和回显应答报文格式:

 

1>Unix系统在实现ping程序时把ICMP报文中的标识符字段置成发送进程的ID号。这样即使在同一台主机上同时运行了多个ping程序实例,ping程序也可以识别出返回的信息。

2>序列号从0开始,每发送一次新的回显请求就加1。ping程序打印出返回的每个分组的序列号,允许我们查看是否有分组丢失,失序或重复。.

3>ping程序通过在ICMP报文中存放发送请求的时间值来计算往返时间。当应答返回时,用当前时间减去存放在ICMP报文中的时间值,即是往返时间。

4>当返回ICMP回显应答时,要打印出序列号和TTL,并计算往返时间。TTL位于IP首部的生存时间字段。ping程序通过在ICMP报文数据段中存放发送请求的时间值来计算往返时间。当应答返回时,用当前时间减去存放在ICMP报文中的时间值,即是往返时间。

C:\Users\DELL>ping www.baidu.com

正在 Ping www.a.shifen.com [36.152.44.96] 具有 32 字节的数据:
来自 36.152.44.96 的回复: 字节=32 时间=13ms TTL=56
来自 36.152.44.96 的回复: 字节=32 时间=13ms TTL=56
来自 36.152.44.96 的回复: 字节=32 时间=15ms TTL=56
来自 36.152.44.96 的回复: 字节=32 时间=16ms TTL=56

36.152.44.96 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 13ms,最长 = 16ms,平均 = 14ms

C:\Users\DELL>

 

Tracert和pathping程序的实现原理

ping命令并不能跟踪从原地址到目标诋毁沿途经过了哪些路由器,windows操作系统中的tracert命令是路由跟踪实用程序,用于确定IP数据包访问目标地址路径,能够帮助我们发现到达目标网络到底哪一条链路出了故障,tracert命令是ping命令的扩展,用ip报文生存时间字段和icmp差错报文来确定沿途经过的路由器。pathping是另一个路由跟踪命令,该命令不但可以跟踪数据包到目标主机所经过的路径,还可以统计计算机网络延时和丢包率,帮助我们解决网络问题,跟踪数据包路径的原理和tracert命令一样的

数据报超时报告

在数据报的传输过程中,首部的TTL值用于防止数据报因路由表的问题而无休 止地在网络中传输。当TTL值为0时,路由器会丢弃当前的数据报,并产生一个 ICMP数据报超时报告。另外在信宿进行分片重组时会启动重组定时器,一旦重组 定时器超时,信宿就会丢弃当前正在重组的数据报,然后产生一个ICMP数据报超 时报告,并向信源发送该超时报告。 

数据报超时报告的类型和代码的含义如表所示。类型值11表示是数据报超时报文,代码“0”表示TTL超时,代码“1”表示分片重组超时。

Tracert程序的设计是利用ICMP及IP header的TTL(Time To Live)字段。首先,Tracert送出一个TTL是1的IP datagram(其实,每次送出的为3个40字节的包,包括源地址,目的地址和包发出的时间标签)到目的地,当路径上的第一个路由器(router)收到这个datagram时,它将TTL减1。此时,TTL变为0了,所以该路由器会将此datagram丢掉,并送回一个「ICMP time exceeded」消息(包括发IP包的源地址,IP包的所有内容及路由器的IP地址),Tracert收到这个消息后,便知道这个路由器存在于这个路径上,接着Tracert再送出另一个TTL是2 的datagram,发现第2 个路由器...... Tracert每次将送出的datagram的TTL 加1来发现另一个路由器,这个重复的动作一直持续到某个datagram 抵达目的地。当datagram到达目的地后,该主机并不会送回ICMP time exceeded消息,因为它已是目的地了。

 

C:\Users\DELL>tracert 36.152.44.96

通过最多 30 个跃点跟踪到 36.152.44.96 的路由

  1     1 ms     1 ms     2 ms  192.168.1.1 [192.168.1.1]
  2     5 ms    11 ms     9 ms  10.168.128.1 [10.168.128.1]
  3     7 ms     4 ms     5 ms  112.17.205.121
  4     6 ms     5 ms    10 ms  221.183.64.53
  5    19 ms    36 ms    20 ms  221.183.42.129
  6    13 ms    15 ms    14 ms  221.183.59.54
  7    37 ms    93 ms    13 ms  146.23.207.183.static.js.chinamobile.com [183.207.23.146]
  8    12 ms    17 ms    11 ms  182.61.253.214
  9     *        *        *     请求超时。
 10    13 ms    12 ms    12 ms  36.152.44.96

跟踪完成。

 

C:\Users\DELL>pathping 36.152.44.96

通过最多 30 个跃点跟踪到 36.152.44.96 的路由

  0  DESKTOP-CJDEA5D [192.168.1.6]
  1  192.168.1.1 [192.168.1.1]
  2  10.168.128.1 [10.168.128.1]
  3  112.17.205.121
  4  221.183.64.53
  5  221.183.42.129
  6  221.183.59.54
  7  146.23.207.183.static.js.chinamobile.com [183.207.23.146]
  8  182.61.253.214
  9     *        *        *
正在计算统计信息,已耗时 200 秒...
            指向此处的源   此节点/链接
跃点  RTT    已丢失/已发送 = Pct  已丢失/已发送 = Pct  地址
  0                                           DESKTOP-CJDEA5D [192.168.1.6]
                                0/ 100 =  0%   |
  1    4ms     0/ 100 =  0%     0/ 100 =  0%  192.168.1.1 [192.168.1.1]
                                0/ 100 =  0%   |
  2   12ms     0/ 100 =  0%     0/ 100 =  0%  10.168.128.1 [10.168.128.1]
                                0/ 100 =  0%   |
  3    5ms     0/ 100 =  0%     0/ 100 =  0%  112.17.205.121
                                0/ 100 =  0%   |
  4    5ms     0/ 100 =  0%     0/ 100 =  0%  221.183.64.53
                                0/ 100 =  0%   |
  5   14ms     0/ 100 =  0%     0/ 100 =  0%  221.183.42.129
                              100/ 100 =100%   |
  6  ---     100/ 100 =100%     0/ 100 =  0%  221.183.59.54
                                0/ 100 =  0%   |
  7  ---     100/ 100 =100%     0/ 100 =  0%  146.23.207.183.static.js.chinamobile.com [183.207.23.146]
                                0/ 100 =  0%   |
  8  ---     100/ 100 =100%     0/ 100 =  0%  182.61.253.214

跟踪完成。

C:\Users\DELL>

 

ICMP报文抓包实例

ICMP请求报文

ICMP响应报文

ICMP差错报告报文

ICMP差错报文--TTL过期

ICMP差错报文--目标主机不可到达

ICMP为应用程序返回的差错报文

 

 

;