理論教學(xué)1.1-1基于PT分析ICMP協(xié)議講解

國家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫計算機網(wǎng)絡(luò)安全技術(shù)與實施學(xué)習(xí)情境1：實訓(xùn)任務(wù)1.1利用PacketTracer分析協(xié)議工作過程ICMP協(xié)議原理及分析課程思政內(nèi)容內(nèi)容介紹

任務(wù)場景及工具軟件介紹1任務(wù)相關(guān)技術(shù)原理介紹2任務(wù)設(shè)計、規(guī)劃3任務(wù)實施及方法技巧4任務(wù)檢查與評價5任務(wù)總結(jié)6任務(wù)場景及工具軟件介紹任務(wù)場景及工具軟件介紹任務(wù)場景及工具軟件介紹任務(wù)相關(guān)技術(shù)原理介紹卷1主要講述TCP/IP協(xié)議方面的內(nèi)容。講述了RFCS的標(biāo)準(zhǔn)協(xié)議，結(jié)合大量實例講述了TCP/IP協(xié)議，TCP/IP的知識：路由協(xié)議、尋址協(xié)議、組控制協(xié)議、簡單郵件傳輸協(xié)議等。卷1適合于網(wǎng)絡(luò)技術(shù)，而卷2-3更側(cè)重于編程。任務(wù)相關(guān)技術(shù)原理介紹網(wǎng)絡(luò)層次結(jié)構(gòu)與數(shù)據(jù)封裝解封裝任務(wù)相關(guān)技術(shù)原理介紹ICMP協(xié)議原理1.基本概念I(lǐng)nternetControlMessageProtocol：網(wǎng)際控制報文協(xié)議IP提供的盡力數(shù)據(jù)報通信服務(wù)無連接服務(wù)，而并不能解決網(wǎng)絡(luò)低層的數(shù)據(jù)報丟失、重復(fù)、延遲或亂序等問題，TCP在IP基礎(chǔ)建立有連接服務(wù)解決以上問題，不能解決網(wǎng)絡(luò)故障或其它網(wǎng)絡(luò)原因無法傳輸數(shù)據(jù)包的問題。所以，ICMP設(shè)計的本意就是希望對IP包無法傳輸時提供差錯報告，這些差錯報告幫助了發(fā)送方了解為什么無法傳遞，網(wǎng)絡(luò)發(fā)生了什么問題，確定應(yīng)用程序后續(xù)操作。任務(wù)相關(guān)技術(shù)原理介紹2.協(xié)議特征ICMP就像一個更高層的協(xié)議那樣使用IP（即，ICMP消息被封裝在IP數(shù)據(jù)報中）。然而，ICMP是IP的一個組成部分，并且所有IP模塊都必須實現(xiàn)它。ICMP用來報告錯誤，是一個差錯報告機制。它為遇到差錯的路由器提供了向最初源站報告差錯的辦法，源站必須把差錯交給一個應(yīng)用程序或采取其它措施來糾正問題。ICMP不能用來報告ICMP消息的錯誤，這樣就避免了無限循環(huán)。當(dāng)ICMP查詢消息時通過發(fā)送ICMP來響應(yīng)。對于被分段的數(shù)據(jù)報，ICMP消息只發(fā)送關(guān)于第一個分段中的錯誤。也就是說，ICMP消息永遠(yuǎn)不會引用一個具有非0片偏移量字段的IP數(shù)據(jù)報。響應(yīng)具有一個廣播或組播目的地址的數(shù)據(jù)報時，永遠(yuǎn)不會發(fā)送ICMP消息響應(yīng)一個沒有源主機IP地址的數(shù)據(jù)報時永遠(yuǎn)不會發(fā)送ICMP消息。也就是說，源地址不能為0，一個回送地址，一個廣播地址或者一個組播地址。任務(wù)相關(guān)技術(shù)原理介紹2.協(xié)議特征通過ICMP可以知道故障的具體原因和位置。由于IP不是為可靠傳輸服務(wù)設(shè)計的，ICMP的目的主要是用于在TCP/IP網(wǎng)絡(luò)中發(fā)送出錯和控制消息。ICMP的錯誤報告只能通知出錯數(shù)據(jù)包的源主機，而無法通知從源主機到出錯路由器途中的所有路由器(環(huán)路時)。ICMP數(shù)據(jù)包是封裝在IP數(shù)據(jù)包中的。ICMP報文的種類有三大類種，即ICMP差錯報告報文、控制報文、請求/應(yīng)答報文。任務(wù)相關(guān)技術(shù)原理介紹3.協(xié)議封裝每個ICMP報文放在IP數(shù)據(jù)報的數(shù)據(jù)部分中通過互聯(lián)網(wǎng)傳遞，而IP數(shù)據(jù)報本身放在二層幀的數(shù)據(jù)部分中通過物理網(wǎng)絡(luò)傳遞。ICMP首部ICMP數(shù)據(jù)IP數(shù)據(jù)報首部IP數(shù)據(jù)報數(shù)據(jù)區(qū)二層幀首部二層幀數(shù)據(jù)區(qū)任務(wù)相關(guān)技術(shù)原理介紹4.協(xié)議報文格式

ICMP定義了五種常用差錯報文和六種詢問報文類型，以及用代碼表達(dá)某類型下面不同情況的細(xì)分。類型代號校驗和ICMP數(shù)據(jù)（取決于消息類型）………………用來標(biāo)識報文，有15個不同的值提供有關(guān)報文類型的進一步信息覆蓋整個ICMP報文任務(wù)相關(guān)技術(shù)原理介紹4.協(xié)議報文格式類型代碼名稱00回應(yīng)應(yīng)答3

目的地不可達(dá)

0網(wǎng)路不可達(dá)

1主機不可達(dá)

2協(xié)議不可達(dá)

3端口不可達(dá)

4需要分片和不需要分片標(biāo)記置位

5源路由失敗

6目的網(wǎng)絡(luò)未知

7目的主機未知

8源主機被隔離

9與目的網(wǎng)絡(luò)的通告被禁止

10目的主機的通信被禁止

11對請求的服務(wù)類型，目的網(wǎng)路不可達(dá)

12對請求的服務(wù)類型，目的主機不可達(dá)40源抑制（SourceQuench）5

重定向

0為網(wǎng)絡(luò)（子網(wǎng)）重定向數(shù)據(jù)報

1為主機重定向數(shù)據(jù)報

2為網(wǎng)絡(luò)和服務(wù)類型重定向數(shù)據(jù)報

3為主機和服務(wù)類型重定向數(shù)據(jù)報60選擇主機地址80回應(yīng)(請求)90路由器通告100路由器選擇11

超時

0傳輸中超出TTL

1超出分片重組時間12

參數(shù)問題

0指定錯誤的指針

1缺少需要的選項

2錯誤長度130時間戳140時間戳回復(fù)150信息請求（廢棄）160信息回復(fù)（廢棄）170地址掩碼請求180地址掩碼回復(fù)30

跟蹤路由31

數(shù)據(jù)報會話錯誤32

移動主機重定向33

IPv6你在哪里34

IPv6我在這里35

移動注冊請求36

移動注冊回復(fù)任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯報文所有ICMP差錯報告報文中的數(shù)據(jù)字段都具有同樣的格式。將收到的需要進行差錯報告的IP數(shù)據(jù)報的首部和數(shù)據(jù)字段的前8個字節(jié)提取出來，作為ICMP報告的數(shù)據(jù)字段。再加上相應(yīng)的ICMP差錯報告報文的前8個字節(jié)，就構(gòu)成了ICMP差錯報告報文。提取收到的數(shù)據(jù)報的數(shù)據(jù)字段的前8個字節(jié)是為了得到傳輸層的端口號（對于TCP和UDP）以及傳輸層報文的發(fā)送序號（對于TCP）類型（1字節(jié)）

代碼（1字節(jié)）

校驗和（2字節(jié)）路由器互聯(lián)網(wǎng)地址IP數(shù)據(jù)報首部+數(shù)據(jù)的前64比特…………….任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯報文IP數(shù)據(jù)報首部8字節(jié)IP數(shù)據(jù)報首部8字節(jié)首部ICMP差錯報告報文收到的IP數(shù)據(jù)報ICMP差錯報告報文裝入ICMP報文的IP數(shù)據(jù)報ICMP的前8個字節(jié)重定向Redirect（5）當(dāng)一個源主機創(chuàng)建的數(shù)據(jù)報發(fā)至某路由器，該路由器發(fā)現(xiàn)數(shù)據(jù)報應(yīng)該選擇其他路由，則向源主機發(fā)送改變路由報文。改變路由的報文能指出網(wǎng)絡(luò)或特定主機的變化，一般發(fā)生在一個網(wǎng)絡(luò)連接多路由器的情況下。任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯報文重定向Redirect（5）：改變路由的報文當(dāng)一個源主機創(chuàng)建的數(shù)據(jù)報發(fā)至某路由器，該路由器發(fā)現(xiàn)數(shù)據(jù)報應(yīng)該選擇其他路由，則向源主機發(fā)送改變路由報文。改變路由的報文能指出網(wǎng)絡(luò)或特定主機的變化，一般發(fā)生在一個網(wǎng)絡(luò)連接多路由器的情況下。在因特網(wǎng)中各路由器之間要經(jīng)常交換路由信息，以便動態(tài)更新各自的路由表。但在因特網(wǎng)中主機的數(shù)量遠(yuǎn)大于路由器的數(shù)量。主機如果也像路由器那樣經(jīng)常交換路由信息，就會產(chǎn)生很大的附加通信量，因而大大浪費了網(wǎng)絡(luò)資源。所以，出于效率的考慮，連接在網(wǎng)絡(luò)上的主機的路由表一般都采用人工配置，并且主機不和連接在網(wǎng)絡(luò)上的路由器定期交換路由信息。在主機剛開始工作時，一般都在路由表中設(shè)置了一個默認(rèn)路由器的IP地址。不管數(shù)據(jù)報要發(fā)送到哪個目的地址，都一律先將數(shù)據(jù)報傳送給網(wǎng)絡(luò)上的這個默認(rèn)路由器，而這個默認(rèn)路由器知道到每一個目的網(wǎng)絡(luò)的最佳路由。如果默認(rèn)路由器發(fā)現(xiàn)主機發(fā)往某個目的地址的數(shù)據(jù)報的最佳路由不應(yīng)當(dāng)經(jīng)過默認(rèn)路由器，而是應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)上的另一個路由器R時，就用改變路由報文將此情況報告主機。于是，該主機就在其路由表中增加一項：到某某目的地址應(yīng)經(jīng)過路由器R（而不是默認(rèn)路由器）。任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯報文目的站不可達(dá)DestinationUnreachable（3）當(dāng)路由器檢測到數(shù)據(jù)報無法傳遞到目的地時，向創(chuàng)建數(shù)據(jù)報的源主機發(fā)出目的地不可達(dá)報文。這報文區(qū)分：網(wǎng)絡(luò)不通（如路由器故障），目的主機連不通，協(xié)議不可達(dá)、端口不可達(dá)等共15種不同的情況，用不同代碼表示。源站抑制SourceQuench（4）當(dāng)路由器收到太多的數(shù)據(jù)報以致內(nèi)存不夠時，在丟棄所收數(shù)據(jù)報的同時，向創(chuàng)建數(shù)據(jù)報的源主機發(fā)送源抑制報文。源主機收到源抑制報文后，需要降低發(fā)送數(shù)據(jù)報的速率。任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯報文超時TimeExceeded（11）有兩種情況需要發(fā)送超時報文。一種是路由器把數(shù)據(jù)報的生存時間減至零時，路由器丟棄數(shù)據(jù)報，并向源主機發(fā)送超時報文；另一種是一個數(shù)據(jù)報的所有段到達(dá)前，重組計時到點，接收主機也會向源主機發(fā)送超時報文。參數(shù)問題ParameterProblem數(shù)據(jù)報頭部的標(biāo)志出現(xiàn)差錯，或缺少必須的選項任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯報文請求/應(yīng)答EchoRequest/Reply可以對任何一臺網(wǎng)上主機的ICMP軟件發(fā)請求/應(yīng)答報文。這種詢問報文用來測試目的站是否可達(dá)以及了解其有關(guān)狀態(tài)。Ping服務(wù)就是采用這個報文來獲得兩個主機之間的連通性。地址掩碼請求/應(yīng)答AddressMaskRequest/Reply主機啟動時，會廣播一個地址掩碼請求報文。路由器收到地址掩碼請求報文后，回送一個包含本網(wǎng)使用的32位地址掩碼的應(yīng)答報文。用于無盤系統(tǒng)在引導(dǎo)過程中獲取自己的子網(wǎng)掩碼。時間戳請求/應(yīng)答TimestampRequest/Reply主機發(fā)出查詢當(dāng)前時間的請求，應(yīng)答報文建議值是自午夜開始計算的毫秒數(shù)，UTCCoodinatedUniversaltime，協(xié)調(diào)統(tǒng)一時間）?？捎脕磉M行時鐘同步和測量時間。其它還有DNS請求/應(yīng)答，以及最新IPv6、安全、移動定位等類型定義任務(wù)相關(guān)技術(shù)原理介紹6.三種ICMP協(xié)議常見應(yīng)用：Ping、Traceroute、MTU測試Ping：使用ICMP回送和應(yīng)答消息來確定一臺主機是否可達(dá)。Ping是應(yīng)用層直接使用網(wǎng)絡(luò)層ICMP的一個例子。發(fā)送數(shù)據(jù)Z我不知道怎樣訪問Z廣域網(wǎng)到Z目的端不可達(dá)A任務(wù)相關(guān)技術(shù)原理介紹6.協(xié)議常見應(yīng)用：TracerouteTraceroute：該程序用來確定通過網(wǎng)絡(luò)的路由IP數(shù)據(jù)報。Traceroute基于ICMP和UDP。它把一個TTL為1的IP數(shù)據(jù)報發(fā)送給目的主機。第一個路由器把TTL減小到0，丟棄該數(shù)據(jù)報并把ICMP超時消息返回給源主機。這樣，路徑上的第一個路由器就被標(biāo)識了。隨后用不斷增大的TTL值重復(fù)這個過程，標(biāo)識出通往目的主機的路徑上確切的路由器系列.

繼續(xù)這個過程直至該數(shù)據(jù)報到達(dá)目的主機。但是目的主機哪怕接收到TTL為1的IP數(shù)據(jù)報，也不會丟棄該數(shù)據(jù)并產(chǎn)生一份超時ICMP報文，這是因為數(shù)據(jù)報已經(jīng)到達(dá)其最終目的地。任務(wù)相關(guān)技術(shù)原理介紹6.協(xié)議常見應(yīng)用：TracerouteTraceroute實現(xiàn)有兩種方法一種：發(fā)送一個ICMP回應(yīng)請求報文；目的主機將會產(chǎn)生一個ICMP回應(yīng)答復(fù)報文。Microsoft實現(xiàn)（tracert）中采用該方法。當(dāng)回應(yīng)請求到達(dá)目的主機時，ICMP就產(chǎn)生一個答復(fù)報文，它的源地址等于收到的請求報文中的目的IP地址。另一種：發(fā)生一個數(shù)據(jù)報給一個不存在的應(yīng)用進程；目的主機將會產(chǎn)生一個ICMP目的不可達(dá)報文。大多數(shù)UNIX版本的traceroute程序采用該方法。Traceroute程序發(fā)送一份UDP數(shù)據(jù)報給目的主機，但它選擇一個不可能的值作為UDP端口號（大于30000），使目的主機的任何一個應(yīng)用程序都不可能使用該端口。因為，當(dāng)該數(shù)據(jù)報到達(dá)時，將使目的主機的UDP模塊產(chǎn)生一份“端口不可達(dá)”錯誤的ICMP報文。這樣，Traceroute程序所要做的就是區(qū)分接收到的ICMP報文是超時還是端口不可達(dá)，以判斷什么時候結(jié)束。任務(wù)相關(guān)技術(shù)原理介紹6.協(xié)議常見應(yīng)用：用ICMP發(fā)現(xiàn)路徑MTUMTU測試：MaxTransmissionUnit是網(wǎng)絡(luò)最大傳輸單元（包長度），IP路由器必須對超過MTU的IP報進行分片，目的主機再完成重組處理，所以確定源到目的路徑MTU對提高傳輸效率是非常必要的。確定路徑MTU的方法是“要求報告分片但又不被允許”的ICMP報文。將IP數(shù)據(jù)報的標(biāo)志域中的分片BIT位置1，不允許分片。當(dāng)路由器發(fā)現(xiàn)IP數(shù)據(jù)報長度大于MTU時，丟棄數(shù)據(jù)報，并發(fā)回一個要求分片的ICMP報。將IP數(shù)據(jù)報長度減小，分片BIT位置1重發(fā)，接收返回的ICMP報的分析。發(fā)送一系列的長度遞減的、不允許分片的數(shù)據(jù)報，通過接收返回的ICMP報的分析，可確定路徑MTU。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析PingofDeath黑客利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機發(fā)起“PingofDeath”(死亡之Ping)攻擊?！癙ingofDeath”攻擊的原理是：如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時，主機就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰,致使主機死機。ICMP攻擊導(dǎo)致拒絕服務(wù)(DoS)攻擊向目標(biāo)主機長時間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。它的工作原理是利用發(fā)出ICMP類型8的echo-request給目的主機，對方收到后會發(fā)出中斷請求給操作系統(tǒng)，請系統(tǒng)回送一個類型0的echo-reply。大量的ICMP數(shù)據(jù)包會形成“ICMP風(fēng)暴”或稱為“ICMP洪流”，使得目標(biāo)主機耗費大量的CPU資源處理，疲于奔命。這種攻擊被稱為拒絕服務(wù)（DoS）攻擊，它有多種多樣具體的實現(xiàn)方式。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析針對寬帶的DOS的攻擊主要是利用無用的數(shù)據(jù)來耗盡網(wǎng)絡(luò)帶寬。通過高速發(fā)送大量的ICMPecho-reply數(shù)據(jù)包，目標(biāo)網(wǎng)絡(luò)的帶寬瞬間就會被耗盡，組織合法的數(shù)據(jù)通過網(wǎng)絡(luò)。ICMPecho-reply數(shù)據(jù)包具有較高的優(yōu)先級，在一般情況下，網(wǎng)絡(luò)總是允許內(nèi)部主機使用Ping命令。針對連接的DOS攻擊針對連接的DOS攻擊，可以終止現(xiàn)有的網(wǎng)絡(luò)連接。它使用合法的ICMP消息影響所有的IP設(shè)備。Nuke通過發(fā)送一個偽造的ICMPDestinationUnreachable或Redirect消息來終止合法的網(wǎng)絡(luò)連接。更具惡意的攻擊如puke和smack，會給某一個范圍內(nèi)的端口發(fā)送大量的數(shù)據(jù)包，毀掉大量的網(wǎng)絡(luò)連接，同時還會消耗受害主機CPU的時鐘周期。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析Smurf攻擊首先，攻擊者會先假冒目的主機(受害者)之名向路由器發(fā)出廣播的ICMPecho-request數(shù)據(jù)包。因為目的地是廣播地址，路由器在收到之后會對該網(wǎng)段內(nèi)的所有計算機發(fā)出此ICMP數(shù)據(jù)包，而所有的計算機在接收到此信息后，會對源主機(亦即被假冒的攻擊目標(biāo))送出ICMPecho-reply響應(yīng)。如此一來，所有的

ICMP數(shù)據(jù)包在極短的時間內(nèi)涌入目標(biāo)主機內(nèi)，這不但造成網(wǎng)絡(luò)擁塞，更會使目標(biāo)主機因為無法反應(yīng)如此多的系統(tǒng)中斷而導(dǎo)致暫停服務(wù)。除此之外，如果一連串的ICMP廣播數(shù)據(jù)包洪流(packetflood)被送進目標(biāo)網(wǎng)內(nèi)的話，將會造成網(wǎng)絡(luò)長時間的極度擁塞，使該網(wǎng)段上的計算機(包括路由器)都成為攻擊的受害者。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析基于重定向（redirect）的路由欺騙技術(shù)攻擊者可利用ICMP重定向報文破壞路由，并以此增強其竊聽能力。除了路由器，主機必須服從ICMP重定向。如果一臺機器想網(wǎng)絡(luò)中的另一臺機器發(fā)送了一個ICMP重定向消息，這就可能引起其他機器具有一張無效的路由表。如果一臺機器偽裝成路由器截獲所有到某些目標(biāo)網(wǎng)絡(luò)或全部目標(biāo)網(wǎng)絡(luò)的IP數(shù)據(jù)包，這樣就形成了攻擊和竊聽。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析ICMP攻擊防范措施雖然ICMP協(xié)議給黑客以可乘之機，但是ICMP攻擊也并非防不勝防的。只要在網(wǎng)絡(luò)管理中提前做好準(zhǔn)備，就可以有效地避免遭受ICMP的攻擊。

對于利用ICMP產(chǎn)生的拒絕服務(wù)攻擊可以采取下面的方法：一、在路由器或主機端拒絕所有的ICMP包(對于Smuff攻擊：可在路由器禁止IP廣播)；二、在該網(wǎng)段路由器對ICMP包進行帶寬限制(或限制ICMP包的數(shù)量)，控制其在一定的范圍內(nèi)。

避免ICMP重定向欺騙的最簡單方法是將主機配置成不處理ICMP重定向消息，另一種方法是路由器之間一定要經(jīng)過安全認(rèn)證。例如，檢查ICMP重定向消息是否來自當(dāng)前正在使用的路由器，要檢查重定向消息發(fā)送者的IP地址并校驗該IP地址與ARP高速緩存中保留的硬件地址是否匹配。ICMP重定向消息應(yīng)包含轉(zhuǎn)發(fā)IP數(shù)據(jù)報的報頭信息，報頭雖然可用于檢驗其有效性，但也有可能被窺探并加以偽造。無論如何，這種檢查可增加對重定向消息有效性的信心，并且由于無須查閱路由表及ARP高速緩存，所以執(zhí)行起來比其他檢查容易一些。