國(guó)家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施學(xué)習(xí)情境1：實(shí)訓(xùn)任務(wù)1.1利用PacketTracer分析協(xié)議工作過(guò)程ICMP協(xié)議原理及分析課程思政內(nèi)容內(nèi)容介紹

任務(wù)場(chǎng)景及工具軟件介紹1任務(wù)相關(guān)技術(shù)原理介紹2任務(wù)設(shè)計(jì)、規(guī)劃3任務(wù)實(shí)施及方法技巧4任務(wù)檢查與評(píng)價(jià)5任務(wù)總結(jié)6任務(wù)場(chǎng)景及工具軟件介紹任務(wù)場(chǎng)景及工具軟件介紹任務(wù)場(chǎng)景及工具軟件介紹任務(wù)相關(guān)技術(shù)原理介紹卷1主要講述TCP/IP協(xié)議方面的內(nèi)容。講述了RFCS的標(biāo)準(zhǔn)協(xié)議，結(jié)合大量實(shí)例講述了TCP/IP協(xié)議，TCP/IP的知識(shí)：路由協(xié)議、尋址協(xié)議、組控制協(xié)議、簡(jiǎn)單郵件傳輸協(xié)議等。卷1適合于網(wǎng)絡(luò)技術(shù)，而卷2-3更側(cè)重于編程。任務(wù)相關(guān)技術(shù)原理介紹網(wǎng)絡(luò)層次結(jié)構(gòu)與數(shù)據(jù)封裝解封裝任務(wù)相關(guān)技術(shù)原理介紹ICMP協(xié)議原理1.基本概念I(lǐng)nternetControlMessageProtocol：網(wǎng)際控制報(bào)文協(xié)議IP提供的盡力數(shù)據(jù)報(bào)通信服務(wù)無(wú)連接服務(wù)，而并不能解決網(wǎng)絡(luò)低層的數(shù)據(jù)報(bào)丟失、重復(fù)、延遲或亂序等問(wèn)題，TCP在IP基礎(chǔ)建立有連接服務(wù)解決以上問(wèn)題，不能解決網(wǎng)絡(luò)故障或其它網(wǎng)絡(luò)原因無(wú)法傳輸數(shù)據(jù)包的問(wèn)題。所以，ICMP設(shè)計(jì)的本意就是希望對(duì)IP包無(wú)法傳輸時(shí)提供差錯(cuò)報(bào)告，這些差錯(cuò)報(bào)告幫助了發(fā)送方了解為什么無(wú)法傳遞，網(wǎng)絡(luò)發(fā)生了什么問(wèn)題，確定應(yīng)用程序后續(xù)操作。任務(wù)相關(guān)技術(shù)原理介紹2.協(xié)議特征ICMP就像一個(gè)更高層的協(xié)議那樣使用IP（即，ICMP消息被封裝在IP數(shù)據(jù)報(bào)中）。然而，ICMP是IP的一個(gè)組成部分，并且所有IP模塊都必須實(shí)現(xiàn)它。ICMP用來(lái)報(bào)告錯(cuò)誤，是一個(gè)差錯(cuò)報(bào)告機(jī)制。它為遇到差錯(cuò)的路由器提供了向最初源站報(bào)告差錯(cuò)的辦法，源站必須把差錯(cuò)交給一個(gè)應(yīng)用程序或采取其它措施來(lái)糾正問(wèn)題。ICMP不能用來(lái)報(bào)告ICMP消息的錯(cuò)誤，這樣就避免了無(wú)限循環(huán)。當(dāng)ICMP查詢消息時(shí)通過(guò)發(fā)送ICMP來(lái)響應(yīng)。對(duì)于被分段的數(shù)據(jù)報(bào)，ICMP消息只發(fā)送關(guān)于第一個(gè)分段中的錯(cuò)誤。也就是說(shuō)，ICMP消息永遠(yuǎn)不會(huì)引用一個(gè)具有非0片偏移量字段的IP數(shù)據(jù)報(bào)。響應(yīng)具有一個(gè)廣播或組播目的地址的數(shù)據(jù)報(bào)時(shí)，永遠(yuǎn)不會(huì)發(fā)送ICMP消息響應(yīng)一個(gè)沒(méi)有源主機(jī)IP地址的數(shù)據(jù)報(bào)時(shí)永遠(yuǎn)不會(huì)發(fā)送ICMP消息。也就是說(shuō)，源地址不能為0，一個(gè)回送地址，一個(gè)廣播地址或者一個(gè)組播地址。任務(wù)相關(guān)技術(shù)原理介紹2.協(xié)議特征通過(guò)ICMP可以知道故障的具體原因和位置。由于IP不是為可靠傳輸服務(wù)設(shè)計(jì)的，ICMP的目的主要是用于在TCP/IP網(wǎng)絡(luò)中發(fā)送出錯(cuò)和控制消息。ICMP的錯(cuò)誤報(bào)告只能通知出錯(cuò)數(shù)據(jù)包的源主機(jī)，而無(wú)法通知從源主機(jī)到出錯(cuò)路由器途中的所有路由器(環(huán)路時(shí))。ICMP數(shù)據(jù)包是封裝在IP數(shù)據(jù)包中的。ICMP報(bào)文的種類(lèi)有三大類(lèi)種，即ICMP差錯(cuò)報(bào)告報(bào)文、控制報(bào)文、請(qǐng)求/應(yīng)答報(bào)文。任務(wù)相關(guān)技術(shù)原理介紹3.協(xié)議封裝每個(gè)ICMP報(bào)文放在IP數(shù)據(jù)報(bào)的數(shù)據(jù)部分中通過(guò)互聯(lián)網(wǎng)傳遞，而IP數(shù)據(jù)報(bào)本身放在二層幀的數(shù)據(jù)部分中通過(guò)物理網(wǎng)絡(luò)傳遞。ICMP首部ICMP數(shù)據(jù)IP數(shù)據(jù)報(bào)首部IP數(shù)據(jù)報(bào)數(shù)據(jù)區(qū)二層幀首部二層幀數(shù)據(jù)區(qū)任務(wù)相關(guān)技術(shù)原理介紹4.協(xié)議報(bào)文格式

ICMP定義了五種常用差錯(cuò)報(bào)文和六種詢問(wèn)報(bào)文類(lèi)型，以及用代碼表達(dá)某類(lèi)型下面不同情況的細(xì)分。類(lèi)型代號(hào)校驗(yàn)和ICMP數(shù)據(jù)（取決于消息類(lèi)型）………………用來(lái)標(biāo)識(shí)報(bào)文，有15個(gè)不同的值提供有關(guān)報(bào)文類(lèi)型的進(jìn)一步信息覆蓋整個(gè)ICMP報(bào)文任務(wù)相關(guān)技術(shù)原理介紹4.協(xié)議報(bào)文格式類(lèi)型代碼名稱00回應(yīng)應(yīng)答3

目的地不可達(dá)

0網(wǎng)路不可達(dá)

1主機(jī)不可達(dá)

2協(xié)議不可達(dá)

3端口不可達(dá)

4需要分片和不需要分片標(biāo)記置位

5源路由失敗

6目的網(wǎng)絡(luò)未知

7目的主機(jī)未知

8源主機(jī)被隔離

9與目的網(wǎng)絡(luò)的通告被禁止

10目的主機(jī)的通信被禁止

11對(duì)請(qǐng)求的服務(wù)類(lèi)型，目的網(wǎng)路不可達(dá)

12對(duì)請(qǐng)求的服務(wù)類(lèi)型，目的主機(jī)不可達(dá)40源抑制（SourceQuench）5

重定向

0為網(wǎng)絡(luò)（子網(wǎng)）重定向數(shù)據(jù)報(bào)

1為主機(jī)重定向數(shù)據(jù)報(bào)

2為網(wǎng)絡(luò)和服務(wù)類(lèi)型重定向數(shù)據(jù)報(bào)

3為主機(jī)和服務(wù)類(lèi)型重定向數(shù)據(jù)報(bào)60選擇主機(jī)地址80回應(yīng)(請(qǐng)求)90路由器通告100路由器選擇11

超時(shí)

0傳輸中超出TTL

1超出分片重組時(shí)間12

參數(shù)問(wèn)題

0指定錯(cuò)誤的指針

1缺少需要的選項(xiàng)

2錯(cuò)誤長(zhǎng)度130時(shí)間戳140時(shí)間戳回復(fù)150信息請(qǐng)求（廢棄）160信息回復(fù)（廢棄）170地址掩碼請(qǐng)求180地址掩碼回復(fù)30

跟蹤路由31

數(shù)據(jù)報(bào)會(huì)話錯(cuò)誤32

移動(dòng)主機(jī)重定向33

IPv6你在哪里34

IPv6我在這里35

移動(dòng)注冊(cè)請(qǐng)求36

移動(dòng)注冊(cè)回復(fù)任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯(cuò)報(bào)文所有ICMP差錯(cuò)報(bào)告報(bào)文中的數(shù)據(jù)字段都具有同樣的格式。將收到的需要進(jìn)行差錯(cuò)報(bào)告的IP數(shù)據(jù)報(bào)的首部和數(shù)據(jù)字段的前8個(gè)字節(jié)提取出來(lái)，作為ICMP報(bào)告的數(shù)據(jù)字段。再加上相應(yīng)的ICMP差錯(cuò)報(bào)告報(bào)文的前8個(gè)字節(jié)，就構(gòu)成了ICMP差錯(cuò)報(bào)告報(bào)文。提取收到的數(shù)據(jù)報(bào)的數(shù)據(jù)字段的前8個(gè)字節(jié)是為了得到傳輸層的端口號(hào)（對(duì)于TCP和UDP）以及傳輸層報(bào)文的發(fā)送序號(hào)（對(duì)于TCP）類(lèi)型（1字節(jié)）

代碼（1字節(jié)）

校驗(yàn)和（2字節(jié)）路由器互聯(lián)網(wǎng)地址IP數(shù)據(jù)報(bào)首部+數(shù)據(jù)的前64比特…………….任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯(cuò)報(bào)文IP數(shù)據(jù)報(bào)首部8字節(jié)IP數(shù)據(jù)報(bào)首部8字節(jié)首部ICMP差錯(cuò)報(bào)告報(bào)文收到的IP數(shù)據(jù)報(bào)ICMP差錯(cuò)報(bào)告報(bào)文裝入ICMP報(bào)文的IP數(shù)據(jù)報(bào)ICMP的前8個(gè)字節(jié)重定向Redirect（5）當(dāng)一個(gè)源主機(jī)創(chuàng)建的數(shù)據(jù)報(bào)發(fā)至某路由器，該路由器發(fā)現(xiàn)數(shù)據(jù)報(bào)應(yīng)該選擇其他路由，則向源主機(jī)發(fā)送改變路由報(bào)文。改變路由的報(bào)文能指出網(wǎng)絡(luò)或特定主機(jī)的變化，一般發(fā)生在一個(gè)網(wǎng)絡(luò)連接多路由器的情況下。任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯(cuò)報(bào)文重定向Redirect（5）：改變路由的報(bào)文當(dāng)一個(gè)源主機(jī)創(chuàng)建的數(shù)據(jù)報(bào)發(fā)至某路由器，該路由器發(fā)現(xiàn)數(shù)據(jù)報(bào)應(yīng)該選擇其他路由，則向源主機(jī)發(fā)送改變路由報(bào)文。改變路由的報(bào)文能指出網(wǎng)絡(luò)或特定主機(jī)的變化，一般發(fā)生在一個(gè)網(wǎng)絡(luò)連接多路由器的情況下。在因特網(wǎng)中各路由器之間要經(jīng)常交換路由信息，以便動(dòng)態(tài)更新各自的路由表。但在因特網(wǎng)中主機(jī)的數(shù)量遠(yuǎn)大于路由器的數(shù)量。主機(jī)如果也像路由器那樣經(jīng)常交換路由信息，就會(huì)產(chǎn)生很大的附加通信量，因而大大浪費(fèi)了網(wǎng)絡(luò)資源。所以，出于效率的考慮，連接在網(wǎng)絡(luò)上的主機(jī)的路由表一般都采用人工配置，并且主機(jī)不和連接在網(wǎng)絡(luò)上的路由器定期交換路由信息。在主機(jī)剛開(kāi)始工作時(shí)，一般都在路由表中設(shè)置了一個(gè)默認(rèn)路由器的IP地址。不管數(shù)據(jù)報(bào)要發(fā)送到哪個(gè)目的地址，都一律先將數(shù)據(jù)報(bào)傳送給網(wǎng)絡(luò)上的這個(gè)默認(rèn)路由器，而這個(gè)默認(rèn)路由器知道到每一個(gè)目的網(wǎng)絡(luò)的最佳路由。如果默認(rèn)路由器發(fā)現(xiàn)主機(jī)發(fā)往某個(gè)目的地址的數(shù)據(jù)報(bào)的最佳路由不應(yīng)當(dāng)經(jīng)過(guò)默認(rèn)路由器，而是應(yīng)當(dāng)經(jīng)過(guò)網(wǎng)絡(luò)上的另一個(gè)路由器R時(shí)，就用改變路由報(bào)文將此情況報(bào)告主機(jī)。于是，該主機(jī)就在其路由表中增加一項(xiàng)：到某某目的地址應(yīng)經(jīng)過(guò)路由器R（而不是默認(rèn)路由器）。任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯(cuò)報(bào)文目的站不可達(dá)DestinationUnreachable（3）當(dāng)路由器檢測(cè)到數(shù)據(jù)報(bào)無(wú)法傳遞到目的地時(shí)，向創(chuàng)建數(shù)據(jù)報(bào)的源主機(jī)發(fā)出目的地不可達(dá)報(bào)文。這報(bào)文區(qū)分：網(wǎng)絡(luò)不通（如路由器故障），目的主機(jī)連不通，協(xié)議不可達(dá)、端口不可達(dá)等共15種不同的情況，用不同代碼表示。源站抑制SourceQuench（4）當(dāng)路由器收到太多的數(shù)據(jù)報(bào)以致內(nèi)存不夠時(shí)，在丟棄所收數(shù)據(jù)報(bào)的同時(shí)，向創(chuàng)建數(shù)據(jù)報(bào)的源主機(jī)發(fā)送源抑制報(bào)文。源主機(jī)收到源抑制報(bào)文后，需要降低發(fā)送數(shù)據(jù)報(bào)的速率。任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯(cuò)報(bào)文超時(shí)TimeExceeded（11）有兩種情況需要發(fā)送超時(shí)報(bào)文。一種是路由器把數(shù)據(jù)報(bào)的生存時(shí)間減至零時(shí)，路由器丟棄數(shù)據(jù)報(bào)，并向源主機(jī)發(fā)送超時(shí)報(bào)文；另一種是一個(gè)數(shù)據(jù)報(bào)的所有段到達(dá)前，重組計(jì)時(shí)到點(diǎn)，接收主機(jī)也會(huì)向源主機(jī)發(fā)送超時(shí)報(bào)文。參數(shù)問(wèn)題ParameterProblem數(shù)據(jù)報(bào)頭部的標(biāo)志出現(xiàn)差錯(cuò)，或缺少必須的選項(xiàng)任務(wù)相關(guān)技術(shù)原理介紹5.協(xié)議主要差錯(cuò)報(bào)文請(qǐng)求/應(yīng)答EchoRequest/Reply可以對(duì)任何一臺(tái)網(wǎng)上主機(jī)的ICMP軟件發(fā)請(qǐng)求/應(yīng)答報(bào)文。這種詢問(wèn)報(bào)文用來(lái)測(cè)試目的站是否可達(dá)以及了解其有關(guān)狀態(tài)。Ping服務(wù)就是采用這個(gè)報(bào)文來(lái)獲得兩個(gè)主機(jī)之間的連通性。地址掩碼請(qǐng)求/應(yīng)答AddressMaskRequest/Reply主機(jī)啟動(dòng)時(shí)，會(huì)廣播一個(gè)地址掩碼請(qǐng)求報(bào)文。路由器收到地址掩碼請(qǐng)求報(bào)文后，回送一個(gè)包含本網(wǎng)使用的32位地址掩碼的應(yīng)答報(bào)文。用于無(wú)盤(pán)系統(tǒng)在引導(dǎo)過(guò)程中獲取自己的子網(wǎng)掩碼。時(shí)間戳請(qǐng)求/應(yīng)答TimestampRequest/Reply主機(jī)發(fā)出查詢當(dāng)前時(shí)間的請(qǐng)求，應(yīng)答報(bào)文建議值是自午夜開(kāi)始計(jì)算的毫秒數(shù)，UTCCoodinatedUniversaltime，協(xié)調(diào)統(tǒng)一時(shí)間）?？捎脕?lái)進(jìn)行時(shí)鐘同步和測(cè)量時(shí)間。其它還有DNS請(qǐng)求/應(yīng)答，以及最新IPv6、安全、移動(dòng)定位等類(lèi)型定義任務(wù)相關(guān)技術(shù)原理介紹6.三種ICMP協(xié)議常見(jiàn)應(yīng)用：Ping、Traceroute、MTU測(cè)試Ping：使用ICMP回送和應(yīng)答消息來(lái)確定一臺(tái)主機(jī)是否可達(dá)。Ping是應(yīng)用層直接使用網(wǎng)絡(luò)層ICMP的一個(gè)例子。發(fā)送數(shù)據(jù)Z我不知道怎樣訪問(wèn)Z廣域網(wǎng)到Z目的端不可達(dá)A任務(wù)相關(guān)技術(shù)原理介紹6.協(xié)議常見(jiàn)應(yīng)用：TracerouteTraceroute：該程序用來(lái)確定通過(guò)網(wǎng)絡(luò)的路由IP數(shù)據(jù)報(bào)。Traceroute基于ICMP和UDP。它把一個(gè)TTL為1的IP數(shù)據(jù)報(bào)發(fā)送給目的主機(jī)。第一個(gè)路由器把TTL減小到0，丟棄該數(shù)據(jù)報(bào)并把ICMP超時(shí)消息返回給源主機(jī)。這樣，路徑上的第一個(gè)路由器就被標(biāo)識(shí)了。隨后用不斷增大的TTL值重復(fù)這個(gè)過(guò)程，標(biāo)識(shí)出通往目的主機(jī)的路徑上確切的路由器系列.

繼續(xù)這個(gè)過(guò)程直至該數(shù)據(jù)報(bào)到達(dá)目的主機(jī)。但是目的主機(jī)哪怕接收到TTL為1的IP數(shù)據(jù)報(bào)，也不會(huì)丟棄該數(shù)據(jù)并產(chǎn)生一份超時(shí)ICMP報(bào)文，這是因?yàn)閿?shù)據(jù)報(bào)已經(jīng)到達(dá)其最終目的地。任務(wù)相關(guān)技術(shù)原理介紹6.協(xié)議常見(jiàn)應(yīng)用：TracerouteTraceroute實(shí)現(xiàn)有兩種方法一種：發(fā)送一個(gè)ICMP回應(yīng)請(qǐng)求報(bào)文；目的主機(jī)將會(huì)產(chǎn)生一個(gè)ICMP回應(yīng)答復(fù)報(bào)文。Microsoft實(shí)現(xiàn)（tracert）中采用該方法。當(dāng)回應(yīng)請(qǐng)求到達(dá)目的主機(jī)時(shí)，ICMP就產(chǎn)生一個(gè)答復(fù)報(bào)文，它的源地址等于收到的請(qǐng)求報(bào)文中的目的IP地址。另一種：發(fā)生一個(gè)數(shù)據(jù)報(bào)給一個(gè)不存在的應(yīng)用進(jìn)程；目的主機(jī)將會(huì)產(chǎn)生一個(gè)ICMP目的不可達(dá)報(bào)文。大多數(shù)UNIX版本的traceroute程序采用該方法。Traceroute程序發(fā)送一份UDP數(shù)據(jù)報(bào)給目的主機(jī)，但它選擇一個(gè)不可能的值作為UDP端口號(hào)（大于30000），使目的主機(jī)的任何一個(gè)應(yīng)用程序都不可能使用該端口。因?yàn)?，?dāng)該數(shù)據(jù)報(bào)到達(dá)時(shí)，將使目的主機(jī)的UDP模塊產(chǎn)生一份“端口不可達(dá)”錯(cuò)誤的ICMP報(bào)文。這樣，Traceroute程序所要做的就是區(qū)分接收到的ICMP報(bào)文是超時(shí)還是端口不可達(dá)，以判斷什么時(shí)候結(jié)束。任務(wù)相關(guān)技術(shù)原理介紹6.協(xié)議常見(jiàn)應(yīng)用：用ICMP發(fā)現(xiàn)路徑MTUMTU測(cè)試：MaxTransmissionUnit是網(wǎng)絡(luò)最大傳輸單元（包長(zhǎng)度），IP路由器必須對(duì)超過(guò)MTU的IP報(bào)進(jìn)行分片，目的主機(jī)再完成重組處理，所以確定源到目的路徑MTU對(duì)提高傳輸效率是非常必要的。確定路徑MTU的方法是“要求報(bào)告分片但又不被允許”的ICMP報(bào)文。將IP數(shù)據(jù)報(bào)的標(biāo)志域中的分片BIT位置1，不允許分片。當(dāng)路由器發(fā)現(xiàn)IP數(shù)據(jù)報(bào)長(zhǎng)度大于MTU時(shí)，丟棄數(shù)據(jù)報(bào)，并發(fā)回一個(gè)要求分片的ICMP報(bào)。將IP數(shù)據(jù)報(bào)長(zhǎng)度減小，分片BIT位置1重發(fā)，接收返回的ICMP報(bào)的分析。發(fā)送一系列的長(zhǎng)度遞減的、不允許分片的數(shù)據(jù)報(bào)，通過(guò)接收返回的ICMP報(bào)的分析，可確定路徑MTU。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析PingofDeath黑客利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過(guò)64KB這一規(guī)定，向主機(jī)發(fā)起“PingofDeath”(死亡之Ping)攻擊。“PingofDeath”攻擊的原理是：如果ICMP數(shù)據(jù)包的尺寸超過(guò)64KB上限時(shí)，主機(jī)就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰,致使主機(jī)死機(jī)。ICMP攻擊導(dǎo)致拒絕服務(wù)(DoS)攻擊向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會(huì)最終使系統(tǒng)癱瘓。它的工作原理是利用發(fā)出ICMP類(lèi)型8的echo-request給目的主機(jī)，對(duì)方收到后會(huì)發(fā)出中斷請(qǐng)求給操作系統(tǒng)，請(qǐng)系統(tǒng)回送一個(gè)類(lèi)型0的echo-reply。大量的ICMP數(shù)據(jù)包會(huì)形成“ICMP風(fēng)暴”或稱為“ICMP洪流”，使得目標(biāo)主機(jī)耗費(fèi)大量的CPU資源處理，疲于奔命。這種攻擊被稱為拒絕服務(wù)（DoS）攻擊，它有多種多樣具體的實(shí)現(xiàn)方式。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析針對(duì)寬帶的DOS的攻擊主要是利用無(wú)用的數(shù)據(jù)來(lái)耗盡網(wǎng)絡(luò)帶寬。通過(guò)高速發(fā)送大量的ICMPecho-reply數(shù)據(jù)包，目標(biāo)網(wǎng)絡(luò)的帶寬瞬間就會(huì)被耗盡，組織合法的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)。ICMPecho-reply數(shù)據(jù)包具有較高的優(yōu)先級(jí)，在一般情況下，網(wǎng)絡(luò)總是允許內(nèi)部主機(jī)使用Ping命令。針對(duì)連接的DOS攻擊針對(duì)連接的DOS攻擊，可以終止現(xiàn)有的網(wǎng)絡(luò)連接。它使用合法的ICMP消息影響所有的IP設(shè)備。Nuke通過(guò)發(fā)送一個(gè)偽造的ICMPDestinationUnreachable或Redirect消息來(lái)終止合法的網(wǎng)絡(luò)連接。更具惡意的攻擊如puke和smack，會(huì)給某一個(gè)范圍內(nèi)的端口發(fā)送大量的數(shù)據(jù)包，毀掉大量的網(wǎng)絡(luò)連接，同時(shí)還會(huì)消耗受害主機(jī)CPU的時(shí)鐘周期。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析Smurf攻擊首先，攻擊者會(huì)先假冒目的主機(jī)(受害者)之名向路由器發(fā)出廣播的ICMPecho-request數(shù)據(jù)包。因?yàn)槟康牡厥菑V播地址，路由器在收到之后會(huì)對(duì)該網(wǎng)段內(nèi)的所有計(jì)算機(jī)發(fā)出此ICMP數(shù)據(jù)包，而所有的計(jì)算機(jī)在接收到此信息后，會(huì)對(duì)源主機(jī)(亦即被假冒的攻擊目標(biāo))送出ICMPecho-reply響應(yīng)。如此一來(lái)，所有的

ICMP數(shù)據(jù)包在極短的時(shí)間內(nèi)涌入目標(biāo)主機(jī)內(nèi)，這不但造成網(wǎng)絡(luò)擁塞，更會(huì)使目標(biāo)主機(jī)因?yàn)闊o(wú)法反應(yīng)如此多的系統(tǒng)中斷而導(dǎo)致暫停服務(wù)。除此之外，如果一連串的ICMP廣播數(shù)據(jù)包洪流(packetflood)被送進(jìn)目標(biāo)網(wǎng)內(nèi)的話，將會(huì)造成網(wǎng)絡(luò)長(zhǎng)時(shí)間的極度擁塞，使該網(wǎng)段上的計(jì)算機(jī)(包括路由器)都成為攻擊的受害者。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析基于重定向（redirect）的路由欺騙技術(shù)攻擊者可利用ICMP重定向報(bào)文破壞路由，并以此增強(qiáng)其竊聽(tīng)能力。除了路由器，主機(jī)必須服從ICMP重定向。如果一臺(tái)機(jī)器想網(wǎng)絡(luò)中的另一臺(tái)機(jī)器發(fā)送了一個(gè)ICMP重定向消息，這就可能引起其他機(jī)器具有一張無(wú)效的路由表。如果一臺(tái)機(jī)器偽裝成路由器截獲所有到某些目標(biāo)網(wǎng)絡(luò)或全部目標(biāo)網(wǎng)絡(luò)的IP數(shù)據(jù)包，這樣就形成了攻擊和竊聽(tīng)。任務(wù)相關(guān)技術(shù)原理介紹7.協(xié)議安全性分析ICMP攻擊防范措施雖然ICMP協(xié)議給黑客以可乘之機(jī)，但是ICMP攻擊也并非防不勝防的。只要在網(wǎng)絡(luò)管理中提前做好準(zhǔn)備，就可以有效地避免遭受ICMP的攻擊。

對(duì)于利用ICMP產(chǎn)生的拒絕服務(wù)攻擊可以采取下面的方法：一、在路由器或主機(jī)端拒絕所有的ICMP包(對(duì)于Smuff攻擊：可在路由器禁止IP廣播)；二、在該網(wǎng)段路由器對(duì)ICMP包進(jìn)行帶寬限制(或限制ICMP包的數(shù)量)，控制其在一定的范圍內(nèi)。

避免ICMP重定向欺騙的最簡(jiǎn)單方法是將主機(jī)配置成不處理ICMP重定向消息，另一種方法是路由器之間一定要經(jīng)過(guò)安全認(rèn)證。例如，檢查ICMP重定向消息是否來(lái)自當(dāng)前正在使用的路由器，要檢查重定向消息發(fā)送者的IP地址并校驗(yàn)該IP地址與ARP高速緩存中保留的硬件地址是否匹配。ICMP重定向消息應(yīng)包含轉(zhuǎn)發(fā)IP數(shù)據(jù)報(bào)的報(bào)頭信息，報(bào)頭雖然可用于檢驗(yàn)其有效性，但也有可能被窺探并加以偽造。無(wú)論如何，這種檢查可增加對(duì)重定向消息有效性的信心，并且由于無(wú)須查閱路由表及ARP高速緩存，所以執(zhí)行起來(lái)比其他檢查容易一些。