國家高等職業教育網絡技術專業教學資源庫計算機網絡安全技術與實施學習情境1：實訓任務1.1利用PacketTracer分析協議工作過程ICMP協議原理及分析課程思政內容內容介紹

任務場景及工具軟件介紹1任務相關技術原理介紹2任務設計、規劃3任務實施及方法技巧4任務檢查與評價5任務總結6任務場景及工具軟件介紹任務場景及工具軟件介紹任務場景及工具軟件介紹任務相關技術原理介紹卷1主要講述TCP/IP協議方面的內容。講述了RFCS的標準協議，結合大量實例講述了TCP/IP協議，TCP/IP的知識：路由協議、尋址協議、組控制協議、簡單郵件傳輸協議等。卷1適合于網絡技術，而卷2-3更側重于編程。任務相關技術原理介紹網絡層次結構與數據封裝解封裝任務相關技術原理介紹ICMP協議原理1.基本概念InternetControlMessageProtocol：網際控制報文協議IP提供的盡力數據報通信服務無連接服務，而并不能解決網絡低層的數據報丟失、重復、延遲或亂序等問題，TCP在IP基礎建立有連接服務解決以上問題，不能解決網絡故障或其它網絡原因無法傳輸數據包的問題。所以，ICMP設計的本意就是希望對IP包無法傳輸時提供差錯報告，這些差錯報告幫助了發送方了解為什么無法傳遞，網絡發生了什么問題，確定應用程序后續操作。任務相關技術原理介紹2.協議特征ICMP就像一個更高層的協議那樣使用IP（即，ICMP消息被封裝在IP數據報中）。然而，ICMP是IP的一個組成部分，并且所有IP模塊都必須實現它。ICMP用來報告錯誤，是一個差錯報告機制。它為遇到差錯的路由器提供了向最初源站報告差錯的辦法，源站必須把差錯交給一個應用程序或采取其它措施來糾正問題。ICMP不能用來報告ICMP消息的錯誤，這樣就避免了無限循環。當ICMP查詢消息時通過發送ICMP來響應。對于被分段的數據報，ICMP消息只發送關于第一個分段中的錯誤。也就是說，ICMP消息永遠不會引用一個具有非0片偏移量字段的IP數據報。響應具有一個廣播或組播目的地址的數據報時，永遠不會發送ICMP消息響應一個沒有源主機IP地址的數據報時永遠不會發送ICMP消息。也就是說，源地址不能為0，一個回送地址，一個廣播地址或者一個組播地址。任務相關技術原理介紹2.協議特征通過ICMP可以知道故障的具體原因和位置。由于IP不是為可靠傳輸服務設計的，ICMP的目的主要是用于在TCP/IP網絡中發送出錯和控制消息。ICMP的錯誤報告只能通知出錯數據包的源主機，而無法通知從源主機到出錯路由器途中的所有路由器(環路時)。ICMP數據包是封裝在IP數據包中的。ICMP報文的種類有三大類種，即ICMP差錯報告報文、控制報文、請求/應答報文。任務相關技術原理介紹3.協議封裝每個ICMP報文放在IP數據報的數據部分中通過互聯網傳遞，而IP數據報本身放在二層幀的數據部分中通過物理網絡傳遞。ICMP首部ICMP數據IP數據報首部IP數據報數據區二層幀首部二層幀數據區任務相關技術原理介紹4.協議報文格式

ICMP定義了五種常用差錯報文和六種詢問報文類型，以及用代碼表達某類型下面不同情況的細分。類型代號校驗和ICMP數據（取決于消息類型）………………用來標識報文，有15個不同的值提供有關報文類型的進一步信息覆蓋整個ICMP報文任務相關技術原理介紹4.協議報文格式類型代碼名稱00回應應答3

目的地不可達

0網路不可達

1主機不可達

2協議不可達

3端口不可達

4需要分片和不需要分片標記置位

5源路由失敗

6目的網絡未知

7目的主機未知

8源主機被隔離

9與目的網絡的通告被禁止

10目的主機的通信被禁止

11對請求的服務類型，目的網路不可達

12對請求的服務類型，目的主機不可達40源抑制（SourceQuench）5

重定向

0為網絡（子網）重定向數據報

1為主機重定向數據報

2為網絡和服務類型重定向數據報

3為主機和服務類型重定向數據報60選擇主機地址80回應(請求)90路由器通告100路由器選擇11

超時

0傳輸中超出TTL

1超出分片重組時間12

參數問題

0指定錯誤的指針

1缺少需要的選項

2錯誤長度130時間戳140時間戳回復150信息請求（廢棄）160信息回復（廢棄）170地址掩碼請求180地址掩碼回復30

跟蹤路由31

數據報會話錯誤32

移動主機重定向33

IPv6你在哪里34

IPv6我在這里35

移動注冊請求36

移動注冊回復任務相關技術原理介紹5.協議主要差錯報文所有ICMP差錯報告報文中的數據字段都具有同樣的格式。將收到的需要進行差錯報告的IP數據報的首部和數據字段的前8個字節提取出來，作為ICMP報告的數據字段。再加上相應的ICMP差錯報告報文的前8個字節，就構成了ICMP差錯報告報文。提取收到的數據報的數據字段的前8個字節是為了得到傳輸層的端口號（對于TCP和UDP）以及傳輸層報文的發送序號（對于TCP）類型（1字節）

代碼（1字節）

校驗和（2字節）路由器互聯網地址IP數據報首部+數據的前64比特…………….任務相關技術原理介紹5.協議主要差錯報文IP數據報首部8字節IP數據報首部8字節首部ICMP差錯報告報文收到的IP數據報ICMP差錯報告報文裝入ICMP報文的IP數據報ICMP的前8個字節重定向Redirect（5）當一個源主機創建的數據報發至某路由器，該路由器發現數據報應該選擇其他路由，則向源主機發送改變路由報文。改變路由的報文能指出網絡或特定主機的變化，一般發生在一個網絡連接多路由器的情況下。任務相關技術原理介紹5.協議主要差錯報文重定向Redirect（5）：改變路由的報文當一個源主機創建的數據報發至某路由器，該路由器發現數據報應該選擇其他路由，則向源主機發送改變路由報文。改變路由的報文能指出網絡或特定主機的變化，一般發生在一個網絡連接多路由器的情況下。在因特網中各路由器之間要經常交換路由信息，以便動態更新各自的路由表。但在因特網中主機的數量遠大于路由器的數量。主機如果也像路由器那樣經常交換路由信息，就會產生很大的附加通信量，因而大大浪費了網絡資源。所以，出于效率的考慮，連接在網絡上的主機的路由表一般都采用人工配置，并且主機不和連接在網絡上的路由器定期交換路由信息。在主機剛開始工作時，一般都在路由表中設置了一個默認路由器的IP地址。不管數據報要發送到哪個目的地址，都一律先將數據報傳送給網絡上的這個默認路由器，而這個默認路由器知道到每一個目的網絡的最佳路由。如果默認路由器發現主機發往某個目的地址的數據報的最佳路由不應當經過默認路由器，而是應當經過網絡上的另一個路由器R時，就用改變路由報文將此情況報告主機。于是，該主機就在其路由表中增加一項：到某某目的地址應經過路由器R（而不是默認路由器）。任務相關技術原理介紹5.協議主要差錯報文目的站不可達DestinationUnreachable（3）當路由器檢測到數據報無法傳遞到目的地時，向創建數據報的源主機發出目的地不可達報文。這報文區分：網絡不通（如路由器故障），目的主機連不通，協議不可達、端口不可達等共15種不同的情況，用不同代碼表示。源站抑制SourceQuench（4）當路由器收到太多的數據報以致內存不夠時，在丟棄所收數據報的同時，向創建數據報的源主機發送源抑制報文。源主機收到源抑制報文后，需要降低發送數據報的速率。任務相關技術原理介紹5.協議主要差錯報文超時TimeExceeded（11）有兩種情況需要發送超時報文。一種是路由器把數據報的生存時間減至零時，路由器丟棄數據報，并向源主機發送超時報文；另一種是一個數據報的所有段到達前，重組計時到點，接收主機也會向源主機發送超時報文。參數問題ParameterProblem數據報頭部的標志出現差錯，或缺少必須的選項任務相關技術原理介紹5.協議主要差錯報文請求/應答EchoRequest/Reply可以對任何一臺網上主機的ICMP軟件發請求/應答報文。這種詢問報文用來測試目的站是否可達以及了解其有關狀態。Ping服務就是采用這個報文來獲得兩個主機之間的連通性。地址掩碼請求/應答AddressMaskRequest/Reply主機啟動時，會廣播一個地址掩碼請求報文。路由器收到地址掩碼請求報文后，回送一個包含本網使用的32位地址掩碼的應答報文。用于無盤系統在引導過程中獲取自己的子網掩碼。時間戳請求/應答TimestampRequest/Reply主機發出查詢當前時間的請求，應答報文建議值是自午夜開始計算的毫秒數，UTCCoodinatedUniversaltime，協調統一時間）。可用來進行時鐘同步和測量時間。其它還有DNS請求/應答，以及最新IPv6、安全、移動定位等類型定義任務相關技術原理介紹6.三種ICMP協議常見應用：Ping、Traceroute、MTU測試Ping：使用ICMP回送和應答消息來確定一臺主機是否可達。Ping是應用層直接使用網絡層ICMP的一個例子。發送數據Z我不知道怎樣訪問Z廣域網到Z目的端不可達A任務相關技術原理介紹6.協議常見應用：TracerouteTraceroute：該程序用來確定通過網絡的路由IP數據報。Traceroute基于ICMP和UDP。它把一個TTL為1的IP數據報發送給目的主機。第一個路由器把TTL減小到0，丟棄該數據報并把ICMP超時消息返回給源主機。這樣，路徑上的第一個路由器就被標識了。隨后用不斷增大的TTL值重復這個過程，標識出通往目的主機的路徑上確切的路由器系列.

繼續這個過程直至該數據報到達目的主機。但是目的主機哪怕接收到TTL為1的IP數據報，也不會丟棄該數據并產生一份超時ICMP報文，這是因為數據報已經到達其最終目的地。任務相關技術原理介紹6.協議常見應用：TracerouteTraceroute實現有兩種方法一種：發送一個ICMP回應請求報文；目的主機將會產生一個ICMP回應答復報文。Microsoft實現（tracert）中采用該方法。當回應請求到達目的主機時，ICMP就產生一個答復報文，它的源地址等于收到的請求報文中的目的IP地址。另一種：發生一個數據報給一個不存在的應用進程；目的主機將會產生一個ICMP目的不可達報文。大多數UNIX版本的traceroute程序采用該方法。Traceroute程序發送一份UDP數據報給目的主機，但它選擇一個不可能的值作為UDP端口號（大于30000），使目的主機的任何一個應用程序都不可能使用該端口。因為，當該數據報到達時，將使目的主機的UDP模塊產生一份“端口不可達”錯誤的ICMP報文。這樣，Traceroute程序所要做的就是區分接收到的ICMP報文是超時還是端口不可達，以判斷什么時候結束。任務相關技術原理介紹6.協議常見應用：用ICMP發現路徑MTUMTU測試：MaxTransmissionUnit是網絡最大傳輸單元（包長度），IP路由器必須對超過MTU的IP報進行分片，目的主機再完成重組處理，所以確定源到目的路徑MTU對提高傳輸效率是非常必要的。確定路徑MTU的方法是“要求報告分片但又不被允許”的ICMP報文。將IP數據報的標志域中的分片BIT位置1，不允許分片。當路由器發現IP數據報長度大于MTU時，丟棄數據報，并發回一個要求分片的ICMP報。將IP數據報長度減小，分片BIT位置1重發，接收返回的ICMP報的分析。發送一系列的長度遞減的、不允許分片的數據報，通過接收返回的ICMP報的分析，可確定路徑MTU。任務相關技術原理介紹7.協議安全性分析PingofDeath黑客利用操作系統規定的ICMP數據包最大尺寸不超過64KB這一規定，向主機發起“PingofDeath”(死亡之Ping)攻擊。“PingofDeath”攻擊的原理是：如果ICMP數據包的尺寸超過64KB上限時，主機就會出現內存分配錯誤，導致TCP/IP堆棧崩潰,致使主機死機。ICMP攻擊導致拒絕服務(DoS)攻擊向目標主機長時間、連續、大量地發送ICMP數據包，也會最終使系統癱瘓。它的工作原理是利用發出ICMP類型8的echo-request給目的主機，對方收到后會發出中斷請求給操作系統，請系統回送一個類型0的echo-reply。大量的ICMP數據包會形成“ICMP風暴”或稱為“ICMP洪流”，使得目標主機耗費大量的CPU資源處理，疲于奔命。這種攻擊被稱為拒絕服務（DoS）攻擊，它有多種多樣具體的實現方式。任務相關技術原理介紹7.協議安全性分析針對寬帶的DOS的攻擊主要是利用無用的數據來耗盡網絡帶寬。通過高速發送大量的ICMPecho-reply數據包，目標網絡的帶寬瞬間就會被耗盡，組織合法的數據通過網絡。ICMPecho-reply數據包具有較高的優先級，在一般情況下，網絡總是允許內部主機使用Ping命令。針對連接的DOS攻擊針對連接的DOS攻擊，可以終止現有的網絡連接。它使用合法的ICMP消息影響所有的IP設備。Nuke通過發送一個偽造的ICMPDestinationUnreachable或Redirect消息來終止合法的網絡連接。更具惡意的攻擊如puke和smack，會給某一個范圍內的端口發送大量的數據包，毀掉大量的網絡連接，同時還會消耗受害主機CPU的時鐘周期。任務相關技術原理介紹7.協議安全性分析Smurf攻擊首先，攻擊者會先假冒目的主機(受害者)之名向路由器發出廣播的ICMPecho-request數據包。因為目的地是廣播地址，路由器在收到之后會對該網段內的所有計算機發出此ICMP數據包，而所有的計算機在接收到此信息后，會對源主機(亦即被假冒的攻擊目標)送出ICMPecho-reply響應。如此一來，所有的

ICMP數據包在極短的時間內涌入目標主機內，這不但造成網絡擁塞，更會使目標主機因為無法反應如此多的系統中斷而導致暫停服務。除此之外，如果一連串的ICMP廣播數據包洪流(packetflood)被送進目標網內的話，將會造成網絡長時間的極度擁塞，使該網段上的計算機(包括路由器)都成為攻擊的受害者。任務相關技術原理介紹7.協議安全性分析基于重定向（redirect）的路由欺騙技術攻擊者可利用ICMP重定向報文破壞路由，并以此增強其竊聽能力。除了路由器，主機必須服從ICMP重定向。如果一臺機器想網絡中的另一臺機器發送了一個ICMP重定向消息，這就可能引起其他機器具有一張無效的路由表。如果一臺機器偽裝成路由器截獲所有到某些目標網絡或全部目標網絡的IP數據包，這樣就形成了攻擊和竊聽。任務相關技術原理介紹7.協議安全性分析ICMP攻擊防范措施雖然ICMP協議給黑客以可乘之機，但是ICMP攻擊也并非防不勝防的。只要在網絡管理中提前做好準備，就可以有效地避免遭受ICMP的攻擊。

對于利用ICMP產生的拒絕服務攻擊可以采取下面的方法：一、在路由器或主機端拒絕所有的ICMP包(對于Smuff攻擊：可在路由器禁止IP廣播)；二、在該網段路由器對ICMP包進行帶寬限制(或限制ICMP包的數量)，控制其在一定的范圍內。

避免ICMP重定向欺騙的最簡單方法是將主機配置成不處理ICMP重定向消息，另一種方法是路由器之間一定要經過安全認證。例如，檢查ICMP重定向消息是否來自當前正在使用的路由器，要檢查重定向消息發送者的IP地址并校驗該IP地址與ARP高速緩存中保留的硬件地址是否匹配。ICMP重定向消息應包含轉發IP數據報的報頭信息，報頭雖然可用于檢驗其有效性，但也有可能被窺探并加以偽造。無論如何，這種檢查可增加對重定向消息有效性的信心，并且由于無須查閱路由表及ARP高速緩存，所以執行起來比其他檢查容易一些。