网络篇11 | 网络层 ICMP

网络篇11 | 网络层 ICMP

  • [01 简介](#01 简介)
  • [02 报文格式](#02 报文格式)
  • [03 ICMP数据抓包](#03 ICMP数据抓包)
    • [1)类型 8:回显请求(Echo Request)](#1)类型 8:回显请求(Echo Request))
    • [2)类型 13:时间戳请求(Timestamp Request)](#2)类型 13:时间戳请求(Timestamp Request))
      • [协议类型 13(Timestamp 请求)](#协议类型 13(Timestamp 请求))
      • [协议类型 14(Timestamp 应答)](#协议类型 14(Timestamp 应答))
    • [3)类型 17:地址掩码请求(Address Mask Request)](#3)类型 17:地址掩码请求(Address Mask Request))
    • [4)类型 9:路由器请求信息(Router Solicitation)](#4)类型 9:路由器请求信息(Router Solicitation))
    • [5)类型 10:路由器通告信息(Router Advertisement)](#5)类型 10:路由器通告信息(Router Advertisement))
    • [6)类型 3:终点不可达(Destination Unreachable)](#6)类型 3:终点不可达(Destination Unreachable))
    • [7)类型 4:源点抑制(Source Quench)](#7)类型 4:源点抑制(Source Quench))
    • [8)类型 11,超时(Time Exceeded)](#8)类型 11,超时(Time Exceeded))
    • [9)类型 12:参数问题(Parameter Problem)](#9)类型 12:参数问题(Parameter Problem))
    • [10)类型 5:改变路由(路由重定向)](#10)类型 5:改变路由(路由重定向))
  • [04 关于ICMP报文的几个限制](#04 关于ICMP报文的几个限制)

01 简介

从技术角度来说,ICMP就是一个"错误侦测与回报机制",其目的就是能够检测网路的连线状况﹐也能确保连线的准确性。当路由器在处理一个数据包的过程中发生了意外,可以通过ICMP向数据包的源端报告有关事件。
其功能主要有:侦测远端主机是否存在,建立及维护路由资料,重导资料传送路径(	ICMP重定向	),资料	流量控制	。ICMP在沟通之中,主要是透过不同的类别(Type)与代码(Code) 让机器来识别不同的连线状况。
在网络中经常会使用到ICMP协议,比如经常使用的用于检查网络通不通的	Ping	命令(Linux和Windows中均有),这个"Ping"的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

02 报文格式

ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面,所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文,IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式,此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。
ICMP报文格式具体由RFC 777,RFC 792规范。

1)Type(类型)

ICMP 报文类型(ICMP Message Type)是指具体的 ICMP 报文中的消息类型,每种类型有一个独特的 Type 编号。

ICMP 类型则更广泛地指代 ICMP 协议本身,表明这些报文是用于控制和管理网络的协议。

下面是一些常见的 ICMP 报文类型及其对应类型的编号:

  • 类差错报文(差异报告报文):
    • 目标不可达(Destination Unreachable):Type 3
    • 源抑制(Source Quench):Type 4
    • 超时(Time Exceeded):Type 11
    • 参数问题(Parameter Problem):Type 12
  • 查询报文:
    • 回显请求(Echo Request):Type 8
    • 回显应答(Echo Reply):Type 0
    • 时间戳请求(Timestamp Request):Type 13
    • 时间戳应答(Timestamp Reply):Type 14
  • 其他类型:
    • 地址掩码请求(Address Mask Request):Type 17
    • 地址掩码应答(Address Mask Reply):Type 18

2)Code(代码)

在 ICMP 报文中,Code 字段通常用于进一步细分报文类型。虽然许多 ICMP 报文类型并不使用 Code 字段,但有些特定的报文类型需要使用 Code 来提供更具体的信息或上下文。以下是一些场景,其中 Code 字段可能会被使用:

  • 差错报文(差异报告报文):某些差错报文类型需要使用 Code 字段来指示特定类型的错误情况。例如,Type 3 的 Destination Unreachable 报文中的 Code 字段可以指示目标不可达的具体原因(网络不可达、主机不可达等)。

  • 参数问题(Parameter Problem):Type 12 的 Parameter Problem 报文使用 Code 字段来指示问题的具体位置,例如指示 IP 报文头部中的哪个字段存在问题。

  • 重定向报文(Redirect Message):Type 5 的 Redirect 报文使用 Code 字段来指示重定向数据包的类型,即指示应将数据包发送到哪个更佳的网关。

  • 时间超时(Time Exceeded):Type 11 的 Time Exceeded 报文中的 Code 字段可用于区分生存时间(TTL)超时和片段重新组装超时。

3)Checksum(校验和)

Checksum 的目的是帮助检测数据传输过程中可能引入的错误,例如传输错误、篡改或数据包损坏等。当接收方计算得到的校验和与数据包中的校验和不匹配时,接收方可能会丢弃该数据包或请求重新传输,以确保数据的完整性和正确性。Checksum 在网络通信中起着重要的作用,有助于提高数据传输的可靠性和安全性。

当涉及校验和时,通常会看到以下几种情况:

  • Match(匹配):表示重新计算的校验和与数据包中的校验和完全一致,说明数据包未受损坏或篡改。
  • Mismatch(不匹配):意味着重新计算的校验和与数据包中的校验和不一致,表明数据包可能已经被损坏或篡改,需要进行进一步处理,如丢弃或请求重传。
  • Valid/Invalid Checksum(有效/无效校验和):表示校验和字段是否被正确设置或计算。一个有效的校验和应该能够成功验证数据包的完整性,而无效的校验和可能会导致数据包被丢弃或要求重新传输。

4)ICMP数据部分

ICMP(Internet Control Message Protocol)数据部分在 ICMP 报文中扮演着重要的角色,用于携带特定类型的信息或负载数据。以下是 ICMP 数据部分的一些特点:

  • 根据不同的 ICMP 报文类型而异:ICMP 数据部分的内容取决于具体的 ICMP 报文类型。不同类型的 ICMP 报文可能包含不同的信息或负载数据。
  • 提供有关网络状态或问题的信息:ICMP 数据部分通常用于提供有关网络状态、错误或其他相关信息的内容。例如,Echo Request 报文中的数据部分可能包含发送方发送的用于回显测试的数据;Destination Unreachable 报文可能包含有关无法到达目标的具体原因。
  • 用于识别和处理报文:数据部分有助于接收方正确解析和处理 ICMP 报文。通过检查数据部分中的内容,接收方可以确定报文的用途并采取相应的行动。
  • 长度可变:ICMP 数据部分的长度是可变的,取决于具体的 ICMP 报文类型以及所携带的信息量。有些报文可能只包含少量数据,而其他报文可能携带更多的信息。
  • 用于网络工具和故障排除:ICMP 数据部分对于网络工具和故障排除非常有用。通过分析 ICMP 数据部分中的内容,可以了解网络中发生的情况,并帮助诊断问题。

03 ICMP数据抓包

1)类型 8:回显请求(Echo Request)

类型 8(Echo 请求):发送方向目标主机发送 Echo 请求报文,请求目标主机回送一个 Echo 应答报文。这种类型的 ICMP 报文通常用于检测网络连接是否正常以及计算网络延迟。

类型 0(Echo 应答):目标主机收到 Echo 请求后,会向发送方返回一个 Echo 应答报文。这种类型的 ICMP 报文是对 Echo 请求的响应。

  • 命令请求
bash 复制代码
ping www.baidu.com
  • 第一层Frame全局信息(物理层)

    给出了数据帧的全局信息,显示了包括帧长74个字节,帧到达的时间,接口的编号和帧的类型。

  • 第二行数据帧头部信息(数据链路层)

    可以看到以太帧头部包括的三个字段,目的MAC地址,源MAC地址、类型字段,类型字段取值为十六进制的0800,说明数据帧中包含的是一个IP分组。

  • 第三行IP分组头部信息(网络层)

    包括版本号4,头部长度20字节,服务类型,数据报总长度,用于分片的标志字0,分片偏移字段0,说明这是一个完整的IP数据报。没有被分片。生存周期128,表示最多允许经过128跳路由器的转发。协议字段1,说明IP分组里面封装的是一个ICMP报文,头部校验、源IP地址,目的IP地址。我们可以对照以太网IP协议规范的报文格式来检查ICMP报文该字段是符合规范的。

  • 第四行是ICMP的协议报文

    具体内容是类型8,Code:0表明这是一个 Echo (ping) request也就是一个回应请求报文,校验和字段,这三个字段是所有ICMP报文的通用首部,或称为固定首部,下面的标识字段(Identifier (BE): 1 (0x0001))和序号字段(Sequence Number (BE): 1434 (0x059a)),都是用两种不同的字节序来显示的。标识代表的是当前运行的ping进程的标识,序号字段代表ping生成的ICMP报文的编号

  • 协议类型 8(Echo 请求)详解

这是一个回显请求(Ping请求)

  • Type字段,标明了报文的类型, request 表示这是一个「请求」报文。
  • Code字段,标明了报文的代码。
  • Checksum:Status = Good,表示校验状态是良好的,报文无误
    BE 和 LE 这四个字段用来对应请求和响应的关系。请求和响应中,这四个字段都是一样的,用来标识这次请求。请求与响应两个报文必须完全一致。
  • Data:发送了多少「字节」
  • 协议类型 0(Echo 应答)详解

这是一个回显应答(Ping应答)

  • Type字段,标明了报文的类型, reply 表示这是一个「响应」报文。
  • Code字段,标明了报文的代码。
  • Checksum:Status = Good,表示校验状态是良好的,报文无误
  • BE 和 LE 这四个字段用来对应请求和响应的关系。请求和响应中,这四个字段都是一样的,用来标识这次请求。请求与响应两个报文必须完全一致。
  • Response time:Ping命令返回的响应时间,就是从这里获取的
  • Data:发送了多少「字节」

2)类型 13:时间戳请求(Timestamp Request)

类型 13(Timestamp 请求)和类型 14(Timestamp 应答):Timestamp 请求用于请求目标主机的时间戳信息,而Timestamp 应答则是目标主机对Timestamp请求的响应,包含其自己的时间戳信息。

  • 命令请求
    在一个Linux上执行命令,192.168.10.238为我本机ip4地址:
bash 复制代码
 (base) [root@vm12_efficiency01_50_221 ~]# hping3 -c 1 -V -p 0 --icmp -C 13  192.168.10.238
  • 这是关于 hping3 命令的详细解释:
    • hping3: 这是用于发送定制化网络数据包的工具。
    • -c 1: 表示设置发送的数据包数量为 1,即只发送一个数据包。
    • -V: 启用冗长输出模式,可以显示更详细的信息。
    • -p 0: 设置要发送的数据包的目的端口为 0。在 ICMP 报文中,端口号通常不适用,因此设置为 0。
    • --icmp: 指定要发送的数据包使用 ICMP 协议。
    • -C 13: 用于指定 ICMP 报文的类型为 13,即 Timestamp 请求。这告诉 hping3 发送一个 ICMP 类型为 Timestamp 请求的数据包。
    • 192.168.10.238: 是目标主机的 IP 地址,表示数据包将发送到该目标主机。
bash 复制代码
using eth0, addr: 192.168.50.221, MTU: 1500
HPING 192.168.10.238 (eth0 192.168.10.238): icmp mode set, 28 headers + 0 data bytes
len=40 ip=192.168.10.238 ttl=127 id=41685 tos=0 iplen=40
icmp_seq=0 rtt=0.7 ms
ICMP timestamp: Originate=3251593 Receive=1738092800 Transmit=1738092800
ICMP timestamp RTT tsrtt=1


--- 192.168.10.238 hping statistic ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.7/0.7/0.7 ms
  • 以下是收到的响应结果:
    • HPING 192.168.10.238: 表示正在使用 hping 工具向目标主机 192.168.10.238 发送 ICMP 报文。
    • icmp mode set, 28 headers + 0 data bytes: 这表明 ICMP 模式已设置,并且发送的 ICMP 报文中包含 28 字节的头部信息。
    • len=40 ip=192.168.10.238 ttl=127 id=41685 tos=0 iplen=40: 这是关于 ICMP 报文的一些详细信息,包括长度、IP 地址、TTL(Time to Live)等。
    • icmp_seq=0 rtt=0.7 ms: 指示收到的 ICMP 应答中的序列号和往返时间为 0.7 毫秒。
    • ICMP timestamp: Originate=3251593 Receive=1738092800 Transmit=1738092800: 显示了 Timestamp 请求和应答中涉及的时间戳信息。
    • ICMP timestamp RTT tsrtt=1: 提供了有关 Timestamp 请求往返时延的信息。
    • --- 192.168.10.238 hping statistic ---: 总结了发送和接收的数据包统计信息。
    • 1 packets transmitted, 1 packets received, 0% packet loss: 表示发送了 1 个数据包并成功接收了一个,没有数据包丢失。
  • round-trip min/avg/max = 0.7/0.7/0.7 ms: 显示了往返时间的最小、平均和最大值。

协议类型 13(Timestamp 请求)

  • Type: 表示 ICMP 报文类型,这里是 Timestamp 请求 (Type 13)。
  • Code: 帮助进一步细分消息类型,这里是 0,通常对应于 Timestamp 请求。
  • Checksum: 校验和字段,用于验证数据包完整性。
  • Identifier: 标识符字段,可用于与响应相关联,BE 表示 Big Endian(大端序),LE 表示 Little Endian(小端序)。
  • Sequence Number: 序列号字段,用于标识数据包的顺序,BE 和 LE 分别表示大端序和小端序。
  • Originate Timestamp: 发起时间戳,指示报文发出时的时间戳。在这个例子中,为 4483987,表示在 UTC 午夜后 1 小时、14 分钟、43.987 秒时发出了该报文。
  • Receive Timestamp: 接收时间戳,请求报文值为 0。
  • Transmit Timestamp: 传输时间戳,请求报文值为 0。

协议类型 14(Timestamp 应答)

bash 复制代码
(base) [root@vm12_efficiency01_50_221 ~]# sudo hping3 -c 1 -M 14 192.168.10.238
HPING 192.168.10.238 (eth0 192.168.10.238): NO FLAGS are set, 40 headers + 0 data bytes
len=40 ip=192.168.10.238 ttl=127 DF id=28518 sport=0 flags=RA seq=0 win=0 rtt=0.7 ms

--- 192.168.10.238 hping statistic ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.7/0.7/0.7 ms
  • Type: 表示 ICMP 报文类型,这里是 Timestamp 应答 (Type 14)。
  • Code: 帮助进一步细分消息类型,这里是 0,通常对应于 Timestamp 应答。
  • Checksum: 校验和字段,用于验证数据包完整性。
  • Identifier: 标识符字段,可用于与请求相关联,BE 表示 Big Endian(大端序),LE 表示 Little Endian(小端序)。
  • Sequence Number: 序列号字段,用于标识数据包的顺序,BE 和 LE 分别表示大端序和小端序。
  • Originate Timestamp: 发起时间戳,指示报文发出时的时间戳。在这个例子中,为 4483987,表示在 UTC 午夜后 1 小时、14 分钟、43.987 秒时发出了此报文。
  • Receive Timestamp: 接收时间戳,表示目标主机接收到该报文时的时间戳。值为 1969701888,即在 UTC 午夜后 1 小时、14 分钟、42.933 秒时接收到了报文。
  • Transmit Timestamp: 传输时间戳,表示发送方发送该报文时的时间戳。和接收时间戳相同,值也为 1969701888,即在 UTC 午夜后 1 小时、14 分钟、42.933 秒时发送了该报文。

3)类型 17:地址掩码请求(Address Mask Request)

类型 17(Address Mask 请求)和类型 18(Address Mask 应答):Address Mask 请求用于请求目标主机的子网掩码信息,以获取目标主机所使用的子网掩码。Address Mask 应答则是目标主机对Address Mask请求的响应,包含其所使用的子网掩码信息。

bash 复制代码
(base) [root@vm12_efficiency01_50_221 ~]# sudo hping3 -c 1 -M 17 192.168.10.238
HPING 192.168.10.238 (eth0 192.168.10.238): NO FLAGS are set, 40 headers + 0 data bytes
len=40 ip=192.168.10.238 ttl=127 DF id=9849 sport=0 flags=RA seq=0 win=0 rtt=0.8 ms

--- 192.168.10.238 hping statistic ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.8/0.8/0.8 ms

4)类型 9:路由器请求信息(Router Solicitation)

一种 ICMPv6 报文类型,主机用来请求附近路由器发送路由器通告信息,以获取网络配置信息。

5)类型 10:路由器通告信息(Router Advertisement)

一种 ICMPv6 报文类型,用于路由器向主机发送网络配置信息或路由信息的通告。

6)类型 3:终点不可达(Destination Unreachable)

用于通知发送方数据包无法到达目的地的原因,比如网络不可达、主机不可达、协议不可达等。

Code: 具体原因,如网络不可达 (Code 0)、主机不可达 (Code 1)、协议不可达 (Code 2) 等。

我本地使用FinalShell连接上了192.168.50.221的服务器,以上是抓包信息。

7)类型 4:源点抑制(Source Quench)

用于控制源主机流量,提示发送端减缓数据发送速度。

Code: 0

8)类型 11,超时(Time Exceeded)

指示某个数据包生命周期中的时间已过期,可能由于 TTL(Time-To-Live)字段减至0或者片段在重新组装时耗时过长导致。

Code: TTL 为 0 (Code 0) 或片段重组时间过长 (Code 1)。

9)类型 12:参数问题(Parameter Problem)

用于指示 IP 报文头部中的一个问题,例如数据包长度不正确或者选项字段格式错误。

Code: 指示头部中的具体问题,如必要选项丢失 (Code 0)、首部长度不正确 (Code 1)。

10)类型 5:改变路由(路由重定向)

用于告知发送方将某个特定流量通过更优的路径发送。

Code: 通常表示重定向主机 (Code 0) 或重定向服务 (Code 1)。

04 关于ICMP报文的几个限制

1.对于携带ICMP差错报文的数据报,不再产生ICMP差错报文。

如果主机A发送了一个ICMP的数据报文给主机B,数据在传输过程中经过其中一个路由器出现错误,由于该路由器已经接收到一个ICMP数据报文,所以不会再产生一个ICMP差错报文。

2.对于分片的数据报,如果不是第一个分片,则不产生ICMP差错报文

对于主机A发送了一个分片的数据,如果路由设备或主机接收到的分片数据不是第一个分片数据,不会产生ICMP差错报文。

3.对于具有多播地址的数据报,不产生ICMP差错报文

如果一个ip地址是一个广播地址的话,不会产生ICMP差错报文。

4.对于具有特殊地址如(127.0.0.0或0.0.0.0)的数据报,不产生ICMP差错报文

下面,我们通过wireshark来抓一个icmp包,如下图所示:request表示这是一个ICMP请求报文,reply表示这个是一个ICMP回答报文。

相关推荐
鲤籽鲲2 分钟前
C# Random 随机数 全面解析
android·java·c#
zquwei21 分钟前
SpringCloudGateway+Nacos注册与转发Netty+WebSocket
java·网络·分布式·后端·websocket·网络协议·spring
TT哇27 分钟前
*【每日一题 提高题】[蓝桥杯 2022 国 A] 选素数
java·算法·蓝桥杯
Aimin202235 分钟前
路由器做WPAD、VPN、透明代理中之间一个
网络
火烧屁屁啦1 小时前
【JavaEE进阶】初始Spring Web MVC
java·spring·java-ee
群联云防护小杜1 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
w_31234541 小时前
自定义一个maven骨架 | 最佳实践
java·maven·intellij-idea
岁岁岁平安1 小时前
spring学习(spring-DI(字符串或对象引用注入、集合注入)(XML配置))
java·学习·spring·依赖注入·集合注入·基本数据类型注入·引用数据类型注入
武昌库里写JAVA1 小时前
Java成长之路(一)--SpringBoot基础学习--SpringBoot代码测试
java·开发语言·spring boot·学习·课程设计
Q_19284999061 小时前
基于Spring Boot的九州美食城商户一体化系统
java·spring boot·后端