ICMP網際控制報文協議分析

icmp（internet control message protocol）網際控制報文協議。它是tcp/ip協議族的乙個子協議，是一種面向無連線的協議，用於傳輸出錯報告控制資訊。用於在ip主機、路由器之間傳遞控制訊息。這些控制訊息雖然並不傳輸使用者資料，但是對於使用者資料的傳遞起著重要的作用。

鑑於icmp能夠影響重要的系統功能操作和獲取配置資訊,黑客們已經在大量攻擊中使用icmp報文。由於擔心這種攻擊,網路管理員經常會用防火牆封阻icmp報文,特別是在邊界路由器上。如果icmp被封鎖,大量的診斷程式(例如ping, traceroute)將無法正常工作。

當討論icmp時,我們用術語icmp指一般的icmp, icmpv4和icmpv6分別指專門用於ipv4和ipv6的icmp版本。

分類：有icmp差錯報文和icmp詢問報文兩種報文型別

前四個位元組是統一的格式，共三個字段(型別，**，校驗和)。第四個字段取決於icmp報文型別。最後面是資料字段，其長度取決於icmp的型別。

報文型別：

**號：

報文型別：

**號：

1.未知的icmpv6差錯報文必須傳遞給上層產生差錯報文的程序(如果可能的話)。

2.未知的icmpv6資訊類報文被丟棄。

3.icmpv6差錯報文將會盡可能多地包含導致差錯的原始("違規") ipv6報文,當然最終的差錯報文大小不能超過最小的ipv6 mtu ( 1280位元組)。

4.在處理icmpv6差錯報文時,需要提取原始(original)或者"違規"資料報(包含在 icmpv6差錯報文體中)中的上層協議型別,用於選擇適當的上層程序。如果這是不可能的, 在任何ipv6層處理完後將無聲地丟棄差錯報文。

5.存在處理差錯的特殊規則。

6.ipv6節點必須限制它傳送icmpv6差錯報文的速率。

為了限制生成icmp差錯報文的原因是為了避免"廣播風暴",在這種情況下生成少數的報文就會造成不想要的流量噴流(例如,無限地為響應差錯報文而生成差錯報文)。所以制定規則：

以下情況下不會響應產生icmpv4差錯報文:

●icmpv4差錯報文(但是,響應icmpv4查詢報文可能會產生icmpv4差錯報文)。

●目的位址是ipv4廣播位址或ipv4組播位址的資料報。

●作為鏈路層廣播的資料報。

●不是第乙個分片的其他分片。

●源位址不是單個主機的資料報。這就是說,源位址不能為零位址、環迴位址、廣播地址或組播位址。

以下情況下不會響應產生icmpv6差錯報文:

●icmpv6差錯報文。

●icmpv6重定向報文。

●目的位址是ipv6組播位址的資料報,以下情況除外:資料報太大(ptb)的報文;引數問題報文(**2)。

●作為鏈路層組播、廣播(以及前面提到的例外情況)的資料報。

●源位址不是唯一識別的單個節點的資料報。這意味著,源位址不能是未指定的位址、 ipv6組播位址,或者任意為傳送者所知的選播位址。

回顯應答(型別0):

目的不可達(型別11):

回顯(型別8):

超時(型別11):

icmp常用於探測網路聯通性：

ping命令:通過傳送網際控制報文『回顯應答』報文，來驗證與另一台計算機的ip級連線。

tarcert命令:通過遞增『生存時間』構造網際控制報文『回顯應答』報文，達到路由追蹤的目的。

pathping命令:乙個將ping和tracert功能結合起來並用有所增強的網路診斷工具，可以反映出資料報從源主機到目的主機所經過的路徑。網路延時及丟包率。

以上命令只是用於理想狀況，實際狀況是，很多公司和學校等都禁用或者攔截icmp報文，特別路由追蹤時，很難完整的探測出路由的路徑。