| 网络篇11 | 您所在的位置:网站首页 › icmp数据包 › 网络篇11 |
网络篇11
|
网络篇11 | 网络层 ICMP
01 简介02 报文格式1)Type(类型)2)Code(代码)3)Checksum(校验和)4)ICMP数据部分
03 ICMP数据抓包1)类型 8:回显请求(Echo Request)2)类型 13:时间戳请求(Timestamp Request)协议类型 13(Timestamp 请求)协议类型 14(Timestamp 应答)
3)类型 17:地址掩码请求(Address Mask Request)4)类型 9:路由器请求信息(Router Solicitation)5)类型 10:路由器通告信息(Router Advertisement)6)类型 3:终点不可达(Destination Unreachable)7)类型 4:源点抑制(Source Quench)8)类型 11,超时(Time Exceeded)9)类型 12:参数问题(Parameter Problem)10)类型 5:改变路由(路由重定向)
04 关于ICMP报文的几个限制
01 简介
从技术角度来说,ICMP就是一个“错误侦测与回报机制”,其目的就是能够检测网路的连线状况﹐也能确保连线的准确性。当路由器在处理一个数据包的过程中发生了意外,可以通过ICMP向数据包的源端报告有关事件。
其功能主要有:侦测远端主机是否存在,建立及维护路由资料,重导资料传送路径( ICMP重定向 ),资料 流量控制 。ICMP在沟通之中,主要是透过不同的类别(Type)与代码(Code) 让机器来识别不同的连线状况。
在网络中经常会使用到ICMP协议,比如经常使用的用于检查网络通不通的 Ping 命令(Linux和Windows中均有),这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
02 报文格式
ICMP 报文类型(ICMP Message Type)是指具体的 ICMP 报文中的消息类型,每种类型有一个独特的 Type 编号。 ICMP 类型则更广泛地指代 ICMP 协议本身,表明这些报文是用于控制和管理网络的协议。 下面是一些常见的 ICMP 报文类型及其对应类型的编号: 类差错报文(差异报告报文): 目标不可达(Destination Unreachable):Type 3源抑制(Source Quench):Type 4超时(Time Exceeded):Type 11参数问题(Parameter Problem):Type 12 查询报文: 回显请求(Echo Request):Type 8回显应答(Echo Reply):Type 0时间戳请求(Timestamp Request):Type 13时间戳应答(Timestamp Reply):Type 14 其他类型: 地址掩码请求(Address Mask Request):Type 17地址掩码应答(Address Mask Reply):Type 18 2)Code(代码)在 ICMP 报文中,Code 字段通常用于进一步细分报文类型。虽然许多 ICMP 报文类型并不使用 Code 字段,但有些特定的报文类型需要使用 Code 来提供更具体的信息或上下文。以下是一些场景,其中 Code 字段可能会被使用: 差错报文(差异报告报文):某些差错报文类型需要使用 Code 字段来指示特定类型的错误情况。例如,Type 3 的 Destination Unreachable 报文中的 Code 字段可以指示目标不可达的具体原因(网络不可达、主机不可达等)。 参数问题(Parameter Problem):Type 12 的 Parameter Problem 报文使用 Code 字段来指示问题的具体位置,例如指示 IP 报文头部中的哪个字段存在问题。 重定向报文(Redirect Message):Type 5 的 Redirect 报文使用 Code 字段来指示重定向数据包的类型,即指示应将数据包发送到哪个更佳的网关。 时间超时(Time Exceeded):Type 11 的 Time Exceeded 报文中的 Code 字段可用于区分生存时间(TTL)超时和片段重新组装超时。 3)Checksum(校验和)Checksum 的目的是帮助检测数据传输过程中可能引入的错误,例如传输错误、篡改或数据包损坏等。当接收方计算得到的校验和与数据包中的校验和不匹配时,接收方可能会丢弃该数据包或请求重新传输,以确保数据的完整性和正确性。Checksum 在网络通信中起着重要的作用,有助于提高数据传输的可靠性和安全性。 当涉及校验和时,通常会看到以下几种情况: Match(匹配):表示重新计算的校验和与数据包中的校验和完全一致,说明数据包未受损坏或篡改。Mismatch(不匹配):意味着重新计算的校验和与数据包中的校验和不一致,表明数据包可能已经被损坏或篡改,需要进行进一步处理,如丢弃或请求重传。Valid/Invalid Checksum(有效/无效校验和):表示校验和字段是否被正确设置或计算。一个有效的校验和应该能够成功验证数据包的完整性,而无效的校验和可能会导致数据包被丢弃或要求重新传输。 4)ICMP数据部分ICMP(Internet Control Message Protocol)数据部分在 ICMP 报文中扮演着重要的角色,用于携带特定类型的信息或负载数据。以下是 ICMP 数据部分的一些特点: 根据不同的 ICMP 报文类型而异:ICMP 数据部分的内容取决于具体的 ICMP 报文类型。不同类型的 ICMP 报文可能包含不同的信息或负载数据。提供有关网络状态或问题的信息:ICMP 数据部分通常用于提供有关网络状态、错误或其他相关信息的内容。例如,Echo Request 报文中的数据部分可能包含发送方发送的用于回显测试的数据;Destination Unreachable 报文可能包含有关无法到达目标的具体原因。用于识别和处理报文:数据部分有助于接收方正确解析和处理 ICMP 报文。通过检查数据部分中的内容,接收方可以确定报文的用途并采取相应的行动。长度可变:ICMP 数据部分的长度是可变的,取决于具体的 ICMP 报文类型以及所携带的信息量。有些报文可能只包含少量数据,而其他报文可能携带更多的信息。用于网络工具和故障排除:ICMP 数据部分对于网络工具和故障排除非常有用。通过分析 ICMP 数据部分中的内容,可以了解网络中发生的情况,并帮助诊断问题。 03 ICMP数据抓包 1)类型 8:回显请求(Echo Request)类型 8(Echo 请求):发送方向目标主机发送 Echo 请求报文,请求目标主机回送一个 Echo 应答报文。这种类型的 ICMP 报文通常用于检测网络连接是否正常以及计算网络延迟。 类型 0(Echo 应答):目标主机收到 Echo 请求后,会向发送方返回一个 Echo 应答报文。这种类型的 ICMP 报文是对 Echo 请求的响应。 命令请求 ping www.baidu.com第一层Frame全局信息(物理层) 给出了数据帧的全局信息,显示了包括帧长74个字节,帧到达的时间,接口的编号和帧的类型。 第二行数据帧头部信息(数据链路层) 可以看到以太帧头部包括的三个字段,目的MAC地址,源MAC地址、类型字段,类型字段取值为十六进制的0800,说明数据帧中包含的是一个IP分组。 第三行IP分组头部信息(网络层) 包括版本号4,头部长度20字节,服务类型,数据报总长度,用于分片的标志字0,分片偏移字段0,说明这是一个完整的IP数据报。没有被分片。生存周期128,表示最多允许经过128跳路由器的转发。协议字段1,说明IP分组里面封装的是一个ICMP报文,头部校验、源IP地址,目的IP地址。我们可以对照以太网IP协议规范的报文格式来检查ICMP报文该字段是符合规范的。 第四行是ICMP的协议报文 具体内容是类型8,Code:0表明这是一个 Echo (ping) request也就是一个回应请求报文,校验和字段,这三个字段是所有ICMP报文的通用首部,或称为固定首部,下面的标识字段(Identifier (BE): 1 (0x0001))和序号字段(Sequence Number (BE): 1434 (0x059a)),都是用两种不同的字节序来显示的。标识代表的是当前运行的ping进程的标识,序号字段代表ping生成的ICMP报文的编号 协议类型 8(Echo 请求)详解 这是一个回显请求(Ping请求) Type字段,标明了报文的类型, request 表示这是一个「请求」报文。Code字段,标明了报文的代码。Checksum:Status = Good,表示校验状态是良好的,报文无误 BE 和 LE 这四个字段用来对应请求和响应的关系。请求和响应中,这四个字段都是一样的,用来标识这次请求。请求与响应两个报文必须完全一致。Data:发送了多少「字节」协议类型 0(Echo 应答)详解
这是一个回显应答(Ping应答) Type字段,标明了报文的类型, reply 表示这是一个「响应」报文。Code字段,标明了报文的代码。Checksum:Status = Good,表示校验状态是良好的,报文无误BE 和 LE 这四个字段用来对应请求和响应的关系。请求和响应中,这四个字段都是一样的,用来标识这次请求。请求与响应两个报文必须完全一致。Response time:Ping命令返回的响应时间,就是从这里获取的Data:发送了多少「字节」 2)类型 13:时间戳请求(Timestamp Request)类型 13(Timestamp 请求)和类型 14(Timestamp 应答):Timestamp 请求用于请求目标主机的时间戳信息,而Timestamp 应答则是目标主机对Timestamp请求的响应,包含其自己的时间戳信息。 命令请求 在一个Linux上执行命令,192.168.10.238为我本机ip4地址: (base) [root@vm12_efficiency01_50_221 ~]# hping3 -c 1 -V -p 0 --icmp -C 13 192.168.10.238 这是关于 hping3 命令的详细解释: hping3: 这是用于发送定制化网络数据包的工具。-c 1: 表示设置发送的数据包数量为 1,即只发送一个数据包。-V: 启用冗长输出模式,可以显示更详细的信息。-p 0: 设置要发送的数据包的目的端口为 0。在 ICMP 报文中,端口号通常不适用,因此设置为 0。–icmp: 指定要发送的数据包使用 ICMP 协议。-C 13: 用于指定 ICMP 报文的类型为 13,即 Timestamp 请求。这告诉 hping3 发送一个 ICMP 类型为 Timestamp 请求的数据包。192.168.10.238: 是目标主机的 IP 地址,表示数据包将发送到该目标主机。 using eth0, addr: 192.168.50.221, MTU: 1500 HPING 192.168.10.238 (eth0 192.168.10.238): icmp mode set, 28 headers + 0 data bytes len=40 ip=192.168.10.238 ttl=127 id=41685 tos=0 iplen=40 icmp_seq=0 rtt=0.7 ms ICMP timestamp: Originate=3251593 Receive=1738092800 Transmit=1738092800 ICMP timestamp RTT tsrtt=1 --- 192.168.10.238 hping statistic --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.7/0.7/0.7 ms 以下是收到的响应结果: HPING 192.168.10.238: 表示正在使用 hping 工具向目标主机 192.168.10.238 发送 ICMP 报文。icmp mode set, 28 headers + 0 data bytes: 这表明 ICMP 模式已设置,并且发送的 ICMP 报文中包含 28 字节的头部信息。len=40 ip=192.168.10.238 ttl=127 id=41685 tos=0 iplen=40: 这是关于 ICMP 报文的一些详细信息,包括长度、IP 地址、TTL(Time to Live)等。icmp_seq=0 rtt=0.7 ms: 指示收到的 ICMP 应答中的序列号和往返时间为 0.7 毫秒。ICMP timestamp: Originate=3251593 Receive=1738092800 Transmit=1738092800: 显示了 Timestamp 请求和应答中涉及的时间戳信息。ICMP timestamp RTT tsrtt=1: 提供了有关 Timestamp 请求往返时延的信息。— 192.168.10.238 hping statistic —: 总结了发送和接收的数据包统计信息。1 packets transmitted, 1 packets received, 0% packet loss: 表示发送了 1 个数据包并成功接收了一个,没有数据包丢失。 round-trip min/avg/max = 0.7/0.7/0.7 ms: 显示了往返时间的最小、平均和最大值。 协议类型 13(Timestamp 请求)
类型 17(Address Mask 请求)和类型 18(Address Mask 应答):Address Mask 请求用于请求目标主机的子网掩码信息,以获取目标主机所使用的子网掩码。Address Mask 应答则是目标主机对Address Mask请求的响应,包含其所使用的子网掩码信息。 (base) [root@vm12_efficiency01_50_221 ~]# sudo hping3 -c 1 -M 17 192.168.10.238 HPING 192.168.10.238 (eth0 192.168.10.238): NO FLAGS are set, 40 headers + 0 data bytes len=40 ip=192.168.10.238 ttl=127 DF id=9849 sport=0 flags=RA seq=0 win=0 rtt=0.8 ms --- 192.168.10.238 hping statistic --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.8/0.8/0.8 ms 4)类型 9:路由器请求信息(Router Solicitation)一种 ICMPv6 报文类型,主机用来请求附近路由器发送路由器通告信息,以获取网络配置信息。 5)类型 10:路由器通告信息(Router Advertisement)一种 ICMPv6 报文类型,用于路由器向主机发送网络配置信息或路由信息的通告。 6)类型 3:终点不可达(Destination Unreachable)用于通知发送方数据包无法到达目的地的原因,比如网络不可达、主机不可达、协议不可达等。 Code: 具体原因,如网络不可达 (Code 0)、主机不可达 (Code 1)、协议不可达 (Code 2) 等。
我本地使用FinalShell连接上了192.168.50.221的服务器,以上是抓包信息。 7)类型 4:源点抑制(Source Quench)用于控制源主机流量,提示发送端减缓数据发送速度。 Code: 0 8)类型 11,超时(Time Exceeded)指示某个数据包生命周期中的时间已过期,可能由于 TTL(Time-To-Live)字段减至0或者片段在重新组装时耗时过长导致。 Code: TTL 为 0 (Code 0) 或片段重组时间过长 (Code 1)。 9)类型 12:参数问题(Parameter Problem)用于指示 IP 报文头部中的一个问题,例如数据包长度不正确或者选项字段格式错误。 Code: 指示头部中的具体问题,如必要选项丢失 (Code 0)、首部长度不正确 (Code 1)。 10)类型 5:改变路由(路由重定向)用于告知发送方将某个特定流量通过更优的路径发送。 Code: 通常表示重定向主机 (Code 0) 或重定向服务 (Code 1)。 04 关于ICMP报文的几个限制1.对于携带ICMP差错报文的数据报,不再产生ICMP差错报文。 如果主机A发送了一个ICMP的数据报文给主机B,数据在传输过程中经过其中一个路由器出现错误,由于该路由器已经接收到一个ICMP数据报文,所以不会再产生一个ICMP差错报文。 2.对于分片的数据报,如果不是第一个分片,则不产生ICMP差错报文 对于主机A发送了一个分片的数据,如果路由设备或主机接收到的分片数据不是第一个分片数据,不会产生ICMP差错报文。 3.对于具有多播地址的数据报,不产生ICMP差错报文 如果一个ip地址是一个广播地址的话,不会产生ICMP差错报文。 4.对于具有特殊地址如(127.0.0.0或0.0.0.0)的数据报,不产生ICMP差错报文 下面,我们通过wireshark来抓一个icmp包,如下图所示:request表示这是一个ICMP请求报文,reply表示这个是一个ICMP回答报文。 |
【本文地址】