ICMP

1 概述：

ICMP是为了补充TCP/IP协议中的IP层而存在的，被用来传送IP的控制信息。正常情况下，一个数据包从一个source IP传送到Dest IP，跟ICMP没什么关系。但是，当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。

ICMP允许主机或路由报告差错情况和提供有关异常情况。ICMP是因特网的标准协议，但ICMP不是高层协议，而是IP层的协议。通常ICMP报文被IP层或更高层协议（TCP或UDP）使用。一些ICMP报文把差错报文返回给用户进程。
ICMP报文作为IP层数据报的数据，加上数据报的首部，组成数据报发送出去。
ICMP报文的种类有两种，即ICMP差错报告报文和ICMP询问报文。

2 ICMP报文

ICMP报文在IP帧结构的首部协议类型字段（Protocol 8bit)的值=1.ICMP包有一个8字节长的包头，其中前4个字节是固定的格式，包含8位类型字段，8位代码字段和16位的校验和；后4个字节根据ICMP包的类型而取不同的值。

ICMP报文格式：

3，ping

（1）ping 的原理

ping 程序是用来探测主机到主机之间是否可通信，如果不能ping到某台主机，表明不能和这台主机建立连接。ping 使用的是ICMP协议，它发送icmp回送请求消息给目的主机。ICMP协议规定：目的主机必须返回ICMP回送应答消息给源主机。如果源主机在一定时间内收到应答，则认为主机可达。ICMP协议通过IP协议发送的，IP协议是一种无连接的，不可靠的数据包协议。

（2）Ping工作过程

假定主机A的IP地址是192.168.1.1，主机B的IP地址是192.168.1.2，都在同一子网内，则当你在主机A上运行“Ping 192.168.1.2”后，都发生了些什么呢?

首先，Ping命令会构建一个固定格式的ICMP请求数据包，然后由ICMP协议将这个数据包连同地址“192.168.1.2”一起交给IP层协议，IP层协议将以地址“192.168.1.2”作为目的地址，本机IP地址作为源地址，加上一些其他的控制信息，构建一个IP数据包，并在一个映射表中查找出IP地址192.168.1.2所对应的物理地址（也叫MAC地址，熟悉网卡配置的朋友不会陌生，这是数据链路层协议构建数据链路层的传输单元——帧所必需的），一并交给数据链路层。后者构建一个数据帧，目的地址是IP层传过来的物理地址，源地址则是本机的物理地址，还要附加上一些控制信息，依据以太网的介质访问规则，将它们传送出去。

其中映射表由ARP实现。ARP(Address Resolution Protocol)是地址解析协议，是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

主机B收到这个数据帧后，先检查它的目的地址，并和本机的物理地址对比，如符合，则接收；否则丢弃。接收后检查该数据帧，将IP数据包从帧中提取出来，交给本机的IP层协议。同样，IP层检查后，将有用的信息提取后交给ICMP协议，后者处理后，马上构建一个ICMP应答包，发送给主机A，其过程和主机A发送ICMP请求包到主机B一模一样。即先由IP地址，在网络层传输，然后再根据mac地址由数据链路层传送到目的主机。
（3）ping攻击

“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。

对于“Ping of Death”攻击，可以采取两种方法进行防范：

第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；

第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。

（4）ping常见作用

ping小包是测试连通性，ping大包是测试网络传输能力，联通了不等于传输性能好

ping 1500字节的包是测试整个传输路径的MTU

其他

既然说到了控制，我们就要明白它到底控制了些什么东西，咱们来看看下面这张图：



这就是ICMP能控制的东西，分成了很多类（type），而一些大类又包含了很多小的分类，这里我们使用不同的代码（code）进行区分，这也就是为什么ICMP数据包头会包含类型和代码两个字段的原因了。

通过对这些类型和代码进行分析，我们大体上可以看出ICMP的功能，其实主要还是两大类：请求和应答。

其中请求又可以细分为：简单的回显请求（ping）、时间戳请求（NTP的基础）、地址掩码请求（BOOTP）等应用，主要是为了满足不同的高层协议需求。

而应答就要丰富得多了，除了简单的回显应答外，仅针对目标不可达这一现象就存在十多种可能的原因（类型3中的代码0到代码15），除此之外，针对时间戳、地址掩码等也都有其特定的应答。这些应答信息会被高层协议（TCP、UDP或者一些特殊的用户进程）获取，并进行下一步的操作，这就是所谓的控制，也就是ICMP的灵魂。