icmp報文和ip報文分析

　　1. ICMP允許主機(jī)或路由報告差錯情況和提供有關(guān)異常情況。ICMP是因特網(wǎng)的標(biāo)準(zhǔn)協(xié)議，但I(xiàn)CMP不是高層協(xié)議，而是IP層的協(xié)議。通常ICMP報文被IP層或更高層協(xié)議（TCP或UDP）使用。一些ICMP報文把差錯報文返回給用戶進(jìn)程。

　　2. ICMP報文作為IP層數(shù)據(jù)報的數(shù)據(jù)，加上數(shù)據(jù)報的首部，組成數(shù)據(jù)報發(fā)送出去。

　　3. ICMP報文的種類有兩種，即ICMP差錯報告報文和ICMP詢問報文。

　?。蒀 M P所有報文的前4個字節(jié)都是一樣的，但是剩下的其他字節(jié)則互不相同。。

　　類型字段可以有1 5個不同的值，以描述特定類型的I C M P報文。某些I C M P報文還使用代碼字段的值來進(jìn)一步描述不同的條件。

　　表示ICMP頭部的數(shù)據(jù)結(jié)構(gòu)

　　typedefstruct icmp_hdr

　　{ unsigned char icmp_type; //消息類型

　　unsigned char icmp_code; //代碼

　　unsigned short icmp_checksum; //校驗(yàn)和

　　unsigned short icmp_id; //ID號

　　unsigned short icmp_sequence; //序列號

　　unsigned long icmp_TImestamp; //時間戳

　　} ICMP_HDR，*PICMP_HDR;

　　各種類型的I C M P報文如圖所示，不同類型由報文中的類型字段和代碼字段來共同決定。圖中的最后兩列表明I C M P報文是一份查詢報文還是一份差錯報文。因?yàn)閷 C M P差錯報文有時需要作特殊處理，因此我們需要對它們進(jìn)行區(qū)分。例如，在對I C M P差錯報文進(jìn)行響應(yīng)時，永遠(yuǎn)不會生成另一份I C M P差錯報文（如果沒有這個限制規(guī)則，可能會遇到一個差錯產(chǎn)生另一個差錯的情況，而差錯再產(chǎn)生差錯，這樣會無休止地循環(huán)下去）。

　　當(dāng)發(fā)送一份I C M P差錯報文時，報文始終包含I P的首部和產(chǎn)生I C M P差錯報文的I P數(shù)據(jù)報的前8個字節(jié)。這樣，接收I C M P差錯報文的模塊就會把它與某個特定的協(xié)議（根據(jù)I P數(shù)據(jù)報首部中的協(xié)議字段來判斷）和用戶進(jìn)程（根據(jù)包含在I P數(shù)據(jù)報前8個字節(jié)中的T C P或U D P報文首部中的T C P或U D P端口號來判斷）聯(lián)系起來。6 。 5節(jié)將舉例來說明一點(diǎn)。

　　下面各種情況都不會導(dǎo)致產(chǎn)生I C M P差錯報文：

　　1） ICMP差錯報文（但是，I C M P查詢報文可能會產(chǎn)生I C M P差錯報文）。

　　2） 目的地址是廣播地址或多播地址的I P數(shù)據(jù)報。

　　3） 作為鏈路層廣播的數(shù)據(jù)報。

　　4） 不是I P分片的第一片。

　　5） 源地址不是單個主機(jī)的數(shù)據(jù)報。這就是說，源地址不能為零地址、環(huán)回地址、廣播地

　　址或多播地址。

　　這些規(guī)則是為了防止過去允許I C M P差錯報文對廣播分組響應(yīng)所帶來的廣播風(fēng)暴。

　　下面是幾種常見的ICMP報文：

　　我們?nèi)粘Ｊ褂米疃嗟膒ing，就是響應(yīng)請求（Type=8）和應(yīng)答（Type=0），一臺主機(jī)向一個節(jié)點(diǎn)發(fā)送一個Type=8的ICMP報文，如果途中沒有異常（例如被路由器丟棄、目標(biāo)不回應(yīng)ICMP或傳輸失?。?，則目標(biāo)返回Type=0的ICMP報文，說明這臺主機(jī)存在，更詳細(xì)的tracert通過計算ICMP報文通過的節(jié)點(diǎn)來確定主機(jī)與目標(biāo)之間的網(wǎng)絡(luò)距離。

　　這三種報文的格式是一樣的，目標(biāo)不可到達(dá)報文（Type=3）在路由器或主機(jī)不能傳遞數(shù)據(jù)報時使用，例如我們要連接對方一個不存在的系統(tǒng)端口（端口號小于1024）時，將返回Type=3、Code=3的ICMP報文，它要告訴我們：“嘿，別連接了，我不在家的！”，常見的不可到達(dá)類型還有網(wǎng)絡(luò)不可到達(dá)（Code=0）、主機(jī)不可到達(dá)（Code=1）、協(xié)議不可到達(dá)（Code=2）等。源抑制則充當(dāng)一個控制流量的角色，它通知主機(jī)減少數(shù)據(jù)報流量，由于ICMP沒有恢復(fù)傳輸?shù)膱笪?，所以只要停止該報文，主機(jī)就會逐漸恢復(fù)傳輸速率。最后，無連接方式網(wǎng)絡(luò)的問題就是數(shù)據(jù)報會丟失，或者長時間在網(wǎng)絡(luò)游蕩而找不到目標(biāo)，或者擁塞導(dǎo)致主機(jī)在規(guī)定時間內(nèi)無法重組數(shù)據(jù)報分段，這時就要觸發(fā)ICMP超時報文的產(chǎn)生。超時報文的代碼域有兩種取值：Code=0表示傳輸超時，Code=1表示重組分段超時。

　　時間戳請求報文（Type=13）和時間戳應(yīng)答報文（Type=14）用于測試兩臺主機(jī)之間數(shù)據(jù)報來回一次的傳輸時間。傳輸時，主機(jī)填充原始時間戳，接收方收到請求后填充接收時間戳后以Type=14的報文格式返回，發(fā)送方計算這個時間差。一些系統(tǒng)不響應(yīng)這種報文。

　　ICMP協(xié)議提供的診斷報文類型如表1所示。