ICMP协议和Tracert工作原理

ICMP协议

使用基于 ICMP 协议来实现的命令 ping，traceroute 来判断网络是否连通。

ICMP是 Internet Control Message Protocol 的缩写，即互联网控制消息协议。它用于 TCP/IP 网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过这些信息，使网络管理者可以对所发生的问题作出诊断，然后采取适当的措施解决问题。

虽然 ICMP 是网络层协议，但是它不像 IP 协议和 ARP 协议一样直接传递给数据链路层，而是先封装成 IP 数据包然后再传递给数据链路层。所以在 IP 数据包中如果协议类型字段的值是 1 的话，就表示 IP 数据是 ICMP 报文。IP 数据包就是靠这个协议类型字段来区分不同的数据包的。

ICMP报文格式

1、ICMP报文的前4个字节是统一的格式，共有三个字段：即类型，代码和检验和

2、ICMP所有报文的前4个字节都是一样的，但是剩下的其他字节则互不相同。其它字段都ICMP报文类型不同而不同。

3、8位类型和8位代码字段一起决定了ICMP报文的类型

Tracert工作原理：

1.首先tracert送出3个TTL是1的IP 数据包到目的地，当路径上的第一个路由器收到这个数据包时，它将TTL减1，此时TTL等于0.

2. 所以该路由器会将此数据包丢掉，并送回一个ICMP time exceeded消息（TTL超时消息），里面包括发IP包的源地址，IP包的所有内容及路由器的IP地址

3. tracert 收到这个消息后，便知道这个路由器存在于这个路径上，接着tracert 再送出另一个TTL是2 的数据包，发现第2 个路由器.....以此类推

4. 当数据包到达目的地后，该主机则不会送回ICMP time exceeded消息

5. 一旦到达目的地，由于tracert通过UDP数据包向不常见端口(30000以上)发送数据包，因此会收到「ICMP port unreachable」消息，故可判断到达目的地。

Tracert每次发送三个数据包的原因是为了避免有时候网络不稳定而造成的丢包，所以发送三个，为了保证数据包能够正常到达。

ICMP网络攻击

ICMP消息最初开发出来是为了管理IP网络，经常被网络管理员用作网络故障诊断工具。然而，如今ICMP消息被滥用，甚至被用作网络攻击。出于网络安全考虑或其他需要，需要执行一定的过滤策略让它变得安全一些。大部分ICMP需要被丢弃，也有小部分ICMP消息对于网络正常工作是很关键的，必须被允许通过。本章介绍常见的ICMP消息名及对应的消息类型和消息码，常被用作网络攻击的有哪些ICMP消息，以及如何通过ACL防止这类攻击。

ICMP Echo和Echo reply类型消息在Dos攻击中经常被用到。攻击者向目标设备长时间、连续、大量地发送ICMP echo，对方收到后会回应一个echo-reply。大量的ICMP数据包会形成“ICMP风暴”或称为“ICMP洪流”，使得目标设备耗费大量的CPU资源，疲于奔命。这种攻击被称为拒绝服务（DoS）攻击。

但这两类消息也是很重要的，例如网络管理员经常用于检测网络可达性的ping命令。Ping的原理就是ICMP Echo报文的发送和Echo reply报文的回复。因此，需要确保有限数量的这些消息通过ACL。此时，可配置ACL规则控制Echo和Echo reply消息的传播范围，并对ICMP包进行带宽限制(或限制ICMP包的数量)，控制其在一定的范围内。