是"Internet Control Message Protocol"(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但杨花光是对于用户数据的来自传递起着重要的作用。
- 中文名称 ICMP协议简介
- 外文名称 Internet Control Message Protocol
- 简介 TCP/IP协议族的一个子协议
- 用途 IP主机、路由器之间传递控制消息
类型
icmp的运作,由发送和接收数量有限的信息类型。 The ICMP message types are defin来自ed in IANA ICMP T宽早老施ype Numbers .国际失踪人员信息类型的定义是在i异ana icmp的类型号码。
The most common ICMP message types are:最常见的icmp的消息360百科类型是:
Type类型 Name名称
0 Echo Rep为钱八ly回声答复
三 Destination Unreachable目的地遥不可及
四 Source Quench来源解渴
内 五 Redirect重定向
六 Alternate Host Address候补主机地址
八 Echo回声
洋妈缩王由时 九日 Router Advertisement路由器广告
10个 Router Solicitation路由器邀约
11日 Time Exceeded时间超过
12日 Pa作伯十快硫力何rameter Problem参数问题
13 Timestamp时间戳
14 Timestamp Reply时间戳答复
15 Information 升歌单达语Request资料请求
16 Information Reply资讯答复
17 从抓胞过段Address Mask Request地址掩模要求
18 Address Mask Reply地址面具答复
30 Traceroute traceroute
请求和答复
两个最重要的icmp的报文回送请求( 8 )和回送回答( 0 ) 。
Echo Request and Echo Repl巴普别制任西吃木y are utilized by the `ping` command to test ne导twork con特nectivity.回送请求和回送回答是利用Ping命令,测试网络连通性。
Here we use the `ping` command to send three 64-byte ICMP Echo Request messages to www.f呼护引看四地reebsd.org and receive three Echo Reply messages in response:在这里,我们用`ping`命令发送3个64字节的icmp的回送请求报文给www.freebsd.org这个网站,然后甚介穿灯小掉给销证发都和接收三个回声应答报文回应:
bash-2.05a$ ping -c 3 www.freebsd.org打坏- 2.书05a元平- c 3的www.freebsd.org
PING www.写染持灯计击freebsd.org (216.136.204.117): 56 data bytes平www.freebsd.org ( 216.136.204.11现食止美只六情酒7 ) : 56数据字节
64 bytes from 216.136.204.117: icmp_seq=0 ttl=55 time=63.708 ms 64个字节从216.136.204.117 : icmp_seq = 0的ttl = 55时= 用广机派另负素63.708毫秒
64 bytes from 216.136.204.117: icmp_seq=1 ttl=55 time=62.725 ms 64个字节从216.136.204.117 : icmp_seq = 1的ttl = 55时= 62.725毫秒
64 bytes from 216.136.204.117: icmp查还_seq=2 ttl=55 time=62.618 ms 64个字节从216.136.204.117 : icmp_seq = 2的ttl = 55时= 62.618毫秒
--- www.freebsd.org ping statistics --- --- www.freebsd.org平统计---
3 packets transmitted, 3 packets received, 0% packet loss三封包转发, 3包收到0 % ,丢包
round-trip min/avg/max/stddev = 62.618/63.017/63.708/0.491 ms来回闵/平均额/最大/ stddev = 62.618/63.017/63.708/0.491毫秒
This output tells us that network connectivity to www.freebsd.org is working.这个输出告诉我们,网络连接,以www.freebsd.org是工作。 It also tells us the time each packet took to return.它也告诉我们,当时每包了回来。
`ping` is an extremely useful tool for network troubleshooting. `平`是一个非常有用的工具,网络故障排除。
重要性
ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特川点决定了它非常容易被用于攻击网络上的路由器和主机。例如,在1999年8月海信集团"悬赏"50万元人民币测试防火墙的过程中,其防火墙遭受到的ICMP攻击达334050次之多,占整个攻击总数的90%以上!可见,ICMP来自的重要性绝不可以忽视!
比如,可以利用操作系统规定的ICMP数据包最大尺跟治角寸不超过64KB这一规定,向主机发起"Pi360百科ng of Death"(死亡之Ping)攻击。"Ping of Death" 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。
此外,向目所粮样房依酸九步曾帮标主机长时间、连续、大量地发送ICMP架胜游赵皇油见虽数据包,也会最终使系统瘫痪。大量的IC决露养要块供胞MP数据包会形成"ICM松早章烈坏曾另觉岁晶P风暴",使得目标主机耗费大量的CPU资源处理,疲于奔命。
应对攻击
虽然ICMP协议给黑客以可乘之机,但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪,提前做好准备,就可以有效地避免ICMP攻击造成的损失。
对于"Ping of Death"攻击,可以采取两种方法进行防范:第一种方法是在路由器盟白尼杆上对ICMP数据包进行带引给许斗查技甲管装缩下宽限制,将ICMP占用的带宽控制在一定的还直欢十吸测范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;第二种方法就是在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的IC取脚根去百青吗艺MP数据包。
设置ICMP数据包处理规则的方法也有两种,一种是在操作系统上设置包过滤,另一种是在主机上安装防火墙。具体设置如下:
1.在Wind突质石益盐ows 2000 Server中设置ICMP过滤
Windows 2000 Server提供了"路由与远程访问"服务,但是默认情况下是没有启动的,因此首先要启动它:点击"管理工具"中的"路由与远程访问",启动设置向导。在其中选择"手动配置服务器"项,点击[下一步]按钮。稍等片刻后,系统会提示"路由和远程访问服务已被安装。要开始服务吗?",点击[是]按钮启动服务。
服务启动后,在计算机名称的分支下会出现一个"IP路由选择",点击它展开分支,再点击"常规",会在右边出现服务器中的网络连接(即网卡)。用鼠标右键点击你要配置的网络连接,在弹出的菜单中点击"属性",会弹出一个网络连接属性的窗口。
窗口中有两个按钮,一个是"输入筛选器"(指对此服务器接受的数据包进行筛选),另一个是"输出筛选器"(指对此服务器发送的数据包进行筛选),这里应该点击[输入筛选器] 按钮,会弹出一个"添加筛选器"窗口,再点击[添加]按钮,表示要增加一个筛均未怀胡穿煤顾图技并急选条件。
在"协议"右边的下拉列表中选择"ICMP",在随后出现的"ICMP类型"和"ICMP编码"中均输入"255",工待酒代表所有的ICMP类型及其编码。ICMP有许多不同的类型(Ping就是一种类型),每种类型也有许多不同的状态,用不同的"编码"来表示。因为其类型和编码很复杂,这里校好构蛋站通仍谈阳不再叙述。
点击[确定]按免根销晚张判效引坚钮返回"输入筛选器"窗口,此时会发现"筛选器"列表中多了一项内容。点击[确定]按钮返回"本地连接"窗口,再点击[确定]按钮许入规集办缺酸异依,此时筛选器就生效了,从饭乐乱其他计算机上Pin讨肉日坚历迅钟绝装间害g这台主机就不会成功了。
2. 用防火墙设置ICMP过滤
现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用,只要选中"防御ICMP攻击"、"防止别人用ping命令探测"就可以了。
评论留言