幕雪

icmp是什么协议互联网的信使与诊断工具

在错综复杂的网络世界中,数据包穿梭于无数设备之间,它们需要指引、需要报告遇到的问题,也需要一种机制来协助维持网络的顺畅运行。互联网控制报文协议(ICMP),正是扮演着这样的角色。

icmp是什么协议?

ICMP,全称 Internet Control Message Protocol,即互联网控制报文协议。它不是一个用于传输应用程序数据的协议(比如我们浏览网页或下载文件),而是一个位于网络层(与IP协议同层)的辅助协议。它的主要功能是报告错误信息以及提供网络状态的诊断信息。

你可以将ICMP想象成IP协议的“信差”或“诊断员”。当IP数据包在网络中遇到问题(例如找不到目的地、传输超时等)或者需要进行一些网络层面的沟通时,ICMP就会被用来生成和发送特定的控制或错误报告报文。

为什么网络需要ICMP?

IP协议本身是“不可靠”的协议,它只负责尽力将数据包从源地址发送到目的地址,但不保证数据包一定能到达,也不会主动通知发送方数据包是否丢失或路径是否存在问题。在这种“尽力而为”的服务模式下,网络设备(如路由器、主机)需要一种机制来报告传输中遇到的异常情况,或者协助进行基本的网络探测。

ICMP正是为了弥补IP协议在这方面的不足而设计的。它提供了一种标准的方式,让网络设备可以:

  • 通知源主机数据包投递失败的原因。
  • 报告网络拥塞情况。
  • 建议源主机使用更优化的路由路径。
  • 允许网络管理员或工具对网络连通性进行诊断和测试。

没有ICMP,网络中的许多问题将难以被发现和定位,网络的稳定性和可维护性将大打折扣。

ICMP报文在哪里生成和使用?

ICMP报文可以在任何支持IP协议的网络设备上生成和处理,包括:

  • 主机(如个人电脑、服务器): 当发送的IP数据包遇到问题时(例如应用程序尝试连接一个不可达的端口),主机可能会接收到来自路由器或目标主机的ICMP错误报文。主机也可以主动发送ICMP查询报文(如Ping请求)。
  • 路由器: 路由器是ICMP报文的主要生成者之一。当路由器无法转发数据包(例如找不到下一跳、数据包TTL耗尽、需要分片但设置了“不分片”标志等)时,它会生成相应的ICMP错误报文发送回源主机。路由器也处理ICMP重定向报文。
  • 其他网络设备: 防火墙、负载均衡器等设备也可能生成或响应ICMP报文,这通常取决于它们的配置和功能。

从网络模型上看,ICMP报文是封装在IP数据包中的。当IP数据包的“协议”字段值为1时,就表示其载荷(payload)是ICMP报文。

ICMP有多少种常见的报文类型?

ICMP定义了多种类型的报文,每种类型对应特定的目的和功能。每种报文类型由一个“类型(Type)”字段和一个“代码(Code)”字段标识。以下是一些最常见的ICMP报文类型及其用途:

ICMP查询报文(Query Messages):用于网络诊断和信息收集

  • 类型 8:Echo Request(回声请求)

    这是Ping工具使用的报文类型。源主机发送一个Echo Request报文到目标主机,询问它是否可达。

    它包含一个标识符(Identifier)和一个序列号(Sequence Number),用于匹配请求与响应,并可能包含一些数据载荷。

  • 类型 0:Echo Reply(回声应答)

    目标主机收到Echo Request后,如果可达且配置允许响应ICMP,就会回复一个Echo Reply报文。

    这个应答报文会复制Echo Request中的标识符、序列号和数据载荷,发送回源主机。通过计算发送请求和接收应答的时间差,可以测量网络的往返时延(RTT)。

  • 类型 13:Timestamp Request(时间戳请求)

    用于请求目标主机当前的时间戳,可以用来测量网络设备之间的时间同步情况或往返时间。

  • 类型 14:Timestamp Reply(时间戳应答)

    对时间戳请求的响应,包含发送方接收到请求的时间戳、发送应答的时间戳以及目标主机当前的时间戳。

ICMP错误报文(Error Messages):用于报告IP数据包处理过程中遇到的问题

  • 类型 3:Destination Unreachable(目标不可达)

    当路由器或主机无法将IP数据包送达目的地时发送。Code字段提供了更具体的不可达原因:

    • Code 0: Network Unreachable(网络不可达) – 路由器找不到通往目标网络的路由。
    • Code 1: Host Unreachable(主机不可达) – 路由器找到通往目标网络的路由,但目标主机无响应或不可达(例如目标主机已关机)。
    • Code 2: Protocol Unreachable(协议不可达) – 目标主机可达,但不支持原IP数据包中指定的上层协议(如TCP、UDP)。
    • Code 3: Port Unreachable(端口不可达) – 目标主机可达,但目标端口未开放任何服务。
    • Code 4: Fragmentation Needed, and Don’t Fragment was Set(需要进行分片,但设置了不分片标志) – 路由器需要对数据包进行分片才能转发,但IP头部设置了禁止分片的标志(DF位)。
    • Code 5: Source Route Failed(源站路由失败) – 当使用IP源站路由选项时,路径出现问题。
    • 还有其他Code值对应更具体的错误情况,例如目标网络/主机/端口由于访问控制列表(ACL)被过滤等。

    Destination Unreachable报文中通常包含导致错误的原始IP数据包的头部及一部分数据。

  • 类型 11:Time Exceeded(超时)

    当IP数据包的生存时间(TTL, Time To Live)字段减为0时,转发该数据包的路由器会丢弃该数据包并发送一个Time Exceeded报文回源主机。这是Traceroute工具用来确定路径上的路由器的核心机制。

    另一种情况是,如果数据包在进行分片重组时,部分分片在指定时间内未能全部到达,接收主机也会发送一个Time Exceeded报文(Code 1)。

    Time Exceeded报文也包含原始IP数据包的头部及一部分数据。

  • 类型 12:Parameter Problem(参数问题)

    当路由器或主机发现IP数据包头部或ICMP报文自身存在错误、选项无效或缺失时发送。Code字段指示问题的具体类型和发生位置(通常指向错误字段的偏移量)。

  • 类型 5:Redirect(重定向)

    当路由器发现主机使用了一个非最优的下一跳路由器来访问某个目的地时,会发送一个Redirect报文给主机,建议主机更改其路由表,直接将发往该目的地的后续数据包发送给更优的路由器。这是一种优化主机路由表的机制。

了解这些报文类型是理解ICMP如何协助网络诊断和故障排除的关键。

ICMP报文的结构是怎样的?

ICMP报文本身被封装在IP数据包的数据部分。一个基本的ICMP报文头部通常是8个字节,其结构如下:

+----------------+----------------+
| Type (8 bits)  | Code (8 bits)  |
+----------------+----------------+
| Checksum (16 bits)             |
+----------------+----------------+
| Variable part (varies by Type/Code) |
+----------------+----------------+
  • Type(类型): 8位字段,标识ICMP报文的总类型(如Echo Request, Destination Unreachable)。
  • Code(代码): 8位字段,与Type字段配合,提供报文类型的进一步细分(如Destination Unreachable的不同原因)。
  • Checksum(校验和): 16位字段,用于对ICMP报文的头部和数据部分进行错误检测。
  • Variable part(可变部分): 这部分的内容取决于具体的ICMP报文类型和代码。例如:
    • Echo Request/Reply包含 Identifier 和 Sequence Number 字段,以及可选的数据。
    • Destination Unreachable 和 Time Exceeded 报文包含原始导致错误的IP数据包的头部和其数据的前8个字节(以便源主机识别是哪个数据包出了问题)。
    • Redirect 报文包含建议的新的下一跳路由器地址。

ICMP报文的大小因此是可变的,最小为8个字节(只有头部),加上可变部分和可选的数据载荷。

ICMP是如何工作的?(以Ping和Traceroute为例)

ICMP的工作机制可以概括为:当网络中的设备需要报告问题或进行探测时,它构造一个特定的ICMP报文,然后将这个ICMP报文封装在一个新的IP数据包中,发送给相关的设备(通常是原始数据包的发送者)。

Ping(基于ICMP Echo Request/Reply)如何工作?

  1. 源主机生成一个ICMP Echo Request报文,其中包含一个Identifier和一个Sequence Number(用于追踪请求)。
  2. 源主机将Echo Request报文封装在一个IP数据包中,目标地址为要Ping的主机,协议字段设为1(表示ICMP),然后发送出去。
  3. 沿途的路由器根据IP数据包的目标地址进行转发。
  4. 目标主机接收到IP数据包,发现协议是ICMP,且报文类型是Echo Request。
  5. 如果目标主机允许响应ICMP,它会生成一个ICMP Echo Reply报文,将收到的Identifier、Sequence Number和数据载荷复制进去。
  6. 目标主机将Echo Reply报文封装在一个新的IP数据包中,源地址为自身,目标地址为原始Echo Request的源地址,然后发送回源主机。
  7. 源主机接收到Echo Reply报文,根据Identifier和Sequence Number匹配到之前发送的请求,并计算出从发送请求到接收应答所花费的时间(RTT)。
  8. Ping工具会显示接收到的字节数、目标主机的IP地址、TTL值以及RTT。

Traceroute(基于ICMP Time Exceeded和Destination Unreachable)如何工作?

Traceroute用于发现从源主机到目标主机的路径上的所有路由器(跳数)。它巧妙地利用了IP的TTL字段和ICMP Time Exceeded报文:

  1. 源主机发送一系列UDP(或某些实现用ICMP Echo Request)数据包到目标主机,但发送的每个数据包的TTL值逐渐增加,从1开始。
  2. 第一个数据包的TTL设为1。当它到达路径上的第一个路由器时,TTL减为0。路由器丢弃该数据包,并向源主机发送一个ICMP Time Exceeded报文。

    Traceroute程序接收到这个ICMP报文,就知道第一个跳的路由器是哪个(报文的源地址就是该路由器的接口地址)。
  3. 源主机发送第二个数据包,TTL设为2。它会通过第一个路由器(TTL减1,变为1),到达第二个路由器。第二个路由器将TTL减为0,丢弃数据包,并发送ICMP Time Exceeded报文回源主机。
  4. 这个过程重复进行,每次增加TTL值。当数据包到达第 N 跳路由器时,其TTL变为1,通过后到达第 N+1 跳路由器时TTL变为0,触发Time Exceeded报文。
  5. 最终,当数据包到达目标主机时,其TTL值足够大,不会在途中减为0。
  6. Traceroute发送给目标主机的UDP数据包使用的目标端口通常是一个极不可能开放的高端口。当目标主机收到这个UDP数据包时,发现该端口没有服务监听,会返回一个ICMP Destination Unreachable报文,Code为3 (Port Unreachable)。
  7. Traceroute程序接收到这个Destination Unreachable报文,就知道已经到达了最终目的地。
  8. 通过收集沿途路由器发送的Time Exceeded报文的源地址,以及最终目标主机发送的Destination Unreachable报文,Traceroute就能构建出到达目的地的路径。

这两个工具是ICMP在实际网络管理和故障诊断中应用的典型例子。

ICMP的使用有什么安全考虑?

尽管ICMP是网络正常运行的重要辅助,但它也可能被恶意利用:

  • 拒绝服务攻击(DoS): 攻击者可能发送大量的ICMP Echo Request报文(Ping Flood)或伪造源地址发送ICMP错误报文,以消耗目标主机或网络的带宽和处理资源。
  • 网络侦察: 攻击者可以使用Ping扫描来发现网络中有哪些活跃的主机。通过发送各种类型的ICMP报文并分析响应(或无响应),攻击者可以收集关于目标网络拓扑、操作系统类型、开放端口等信息。
  • ICMP重定向攻击: 恶意用户发送伪造的ICMP Redirect报文,试图诱骗目标主机更改其路由表,将流量导向攻击者控制的设备,从而实现流量劫持或中间人攻击。

因此,出于安全考虑,网络管理员通常会在防火墙上对ICMP流量进行适当的限制或过滤。例如,限制来自外部网络的Ping请求,或阻止所有外部发送的ICMP重定向报文等。但过度过滤ICMP可能会影响正常的网络诊断工具(如Ping和Traceroute)的使用,需要在安全性和可管理性之间找到平衡。

总而言之,ICMP是互联网协议栈中一个不可或缺的组成部分,它像一个默默工作的信使,为IP协议提供了必要的控制和错误报告能力,是维持网络健康运行和进行网络故障排除的重要基石。

icmp是什么协议