目录
- 一、ICMP协议
- 二、利用Wireshark分析ICMP数据包
- 1.询问报文:回送请求或回答
- 2.差错报告报文:时间超过
- 3.差错报告报文:终点不可达
- 三、ICMP应用举例:PING和traceroute
- 1.PING
- 2.traceroute
一、ICMP协议
为了更有效地转发IP数据报和提高交付成功的机会,在网际层使用了ICMP(Internet Control Message Protocol),网际控制报文协议。ICMP报文装在IP数据报中,属于IP层的协议。ICMP报文作为IP层的数据报的数据,加上数据报的首部,组成IP数据报发送出去。
ICMP报文的种类分为两种:ICMP差错报告报文和ICMP询问报文。
ICMP报文种类 | 类型的值 | ICMP报文的类型 |
差错报告报文 | 3 | 终点不可达 |
差错报告报文 | 11 | 时间超过 |
差错报告报文 | 12 | 参数问题 |
差错报告报文 | 5 | 改变路由(Redirect) |
询问报文 | 8或0 | 回送(Echo)请求或回答 |
询问报文 | 13或14 | 时间戳(Timestamp)请求或回答 |
所有的ICMP差错报告报文中的数据字段都具有相同的格式。把收到的需要进行差错报告的IP数据报的首部和IP数据报数据字段的前8个字节(为了得到运输层的端口号及报文的发送序号)提取出来,作为ICMP报文结构的数据字段。再加上相应的ICMP差错报告报文的前8个字节,就构成了ICMP差错报告报文。
二、利用Wireshark分析ICMP数据包
通过ping测试主机(192.168.43.83)与同网段其他主机(192.168.43.1)的连通性,利用Wireshark捕获并分析此过程中的数据包。此过程中出现了三种类型的ICMP报文,分别是:询问报文中的回送请求和回答、差错报告报文中的时间超过、差错报告报文中的终点不可达。
1.询问报文:回送请求或回答
ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出来的询问。收到此报文的主机必须给源主机或路由器发送ICMP回送回答报文。这种询问报文用来测试目的站是否可以到达以及了解相关状态。
请求报文:
回答报文:
2.差错报告报文:时间超过
当路由器收到生存时间为0的数据报时,除丢弃该数据报外,还要向源点发送时间超过报文;当终点在预先规定的时间内不能收到一个数据报的全部数据报片时,就把已收到的数据报片都丢弃,并向源点发送时间超过报文。
3.差错报告报文:终点不可达
当路由器或主机不能交付数据报时,就向源点发送终点不可达报文。
三、ICMP应用举例:PING和traceroute
1.PING
分组网间探测PING(Packet InterNet Groper),用来测试两台主机之间的连通性。PING使用了ICMP回送请求与回送回答报文。PING是应用层直接使用网络层ICMP的一个例子,它没有通过运输层的TCP或UDP。
2.traceroute
traceroute(Windows中的命令是tracert)用来跟踪一个分组从源点到终点的路径。Traceroute从源主机向目的主机发送一连串的IP数据报,数据报中封装的是无法交付的UDP用户数据报。
