互联网控制消息协议（ICMP）

互联网控制消息协议（ICMP）是一种网络层协议，被各种网络设备如路由器、网关和主机广泛使用，用于发送错误信息和操作相关的信息。由于互联网协议本身并没有内置的错误报告或纠正机制，因此ICMP作为IP协议套件中的辅助协议，能够帮助报告错误并发送诊断信息。它主要用于以下目的：

• 错误报告当数据包由于无法到达目标地址、超时或数据破碎等问题而无法到达目的地时。
• 操作型查询例如，像 ping 这样的工具中使用的回显请求和回复。

注意：如果没有ICMP协议，设备就无法向发送方报告传输失败、网络拥塞或路由错误等问题。这样一来，网络故障的排查就几乎变得不可能了。

ICMP的用途

错误报告

• 如果消息无法传递，ICMP会向发送方报告这一失败情况。
• 例如，如果某个数据包的大小超过了允许的范围，导致无法被转发，那么接收方就会丢弃该数据包，并向发送方发送一个ICMP错误消息。

网络诊断

• Traceroute用于确定数据包在路由器之间传输时所经过的路径，从而最终到达目的地。
• 平该工具会发送回音请求和回音回复消息，以测量往返时间并测试连接性。

ICMP的工作原理

• ICMP是一种无连接式的通信方式（与TCP不同），因此不需要进行握手过程。
• 消息被封装在IP数据报中，其结构包括一个IP头部，接着是ICMP头部以及数据内容。
• 当遇到诸如无法访问的主机、已过期的生存时间或路由问题等错误时，这些设备会发送ICMP数据包。

ICMP数据包格式

ICMP头部位于IPv4和IPv6数据包头部之后。在ICMP数据包的格式中，数据包的前32位包含了三个字段：

• 类型（8位）：数据包中的前8位用于标识消息的类型。这一信息有助于接收方网络了解所接收到的消息类型，从而知道该如何处理该消息。常见的消息类型包括以下几种：

类型0 – 回声回复
类型3 – 无法到达的目的地
类型5 – 重定向消息
类型8 – 回声请求
类型11——时间已耗尽
类型12——参数问题

• 代码（8位）：“Code”字段是ICMP数据包格式中的接下来的8位数据。这个字段包含了关于错误信息和错误类型的额外信息。
• 校验和（16位）：最后16位用于ICMP数据包头中的校验和字段。校验和该工具用于检查完整消息的位数，从而确保ICMP工具能够成功传输完整的数据。
• ICMP报头的接下来的32位是一个扩展头，它的作用就是指出IP消息中的问题所在。这些字节的位置是通过指针来确定的，这样，发送问题信息的设备以及接收问题的设备都可以根据指针找到问题所在的位置。
• ICMP数据包的最后一部分是数据或负载部分，其长度可以是不同的。在IPv4协议中，这部分数据的长度为576字节；而在IPv6协议中，其长度为1280字节。

DDoS攻击中的ICMP机制

In 分布式DOS攻击攻击者会向目标系统发送大量的额外流量，从而使得目标系统无法继续为用户提供服务。攻击者实施这些攻击的方式有很多，下面将会详细介绍这些方法。

“Ping of Death攻击”

• 每当攻击者发送的ping数据包的大小超过允许的最大尺寸时，这些过大的数据包就会被分割成更小的部分。
• 当发送者重新组装它时，其尺寸超出了规定的限制，这就导致了问题。缓冲区溢出这样一来，机器就会停止运转了。
• 这简单地被称为“……”。“死亡之击”攻击较新的设备具有抵御这种攻击的能力，而较旧的设备则没有这种保护功能。

2. ICMP洪水攻击

• 每当发送方发送的ping次数过多时，目标设备就无法处理这些回传请求了。
• 这种攻击方式被称为……ICMP洪水攻击这种攻击也被称为“ping洪水攻击”。
• 它会占用目标计算机的资源，从而导致目标计算机出现服务中断的情况。

3. 蓝洞攻击

• “Smurf攻击”是一种攻击方式，攻击者会发送带有伪造源IP地址的ICMP数据包来进行攻击。
• 这类攻击通常针对的是较老的设备，比如“死亡之ping”攻击。

ICMP消息的类型