📖 网际控制报文协议 ICMP(网际控制报文协议)
🎯 课程摘要:ICMP(网际控制报文协议) 是 TCP/IP 体系结构网际层使用的协议,用于主机或路由器发送差错报告报文和询问报文,ICMP 报文被封装在 IP 数据报中发送。典型应用包括 Ping(分组网间探测) 和 Traceroute(跟踪路由)。
📝 详细笔记
1. ICMP(网际控制报文协议) 概述
- 目的:为了更有效地转发 IP 数据报,以及提高 IP 数据报交付成功的机会。
- 所属层次:TCP/IP 体系结构的网际层。
- 使用主体:主机或路由器使用 ICMP 来发送差错报告报文和询问报文。
- 封装方式:ICMP 报文被封装在 IP 数据报中发送,作为 IP 数据报的数据载荷;IP 协议为其添加一个 IP 首部,使之成为 IP 数据报。
2. ICMP(网际控制报文协议) 报文类型
ICMP 报文分为两大类:
| 类别 | 作用 |
|---|---|
| 差错报告报文 | 向主机或路由器报告差错情况 |
| 询问报文 | 向主机或路由器询问情况 |
3. ICMP 差错报告报文(五种)
| 类型 | 触发条件 | 典型场景 |
|---|---|---|
| 终点不可达 | 路由器或主机不能交付 IP 数据报 | 路由表中无匹配条目,只能丢弃并向源点发送 |
| 源点抑制 | 路由器或主机因拥塞丢弃 IP 数据报 | 让源点知道应把 IP 数据报的发送速率放慢 |
| 时间超过 | TTL 减一后为 0;或终点未在规定时间内收到全部分片 | 路由器丢弃 TTL 归零的数据报;终点丢弃已收分片 |
| 参数问题 | 路由器或目的主机发现 IP 首部字段值不正确 | 首部缺少必需字段或字段值超出合法范围 |
| 改变路由 | 路由器发现主机应使用更好的路由 | 告诉主机下次将数据报发送给另外的路由器 |
终点不可达的细分:可根据 ICMP 代码字段细分为 13 种,包括目的网络不可达、目的主机不可达、目的协议不可达、目的端口不可达、目的网络未知、目的主机未知等。
⚠️ 不发送 ICMP 差错报告报文的情况:
| 不发送情形 | 说明 |
|---|---|
| 对 ICMP 差错报告报文 | 不再发送 ICMP 差错报告报文 |
| 对第一个分片的后续数据报片 | 所有后续数据报片都不发送 |
| 对具有多播地址的 IP 数据报 | 不发送 |
| 对具有特殊地址的 IP 数据报 | 如 127.0.0.0 或 0.0.0.0,不发送 |
4. ICMP 询问报文(两种)
| 类型 | 作用 | 用途 |
|---|---|---|
| 回送请求和回答报文 | 主机或路由器向特定目的主机或路由器发出,收到者必须回送 ICMP 回送回答报文 | 测试目的站是否可达及了解其有关状态 |
| 时间戳请求和回答报文 | 请求某个主机或路由器回答当前的日期和时间 | 时钟同步和测量时间 |
- 时间戳字段:ICMP 时间戳回答报文中有一个 32 比特的字段,其中写入的整数代表从 1900 年 1 月 1 日起到当前时刻一共有多少秒。
5. ICMP(网际控制报文协议) 典型应用一:Ping
- 名称:分组网间探测 PING(Packet InterNet Groper),用来测试主机或路由器之间的连通性。
- 层次特点:该应用是 TCP/IP 体系结构应用层直接使用网际层 ICMP 的一个例子,不使用运输层的 TCP 或 UDP。
- 使用报文:回送请求和回答报文。
- 测试过程:Windows 系统下主机总共发送 4 个 ICMP 回送请求报文,并成功收到相应的 4 个 ICMP 回送回答报文。
- 往返时间:由于往返的 ICMP 报文上都带有时间戳,因此容易得出往返时间 RTT。
- ⚠️ 注意:有的主机或服务器为了防止恶意攻击,并不会理睬外界发来的这种报文。
6. ICMP(网际控制报文协议) 典型应用二:Traceroute
- 功能:跟踪路由应用 Traceroute,用于探测 IP 数据报从源主机到达目的主机要经过哪些路由器。
- 不同操作系统差异:
| 操作系统 | 命令 | 运输层 | 网络层 ICMP 报文类型 |
|---|---|---|---|
| UNIX 版本 | traceroute | 使用 UDP 协议 | 仅使用差错报告报文 |
| Windows 版本 | tracert | 不使用运输层(应用层直接使用网际层 ICMP) | 回送请求和回答报文 + 差错报告报文 |
- 测试细节:图中每一行有三个时间,针对路径中的每一个路由器要进行三次测试。
- 星号含义:表示在超时时间内没有收到路由器发来的响应报文。原因包括路由器对差错采取策略性报告(例如 10 个同样的差错只报告 1 个,以防恶意攻击)。
7. Windows 版 tracert 工作原理
以主机 H1 探测到达主机 H2 的路径为例(经过路由器 R1、R2):
- 原理要点:通过逐次递增 TTL(从 1 开始),利用中间路由器返回的"时间超过"差错报告报文逐跳发现路径上的路由器,直到目的主机返回"回送回答"报文为止。
💡 核心总结
- ICMP(网际控制报文协议) = 网际层 + 封装在 IP 数据报中 + 差错报告 + 询问。
- 五种差错报告:终点不可达、源点抑制、时间超过、参数问题、改变路由。
- 两种询问报文:回送请求/回答、时间戳请求/回答。
- Ping 应用层直接用 ICMP,不用运输层;Traceroute 利用 TTL 递增 + ICMP 时间超过/回送回答 实现逐跳探测。
- 四种情况下不发送 ICMP 差错报告报文。
❓ 课后思考 / 经典考题
- (408 真题) 关于 ICMP 差错报告报文不发送的情形判断。(答案:C)
- ICMP(网际控制报文协议) 报文被封装在什么之中发送?它属于 TCP/IP 体系结构的哪一层?
- 列举 ICMP 差错报告报文的五种类型,并分别说明触发条件。
- 哪些情况下不发送 ICMP 差错报告报文?为什么?
- 简述 Windows 版 tracert 命令利用 ICMP 实现跟踪路由的工作原理。它与 UNIX 版本的实现机制有何不同?
- Ping 应用为何说"直接使用网际层 ICMP"?它是否使用了运输层协议?