目录
预备知识
ICMP协议概述
ICMP是Internet Control Message Protocol的缩写,即互联网控制报文协议。它是TCP/IP协议族的一个子协议,用于IP主机、路由器直接传递控制信息。控制信息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些消息虽然并不传输用户数据,但是对于用户数据的传递起着非常重要的作用。
学习ICMP的重要性
学习ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点就决定了它非常容易被用于攻击网络上的路由器和主机。例如,用户可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起Ping of Death(死亡之Ping)攻击。Ping of Death攻击的原理就是当ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,导致主机死机。
此外,向目标主机长时间、连续、大量的发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
Echo请求与响应
ICMP因为其ping功能而著名。ping是用来检测一个设备的可连接性,大部分人都会对ping很熟悉。在命令行中输入ping <ip地址>。如果目标设备在线,用户的计算机就会收到目标主机的响应,并且没有防火墙影响。
基本上来说,ping每次向一个设备发送一个数据包,并等待回复,以确定设备是否可连接。例如,当主机A向主机B发送一个Echo Ping请求包时,主机B就会向主机A发送一个Echo ping响应包。
路由跟踪
路由跟踪功能是用来识别一个设备到另一个设备的网络路径。在一个简单的网络上,这个网络路径可能只经过一个路由器,甚至一个都不经过。但在复杂的网络中,数据包可能会经过数十个路由器才会到达最终目的地。在通信过程中,出现故障时可能无法判断问题出在哪,这时候就可以通过路由跟踪功能,找出网络故障的位置。
实验目的
1)熟悉并掌握Wireshark的基本操作。
2)加深对常用网络协议的理解,提高就业机会。
3)培养学生理论联系实践的研究兴趣。
实验环境
服务器:windows系统,IP地址:10.1.1.33
测试者:windows系统,IP地址:10.1.1.142
在网络中典型使用ICMP协议的程序就是ping命令。所以,需要选择两台主机进行ping通信。在本次实验中,在测试者机器上开启Wireshark工具捕获数据包。
实验步骤一
任务描述:获取正常的ICMP数据包、请求超时的数据包、主机不可达的数据包。
首先运行命令:
netsh interface ip set address "本地连接 4" static 10.1.1.142 255.255.255.0 10.1.1.90 0
这时会断一下连接,是正常情况。
一、捕获正常的ICMP数据包
在这里,我们通过ping命令来获取,先启动Wireshark,并在Filter里输入icmp进行过滤,如下:
使用测试者机器,ping服务器的IP,如下:
以上输出的信息就是ping命令运行后的结果。在Windows操作系统中,ping默认响应4个数据包。执行完以上命令后,返回到Wireshark界面,如下:
从该界面可以很清楚的看到,现在捕获到了ICMP协议数据包。在Wireshark的状态栏中,可以看到共捕获了8个数据包。这是因为包括4个ping请求包和4个ping响应包。在Windows和Linux下执行ping命令后,只能看到响应的数据包。所以,在前面仅看到了4个数据包。
在前面介绍ICMP协议时,提到ICMP协议实际是用来判断网络的链接情况的,如网络不通、目标主机不可达、请求超时等。通过Wireshark都可以详细分析这些数据包。上面的数据包是网络正常通行情况下的数据包,下面来介绍捕获一些出错的数据包。
二、捕获请求超时和主机不可达的数据包
当网络连接性不好时,执行ping命令,通常会返回请求超时的数据包,默认情况下ping命令发出的Echo ping请求后,如果2秒内没有收到Echo ping响应的话,就会收到请求超时的数据包。下面演示捕获请求超时的数据包。
启动Wireshark,并配置过滤icmp条件,与前面相同,此时通过执行tracert命令,捕获响应超时的数据包,如下(因为实验环境无法访问互联网,这里会显示无法访问目标主机,这一步可以在自己的电脑上完成):
执行以上命令后,Wireshark将捕获到相关的数据包。在以上命令中,tracert是一个路由跟踪命令。所以,如果访问一个互联网地址(4.2.2.1),会经过好多个路由,这时候也就容易产生响应超时和主机不可达的数据包。另外需要注意
最低0.47元/天 解锁文章
2744
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
