Nmap-基于ICMP协议的活跃主机发现技术

2021-8-24

ICMP协议解析

ICMP协议也位于TCP/IP协议族中的网络层，它的目的是在IP主机、路由器之间传递控制消息。没有任何系统是完美的，互联网也一样。互联网也经常会出现各种错误，为了发现和处理这些错误，ICMP（Internet Control Message Protocol，互联网控制报文协议）应运而生。

ICMP的报文可以分成两类：差错和查询。查询报文是用一对请求和应答定义的。也就是说，主机A为了获得一些信息，可以向主机B发送ICMP数据包，主机B在收到这个数据包之后，会给出应答。这一点正好符合我们进行活跃主机扫描的要求。所以这里的ICMP活跃主机发现技术使用的就是查询报文。

ICMP中适合使用的查询报文类型

响应请求和应答

用来测试发送与接收两端链路及目标主机TCP/IP协议是否正常，只要收到就是正常。我们日常使用最多的是ping命令，利用响应请求和应答，主机A向一个主机B发送一个ICMP报文，如果途中没有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则主机B返回ICMP报文，说明主机B处于活跃主机
这主要是由于ping工具在过去被滥用了，因此很多用于防护主机的防火墙设备都隔绝ICMP数据包通过。这样就造成了明明可以和一台设备通信，但是ping的结果却始终显示为得不到响应。使用Nmap的选项-PE就可以实现ICMP协议的主机发现。这个过程实质上和ping是一样的。

Nmap测试

这个过程很简单，以发送和接收到的数据包来查看一下。这个过程是Nmap（192.168.43.38）向目标（192.168.43.178）发送了一个ICMP echo请求的数据包，注意结果中Type字段的值为8。
如果对方主机在线，而且没有防火墙隔离通信，将会收到目标主机发回的如下格式的ICMP echo响应数据包，注意其中的Type字段的值为0

时间戳请求和应答

ICMP时间戳请求允许系统向另一个系统查询当前的时间。返回的建议值是自午夜开始计算的毫秒数，即协调世界时（Coordinated Universal Time, UTC）（早期的参考手册认为UTC是格林尼治时间）。如果想知道B主机是否在线，还可以向B主机发送一个ICMP时间戳请求，如果得到应答的话就可以视为B主机在线。当然，其实数据包内容并不重要，重要的是是否收到了回应。

Nmap测试：

此时发送的数据包与之前的基本相似，只是Type字段的值换成了13（时间戳请求）。
目标主机在获得这个数据包之后，会给出一个Type字段值为14的响应数据包。

地址掩码请求和应答

ICMP地址掩码请求由源主机发送，用于无盘系统在引导过程中获取自己的子网掩码。这里很多人可能会觉得我们的系统大多数时候都不是无盘系统，是不是这个技术就没有用了呢？虽然RFC规定，除非系统是地址掩码的授权代理，否则它不能发送地址掩码应答（为了成为授权代理，它必须进行特殊配置，以发送这些应答）。但是，大多数主机在收到请求时都发送一个应答。如果想知道B主机是否在线，还可以向B主机发送一个ICMP掩码地址请求，如果得到应答的话就可以视为B主机在线。

Nmap测试：
使用Nmap的选项-PM可以实现ICMP协议的地址掩码主机发现。

此时发送的数据包与之前的基本相似，只是Type字段的值换成了17（地址掩码请求）。

虽然这个协议主要使用在无盘系统中，但是也有一些系统在收到这个请求后会发送一个应答。需要注意的是，这种方法在实际中很少使用。ICMP协议中包含了很多种方法，但是这些基于ICMP协议的扫描方式往往也是安全机制防御的重点，因此经常得不到准确的结果。