icmp协议头部格式(icmp报文头部格式)

基础：先看下ICMP的数据结构。 // ICMP header typedef struct _tagX_icmphdr{unsigned char i_type; //类型unsigned char i_code; //代码unsigned short i_cksum;//检验和unsigned short i_id;//标识符unsigned short i_seq; //序列号unsigned long i_timestamp;//当前时间=(unsigned long)::GetTickCount();}XIcmpHeader; 各种ICMP报文的前32bits都是三个长度固定的字段：type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位)8bits类型和8bits代码字段：一起决定了ICMP报文的类型。常见的有：类型8、代码0：回射请求。类型0、代码0：回射应答。类型11、代码0：超时。16bits校验和字段：包括数据在内的整个ICMP数据包的校验和，其计算方法和IP头部校验和的计算方法是一样的。下图是一张ICMP回射请求和应答报文头部格式 对于ICMP回射请求和应答报文来说，接下来是16bits标识符字段：用于标识本ICMP进程。最后是16bits序列号字段：用于判断回射应答数据报。 ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面一个ICMP报文包括IP头部（20字节）、ICMP头部（8字节）和ICMP报文IP头部的Protocol值为1就说明这是一个ICMP报文ICMP头部中的类型（Type）域用于说明ICMP报文的作用及格式此外还有代码（Code）域用于详细说明某种ICMP报文的类型所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式，具体如下：类型代码 类型描述0 响应应答（ECHO-REPLY）3 不可到达4 源抑制5 重定向8 响应请求（ECHO-REQUEST）11 超时12 参数失灵13 时间戳请求14 时间戳应答15 信息请求（*已作废）16 信息应答（*已作废）17 地址掩码请求18 地址掩码应答其中代码为15、16的信息报文已经作废。下面是几种常见的ICMP报文：1.响应请求我们日常使用最多的ping，就是响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。2.目标不可到达、源抑制和超时报文这三种报文的格式是一样的，目标不可到达报文（Type=3）在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口（端口号小于1024）时，将返回Type=3、Code=3的ICMP报文，它要告诉我们：“嘿，别连接了，我不在家的！”，常见的不可到达类型还有网络不可到达（Code=0）、主机不可到达（Code=1）、协议不可到达（Code=2）等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超时，Code=1表示重组分段超时。3.时间戳时间戳请求报文（Type=13）和时间戳应答报文（Type=14）用于测试两台主机之间数据报来回一次的传输时间。传输时，主机填充原始时间戳，接收方收到请求后填充接收时间戳后以Type=14的报文格式返回，发送方计算这个时间差。一些系统不响应这种报文。--------------------------------种类-------------------------------------ICMP报文格式ICMP虽然是网络层的协议，但要将ICMP报文放入IP中发送。ICMP报文的公共头标由1字节的类型（type）、1字节的代码（code）和2字节的校验和（checksum）组成。类型域和代码域用来标识各种ICMP报文。类型域表示ICMP报文的类型，目前已定义了14种，从类型值来看ICMP报文可分为二大类。第1 类是取值为1~127的差错报文，第2类是取值128以上的是信息（informational）报文。1不能到达信宿（Destination Unreachable）差错报文2分组过大（Packet Too Big）差错报文3超时（Time Exceeded）差错报文4参数问题（Parameter Problem）差错报文128返回请求（Echo Request）报文129返回应答（Echo Reply）报文130组成员查询（Group Membership Query）131组成员报告（Group Membership Report）132组成员结束（Group Membership Termination）133路由器请求（Router Solicitation）134路由器公告（Router Advertisement）135邻机请求（Neighbor Solicitation）136邻机公告（Neighbor Advertisement）137 重定向（Redirect）1 引题这里提出一个概念：什么是主机扫描？主机扫描顾名思义就是扫描网络中存在的主机。那怎么扫描特定的主机是否存在呢？答案就是通过发送ICMP协议包来确定。那什么是ICMP包呢？我打个不恰当的比方，ICMP包就好比邮局的快递，你要扫描一个主机是否存在，就向这个主机的地址（IP）发一个快递，不管是否投递成功，邮局都会通知你。那么你就知道该网络地址是否存在了。那么邮局的回单，我要如何分析才能知道对方的信息呢？那么我们就要来分析ICMP这个‘快递’包的投送回单。具体的结构解释我就不多说了，网上很多，可以自己查阅在Linux中ICMP数据结构()定义如下： DE>struct icmp{u_int8_t icmp_type; /* type of message, see below */u_int8_t icmp_code; /* type sub code */u_int16_t icmp_cksum; /* ones complement checksum of struct */union{u_char ih_pptr; /* ICMP_PARAMPROB */struct in_addr ih_gwaddr; /* gateway address */struct ih_idseq /* echo datagram */{u_int16_t icd_id;u_int16_t icd_seq;} ih_idseq;u_int32_t ih_void;/* ICMP_UNREACH_NEEDFRAG -- Path MTU Discovery (RFC1191) */struct ih_pmtu{u_int16_t ipm_void;u_int16_t ipm_nextmtu;} ih_pmtu;struct ih_rtradv{u_int8_t irt_num_addrs;u_int8_t irt_wpa;u_int16_t irt_lifetime;} ih_rtradv;} icmp_hun;#define icmp_pptr icmp_hun.ih_pptr#define icmp_gwaddr icmp_hun.ih_gwaddr#define icmp_id icmp_hun.ih_idseq.icd_id#define icmp_seq icmp_hun.ih_idseq.icd_seq#define icmp_void icmp_hun.ih_void#define icmp_pmvoid icmp_hun.ih_pmtu.ipm_void#define icmp_nextmtu icmp_hun.ih_pmtu.ipm_nextmtu#define icmp_num_addrs icmp_hun.ih_rtradv.irt_num_addrs#define icmp_wpa icmp_hun.ih_rtradv.irt_wpa#define icmp_lifetime icmp_hun.ih_rtradv.irt_lifetimeunion{struct{u_int32_t its_otime;u_int32_t its_rtime;u_int32_t its_ttime;} id_ts;struct{struct ip idi_ip;/* options and then 64 bits of data */} id_ip;struct icmp_ra_addr id_radv;u_int32_t id_mask;u_int8_t id_data[1];} icmp_dun;#define icmp_otime icmp_dun.id_ts.its_otime#define icmp_rtime icmp_dun.id_ts.its_rtime#define icmp_ttime icmp_dun.id_ts.its_ttime#define icmp_ip icmp_dun.id_ip.idi_ip#define icmp_radv icmp_dun.id_radv#define icmp_mask icmp_dun.id_mask#define icmp_data icmp_dun.id_data};DE>那么现在的问题我们怎么自己组装ICMP包，也就是我们的包裹呢？答案在下面voidmake_icmp_packet(struct icmp *icmp,int len,int n){memset((char *)icmp,0,len);gettimeofday((struct timeval*)(icmp->icmp_data),(struct timezone*)0 );//生成ICMP报头icmp->icmp_type=ICMP_ECHO;icmp->icmp_code=0;icmp->icmp_id=getpid();icmp->icmp_seq=n;//icmp->icmp_cksum=0;//进行检查和，要或不要均可icmp->icmp_cksum=checksum((u_short*)icmp,len);}这里有一个校验和的程序，我在网上down了一个，大家就这么用好了u_short checksum(u_short *data,int len){u_long sum=0;for(;len>1;len-=2){sum+=*data++;if(sum & 0x80000000)sum=(sum & 0xffff)+(sum>>16);}if(len==1){u_short i=0;*(u_char*)(&i)=*(u_char*)data;sum+=i;}while(sum>>16){sum=(sum & 0xffff)+(sum>>16);}return (sum==0xffff)?sum:~sum;}需要扫描，那么自然需要一个定时器，做超时控制void tvsub(struct timeval* out,structtimeval *in){out->tv_sec-=in->tv_sec;}好了，一切就绪，我们现在可以开始我们的主机扫描之旅了#include #include #include #include #include #include #include #include #include #include #definePACK_LEN 72#defineBUFSIZE4096int main(int argc, char *argv[]){struct sockaddr_in send_sa;//struct s;int i=0,j=0;int scan_icmp_socket;char send_buff[PACK_LEN];charrecv_buff[BUFSIZE];struct in_addrstart_addr,end_addr;struct timeval tv;fd_set readfd_set;structip*ip;structicmp *icmp;int hlen; //报头 长度send_sa.sin_family=AF_INET;scan_icmp_socket=socket(AF_INET,SOCK_RAW,IPPROTO_ICMP);if (scan_icmp_socket<0){perror("scan_icmp_socket:");return -1;}charip_addr[17];//循环ip地址for (j=1;j<254;j++){memset(ip_addr,'',sizeof(ip_addr));sprintf(ip_addr,"%s.%d",argv[1],j);send_sa.sin_addr.s_addr=inet_addr(ip_addr);printf("scan %sn",inet_ntoa(send_sa.sin_addr));fflush(stdout);for (i=0;i<3 ;i++ ){make_icmp_packet((struct icmp*)send_buff,PACK_LEN,i);if ( (sendto(scan_icmp_socket,send_buff,PACK_LEN,0,(structsockaddr*)&send_sa,sizeof(send_sa)))<0 ){perror("sendto");}//设定超时0.4妙tv.tv_sec=0;tv.tv_usec=400*1000;FD_ZERO(&readfd_set);FD_SET(scan_icmp_socket,&readfd_set);while(1){if (select(scan_icmp_socket+1,&readfd_set,NULL,NULL,&tv)<=0){break;}//等待0.4妙后如果数据有回应那么就开始接收包含ICMP包的IP报if (recvfrom(scan_icmp_socket,recv_buff,BUFSIZE,0,NULL,NULL)<=0){perror("recvfrom:");exit(0);}ip=(struct ip*)recv_buff;//获得IP数据包长度;hlen=ip->ip_hl<<2;//根据IP的源ip是否和自己相同判断是否是自己收到的包if (ip->ip_src.s_addr==send_sa.sin_addr.s_addr){icmp=(struct icmp*)(recv_buff+hlen);//解析icmp包内容信息if (icmp->icmp_type==ICMP_ECHOREPLY){printf("%-15s",inet_ntoa( *(struct in_addr*)&(ip->ip_src.s_addr)));//获得当前系统时间后与ICMP包内的数据内容对比gettimeofday(&tv,NULL);tvsub(&tv,(struct timeval*) (icmp->icmp_data));printf(":RTT=%8.4fmsn",tv.tv_sec+tv.tv_usec/1000.0);break;}else{printf("ICMP STATE:%dn",icmp->icmp_type);}}}}}close(scan_icmp_socket);return 0;}至此，我们主机扫描的原理和实现已经讲完了，那么主机扫描有什么用？没错，主机是否可到达是网络安全测试的第一步内容。而且，每次有人发送ICMP包，你的电脑都要应答。如果很多人同时发送ICMP包达到你的电脑，也就是说邮局同时送来了1000个包裹，你可能就有些应付不了了吧。这时候的状态就是你的电脑上网很卡很卡，或者根本上不了。那么我们怎么防范ICMP攻击呢，或者我不想别人知道我的电脑到底在不在上网？很简单，装个防火墙，将拒绝ICMP勾选上就可以了。 其实说了半天，ICMP多半用来DOS攻击，这种攻击多半基于单机，带宽小，效率低，对于被扫描者不会造成很大的危害。然后，目前的网络攻击多半是类似云计算的形式，当成千上万的肉鸡向你发动攻击的时候，那可不是好玩的。
Type: 11 Code: 0
0303

全称：Internet 控制消息协议(Internet Control Message Protocol)是网络层的一个重要协议。ICMP协议用来在网络设备间传递各种差错和控制信息，并对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用作用：通过传递ICMP报文，进行差错检查，错误报告以及控制功能。总结：三大功能+两大应用如上图场景中：当主机A(10.0.0.1)想要访问服务器A(20.0.0.1)时，由于主机和服务器处于不同网段，主机A需要将访问信息发送给网关路由RTB，RTB再将访问信息发送给服务器A，这种情况下就会出现：次优路径ICMP的解决方法：主机在进行不同网段访问时，数据会交给网关（路由器），当路由器从接口收到该数据包时，进行查找路由表条目，发现数据包发出的接口和收到的接口一致时，会触发重定向报文重定向报文包含：访问的目的地址+最优下一跳回到上图场景：网关路由器收到主机A要访问服务器A的信息后，会将重定向报文发送给主机A，主机A收到后，产生主机路由，主机后续访问服务器A直接通过重定向报文中的下一跳进行访问，也就是直接将访问信息直接发送给RTA，不需要再通过网关路由器进行转发，从而解决次优路径通过查询(request)，和响应(reply)进行实现设备无法访问时，会自动会送相应的ICMP报告报文，可用于排障①：ICMP是工作在网络层，协议号1②：报文重要字段：Type+Code​type和code的不同组合可以表示不同功能的ICMP报文type为3的都是不可达信息，使用request和reply​ 使用功能：差错检测​ 作用：测试网络连通性​ 使用方法：​ ping -a：指定报文的源IP，默认为出接口IP地址​ ping -c：指定报文发送的数量，默认为5​ ping -t：持续发送报文​ ping-h：指定TTL的值，默认值为255​ ping-i：指定发送ICMP报文的接口[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5372E6z5-1601099717174)( https://upload-images.jianshu.io/upload_images/20425542-be76d4b1825d0cb1.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]用以跟踪数据包经过的三层设备​ 使用功能：错误报告​ 作用：用于跟踪数据包的转发路径。一般用于排障。​ 使用方法：​ tracert -a 指定源IP​ tracert -f 指定初次TTL的值​ tracert -q 指定发送单个报文的次数，默认为3​ tracert -m 最大的TTL值，默认为30TTL(Time To LIVE)：用于路由防环路，封装在IP报文头部，默认为255，经过一台三层设备TTL-1，当TTL=0时，报文会被丢弃原理：通过UDP报文和ICMP的错误报告（TTL）结合。​ 第一步：发送一个TTL值为1的报文1，经过一跳路由器后，会返回一个ICMP错误报告，包含该跳路由器的IP地址​ 第二步：发送一个TTL值为2的报文2，经过两跳路由器后，返回一个ICMP错误报告，包含第二跳路由器的IP地址​ 往后，TTL值逐步加1（默认最大加到30），发送。然后返回ICMP错误报告。

ICMP协议是一种面向无连接的协议，用于传输出错报告控制信息。PING禁入意思是能够防止别的有病毒的电脑或网站等恶意的进攻自己的电脑。ICMP（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。ICMP使用IP的基本支持，就像它是一个更高级别的协议，但是，ICMP实际上是IP的一个组成部分，必须由每个IP模块实现。ICMP 是 TCP/IP 模型中网络层的重要成员，与 IP 协议、ARP 协议、RARP 协议及 IGMP 协议共同构成 TCP/IP 模型中的网络层。ping 和 tracert是两个常用网络管理命令，ping 用来测试网络可达性，tracert 用来显示到达目的主机的路径。ping和 tracert 都利用 ICMP 协议来实现网络功能，它们是把网络协议应用到日常网络管理的典型实例。
Internet控制信息协议（ICMP） 介绍在被称为Catenet的系统中，IP协议被用作主机到主机的数据报服务。网络连接设备称为网关。这些网关通过网关到网关协议（GGP）相互交换用于控制的信息。通常，网关或目的主机将和源主机通信，例如，为报告在数据报过程中的错误。为了这个目的才使用了ICMP，它使用IP做于底层支持，好象它是一个高层协议，而实际上它是IP的一部分，必须由其它IP模块实现。ICMP消息在以下几种情况下发送：当数据报不能到达目的地时，当网关的已经失去缓存功能，当网关能够引导主机在更短路由上发送。IP并非设计为设计为绝对可靠，这个协议的目的是为了当网络出现问题的时候返回控制信息，而不是使IP协议变得绝对可靠，并不保证数据报或控制信息能够返回。一些数据报仍将在没有任何报告的情况下丢失。上层协议必须使用自己的差错控制程序来判断通信是否正确。ICMP信息通常报告在处理数据报过程中的错误。若要避免信息无限制地返回，对于ICMP消息不会单独成包发送，而且ICMP信息只在处理数据报偏移量为0时发送。消息格式ICMP消息以基本IP头发送。数据的第一个字节是ICMP类型域；此域的值决定了了其余数据的格式。任何标记为“未使用”的域都是为以后的扩展保留的，在传送过程中必须全部是0。除非在个别的格式之下，包头域如下格式：版本：4IHL：Internet头长度大小以32位字为单位。服务类型：0总长度：包头长度和数据长度。段中所用标识，段偏移量：在段是使用。生存周期：以秒计，此域在每台机器处理数据报时减少，此值必须大于要传送它的网关所消耗的时间。协议：ICMP = 1包头校验码：16位数据反码和再取反而得。为计算校验码，此域应该为0。在将来可以会取代这一域。源地址：创建ICMP信息的网关或主机地址，除非说明，它可以是任何网关地址。目的地址：信息要发送到的网关或主机地址。未达目的地信息图1IP域：目的地址，发送原始数据报数据的网络地址ICMP域：类型：3代码：0 = 网络不可达；1 = 主机不可达；2 = 协议不可用；3 = 端口不可达；4 = 需要段和DF设置；5 = 源路由失败；校验码：16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在以后会被校验码取代。Internet包头+源数据报：Internet包头加上源数据的头64位而得。此数据用于主机匹配信息到相应的进程。如果高层协议使用端口号，应该假设其在源数据的头64个字节之中。说明：相应于网关的路由表，如果在目的域中指定的网络不可达，如网络距离为无限远，网关会向发送源数据的主机发送目的不可达消息。而且，在一些网络中，网关有能力决定目的主机是否可达。如果目的地不可达，它将向发送源数据的主机发送不可达信息。在目的主机，如果IP模块因为指定的协议模块和进程端口不可用而不能提交数据报，目的主机将向发送源数据的主机发送不可达信息。另外一种情况是当数据报必须被分段传送，而“不可分段”位打开，在这种情况下，网关必须抛弃此数据报，并向向发送源数据的主机发送不可达信息。代码0，1，4和5由网关发送，而代码2和3由主机发送。超时信息图2IP域：目的地址：从源数据报数据中得到。ICMP域：类型：11代码：0 = 传送超时；1 = 分段级装超时。校验码：16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在以后会被校验码取代。Internet包头+64位源数据报数据：Internet包头加上源数据的头64位而得。此数据用于主机匹配信息到相应的进程。如果高层协议使用端口号，应该假设其在源数据的头64个字节之中。说明：如果网关在处理数据报时发现生存周期域为零，此数据报必须抛弃。网关同时必须通过超时信息通知源主机。如果主机在组装分段的数据报时因为丢失段未能在规定时间内组装数据，此数据报必须抛弃。网关发送超时信息。如果段零不可用则不用发送超时信息。代码0由网关发送，代码1由主机发送。参数问题消息图3IP域：目的地址：从源数据中得到。ICMP域：类型：12代码：0 = 指针指向错误。校验码： 16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在以后会被校验码取代。指针如果code = 0，指向有问题的字节。Internet包头+64位源数据报数据：Internet包头+64位源数据报数据：Internet包头加上源数据的头64位而得。此数据用于主机匹配信息到相应的进程。如果高层协议使用端口号，应该假设其在源数据的头64个字节之中。说明：如果网并或主机在处理数据报时发现包头参数有错误以至不能完成工作，它必须抛弃此数据报。一个潜在的原因可以是变量的错误。网关或主机将通过参数问题消息通知源主机，此消息只有在消息被抛弃时才被发送。指针指向发现错误的数据报包头字节。代码： 从主机或网关接收0。源拥塞消息图4IP域：目的地址：源数据报数据的地址和源网络。ICMP域：类型：4代码： 0校验码： 16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在以后会被校验码取代。Internet包头+64位源数据报数据： Internet包头+64位源数据报数据：Internet包头加上源数据的头64位而得。此数据用于主机匹配信息到相应的进程。如果高层协议使用端口号，应该假设其在源数据的头64个字节之中。说明：如果没有缓冲容纳，网关会抛弃数据报，如果网关这样做了，它会发送源拥塞消息给发送主机。如果接收的数据报太多无法处理，目的主机也会发送相应的消息给发送主机。此消息要求发送发减少发送速率，网关会给每个抛弃的消息返回源拥塞消息，在接到此消息后，发送主机应该减少发送速率，直到不再接收到网关发送的源拥塞消息为止。在此之后，源主机可以再增加发送速率，直到接收到目的主机的源拥塞消息为止。网关或主机不会等到已经超过限度后再发送此消息，而是接近自己的处理极限时就发送此消息，这意味着，引发源拥塞消息的数据报仍然可以处理。代码： 从主机或网关接收0。重定向消息图5IP域：目的地址：源数据报数据的地址和源网络。ICMP域：类型： 5代码：0 = 重定向网络的数据报；1 = 重定向主机的数据报；2 = 重定向网络和服务类型的数据报；3 = 重定向网络和主机类型的数据报。校验码：16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在以后会被校验码取代。网关Internet地址：应该发送网关地址（其在源数据报数据的internet目的网络域中指定）。Internet包头+64位源数据报数据：Internet包头+64位源数据报数据：Internet包头加上源数据的头64位而得。此数据用于主机匹配信息到相应的进程。如果高层协议使用端口号，应该假设其在源数据的头64个字节之中。说明：网关在下面情况下发送重定向消息。网关（G1）从网关相连的网络上接收到数据报，它检查路由表获得下一个网关（G2）的地址（X）。如果G2和指定的接收主机在同一网络上，重定向消息发出，此消息建议发送主机直接将数据报发向网关G2，因为这更近，同时网关G1向前继续发送此数据报。因为在数据报中的IP源路由和目的地址域是可选的，所以即使有更好的路由有时也无法发现。代码：网关发送0，1，2和3。回送或回送响应消息图6IP域：地址：回送消息的源地址是回送响应消息的目的地址。若要形成一个回送响应消息，应该将源和目的地址交换，将类型代码更改为0，重新计算机校验码。IP域：类型：8代表回送消息；0代表回送响应消息。代码：0校验码：16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在以后会被校验码取代。标识符：如果代码=0，帮助匹配回送和回送响应的代码可以为0。序列码：如果代码=0，帮助匹配回送和回送响应的序列码可以为0。说明：回送消息中接收到的消息应该在回送响应消息中返回。标识符和序列码由回送发送者使用帮助匹配回送请求的响应。代码： 从主机或网关接收0。时间戳和时间戳响应消息图7IP域：地址：时间戳消息的源地址是时间戳响应消息的目的地址。若要形成一个时间戳响应消息，应该将源和目的地址交换，将类型代码更改为14，重新计算机校验码。IP域：类型：13代表时间戳消息；14代表时间戳响应消息。代码：0校验码：16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在以后会被校验码取代。标识符：如果代码=0，帮助匹配时间戳和时间戳响应的代码可以为0。序列码：如果代码=0，帮助匹配时间戳和时间戳响应的代码可以为0。说明：接收到的时间戳附加在响应里返回，时间是以百万分之一称为单位计算，并以标准时午夜开始计时。原时间戳是发送方发送前的时间。接收时间戳是回送者接收到的时间，传送时间是回送者发送的时间。如果时间以百万分之一秒计无效，或者不能以标准时提供，可以在时间戳的高字节填充入数据以表示这不是标准数据。标识符和序列码由发送者匹配请求的响应。代码： 从主机或网关接收0。信息请求或信息响应消息图8IP域：地址：信息请求消息的源地址是信息响应消息的目的地址。若要形成一个信息响应消息，应该将源和目的地址交换，将类型代码更改为16，重新计算机校验码。IP域：类型：15代表信息请求消息；16 代表信息响应消息。代码： 0校验码：16位数据（从ICMP类型开始）的反码和再取反而得。为计算校验码，校验码域应该为零。这些零在以后会被校验码取代。标识符：如果代码=0，帮助匹配信息请求和信息响应的代码可以为0。序列码：如果代码=0，帮助匹配信息请求和信息响应的代码可以为0。说明：此消息可以在IP包头中以源网络地址发送，但同时目的地址域为0（这表示此网络内）。响应IP模块应该发送完全指定地址的响应。发送此消息是主机寻找到自己所在网络号码的一种方法。标识符和序列码由发送者匹配请求的响应。代码： 从主机或网关接收0。消息类型总结0 回送响应3 目的不可达4 源拥塞5 重定向8 回送11 超时12 参数问题13 时间戳14 时间戳响应15 信息请求 16 信息响应
ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。ICMP的重要性ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。例如，在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，占整个攻击总数的90%以上！可见，ICMP的重要性绝不可以忽视！比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。应对ICMP攻击虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前做好准备，就可以有效地避免ICMP攻击造成的损失。对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤，另一种是在主机上安装防火墙。具体设置如下：1．在Windows 2000 Server中设置ICMP过滤Windows 2000 Server提供了“路由与远程访问”服务，但是默认情况下是没有启动的，因此首先要启动它：点击“管理工具”中的“路由与远程访问”，启动设置向导。在其中选择“手动配置服务器”项，点击[下一步]按钮。稍等片刻后，系统会提示“路由和远程访问服务现在已被安装。要开始服务吗？”，点击[是]按钮启动服务。服务启动后，在计算机名称的分支下会出现一个“IP路由选择”，点击它展开分支，再点击“常规”，会在右边出现服务器中的网络连接（即网卡）。用鼠标右键点击你要配置的网络连接，在弹出的菜单中点击“属性”，会弹出一个网络连接属性的窗口，如图1所示。图1图1中有两个按钮，一个是“输入筛选器”（指对此服务器接受的数据包进行筛选），另一个是“输出筛选器”（指对此服务器发送的数据包进行筛选），这里应该点击[输入筛选器] 按钮，会弹出一个“添加筛选器”窗口，再点击[添加]按钮，表示要增加一个筛选条件。在“协议”右边的下拉列表中选择“ICMP”，在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”，代表所有的ICMP类型及其编码。ICMP有许多不同的类型（Ping就是一种类型），每种类型也有许多不同的状态，用不同的“编码”来表示。因为其类型和编码很复杂，这里不再叙述。点击[确定]按钮返回“输入筛选器”窗口，此时会发现“筛选器”列表中多了一项内容（如图2所示）。点击[确定]按钮返回“本地连接”窗口，再点击[确定]按钮，此时筛选器就生效了，从其他计算机上Ping这台主机就不会成功了。图22． 用防火墙设置ICMP过滤现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了，如图3所示。图3 通过以上讲解，你现在知道ICMP的重要性了吧？赶紧给你的服务器设置ICMP过滤吧。
ICMP协议介绍 在被称为Catenet的系统中，IP协议被用作主机到主机的数据报服务。网络连接设备称为网关。这些网关通过网关到网关协议（GGP）相互交换用于控制的信息。通常，网关或目的主机将和源主机通信，例如，为报告在数据报过程中的错误。为了这个目的才使用了ICMP，它使用IP做于底层支持，好象它是一个高层协议，而实际上它是IP的一部分，必须由其它IP模块实现。ICMP消息在以下几种情况下发送：当数据报不能到达目的地时，当网关的已经失去缓存功能，当网关能够引导主机在更短路由上发送。IP并非设计为设计为绝对可靠，这个协议的目的是为了当网络出现问题的时候返回控制信息，而不是使IP协议变得绝对可靠，并不保证数据报或控制信息能够返回。一些数据报仍将在没有任何报告的情况下丢失。上层协议必须使用自己的差错控制程序来判断通信是否正确。ICMP信息通常报告在处理数据报过程中的错误。若要避免信息无限制地返回，对于ICMP消息不会单独成包发送，而且ICMP信息只在处理数据报偏移量为0时发送。PING介绍因为你在上网浏览的时候，如果需要手动解析域名，那么就需要PING了。防火墙允许PING出就是因为这点。PING不完全是坏的，PING一般用于检测对方机器是否开机、域名解析等等。如果你禁止了PING出，那么这两个功能就无法使用了。 但是，禁止PING入还是有比较重要的用途的。因为有的人（或病毒）会用PING来搜索同一网域上的在线主机进行攻击。另外，一般个人电脑开PING没有用途，顶多让别人攻击。所以这个应该关的。
总是弹出有些IP禁入 意思是某些攻击源IP被过滤了 PING禁入是什么意思 有用在用ping你的计算机由于ping命令的数据帧是在L2的ICMP协议里传输的,所以一般禁ping都是通过封ICMP协议达到 icmp是信息管理控制协议

icmp是Internet控制报文协议。ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。属于网络层协议。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。icmp的工作原理相关：ICMP提供一致易懂的出错报告信息。发送的出错报文返回到发送原数据的设备，因为只有发送设备才是出错报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误的类型，并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而不是纠正错误，纠正错误的任务由发送方完成。我们在网络中经常会使用到ICMP协议，比如我们经常使用的用于检查网络通不通的Ping命令（Linux和Windows中均有），这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

ICMP全称Internet Control Message Protocol（网际控制信息协议）。提起ICMP，一些人可能会感到陌生，实际上，ICMP与我们息息相关。在网络体系结构的各层次中，都需要控制，而不同的层次有不同的分工和控制内容，IP层的控制功能是最复杂的，主要负责差错控制、拥塞控制等，任何控制都是建立在信息的基础之上的，在基于IP数据报的网络体系中，网关必须自己处理数据报的传输工作，而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误，TCP/IP设计了ICMP协议，当某个网关发现传输错误时，立即向信源主机发送ICMP报文，报告出错信息，让信源主机采取相应处理措施，它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。 二、ICMP报文格式ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面，所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文（见图表，ICMP报文的结构和几种常见的ICMP报文格式），IP头部的Protocol值为1就说明这是一个ICMP报文，ICMP头部中的类型（Type）域用于说明ICMP报文的作用及格式，此外还有一个代码（Code）域用于详细说明某种ICMP报文的类型，所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式，具体如下：类型代码 类型描述0 响应应答（ECHO-REPLY）3 不可到达4 源抑制5 重定向8 响应请求（ECHO-REQUEST）11 超时12 参数失灵13 时间戳请求14 时间戳应答15 信息请求（*已作废）16 信息应答（*已作废）17 地址掩码请求18 地址掩码应答其中代码为15、16的信息报文已经作废。下面是几种常见的ICMP报文：1.响应请求我们日常使用最多的ping，就是响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。2.目标不可到达、源抑制和超时报文这三种报文的格式是一样的，目标不可到达报文（Type=3）在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口（端口号小于1024）时，将返回Type=3、Code=3的ICMP报文，它要告诉我们：“嘿，别连接了，我不在家的！”，常见的不可到达类型还有网络不可到达（Code=0）、主机不可到达（Code=1）、协议不可到达（Code=2）等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超时，Code=1表示重组分段超时。3.时间戳 时间戳请求报文（Type=13）和时间戳应答报文（Type=14）用于测试两台主机之间数据报来回一次的传输时间。传输时，主机填充原始时间戳，接收方收到请求后填充接收时间戳后以Type=14的报文格式返回，发送方计算这个时间差。一些系统不响应这种报文。