ping是tcp还是udp(Ping tcp)

TCP协议与UDP协议的区别首先咱们弄清楚，TCP协议和UCP协议与TCP/IP协议的联系，很多人犯糊涂了，一直都是说TCP/IP协议与UDP协议的区别，我觉得这是没有从本质上弄清楚网络通信！TCP/IP协议是一个协议簇。里面包括很多协议的。UDP只是其中的一个。之所以命名为TCP/IP协议，因为TCP,IP协议是两个很重要的协议，就用他两命名了。TCP/IP协议集包括应用层,传输层，网络层，网络访问层。其中应用层包括:超文本传输协议(HTTP):万维网的基本协议.文件传输(TFTP简单文件传输协议):远程登录(Telnet),提供远程访问其它主机功能,它允许用户登录internet主机,并在这台主机上执行命令.网络管理(SNMP简单网络管理协议),该协议提供了监控网络设备的方法,以及配置管理,统计信息收集,性能管理及安全管理等.域名系统(DNS),该系统用于在internet中将域名及其公共广播的网络节点转换成IP地址.其次网络层包括:Internet协议(IP)Internet控制信息协议(ICMP)地址解析协议(ARP)反向地址解析协议(RARP)最后说网络访问层:网络访问层又称作主机到网络层(host-to-network).网络访问层的功能包括IP地址与物理地址硬件的映射,以及将IP封装成帧.基于不同硬件类型的网络接口,网络访问层定义了和物理介质的连接.当然我这里说得不够完善，TCP/IP协议本来就是一门学问，每一个分支都是一个很复杂的流程，但我相信每位学习软件开发的同学都有必要去仔细了解一番。下面我着重讲解一下TCP协议和UDP协议的区别。TCP（Transmission Control Protocol，传输控制协议）是面向连接的协议，也就是说，在收发数据前，必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来，其中的过程非常复杂，只简单的描述下这三次对话的简单过程：主机A向主机B发出连接请求数据包：“我想给你发数据，可以吗？”，这是第一次对话；主机B向主机A发送同意连接和要求同步（同步就是两台主机一个在发送，一个在接收，协调工作）的数据包：“可以，你什么时候发？”，这是第二次对话；主机A再发出一个数据包确认主机B的要求同步：“我现在就发，你接着吧！”，这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步，经过三次“对话”之后，主机A才向主机B正式发送数据。详细点说就是：（文章部分转载http://zhangjiangxing-gmail-com.iteye.com，主要是这个人讲解得很到位，的确很容易使人理解！）TCP三次握手过程1 主机A通过向主机B 发送一个含有同步序列号的标志位的数据段给主机B ,向主机B 请求建立连接,通过这个数据段,主机A告诉主机B 两件事:我想要和你通信;你可以用哪个序列号作为起始数据段来回应我.2 主机B 收到主机A的请求后,用一个带有确认应答(ACK)和同步序列号(SYN)标志位的数据段响应主机A,也告诉主机A两件事:我已经收到你的请求了,你可以传输数据了;你要用哪佧序列号作为起始数据段来回应我3 主机A收到这个数据段后,再发送一个确认应答,确认已收到主机B 的数据段:"我已收到回复,我现在要开始传输实际数据了这样3次握手就完成了,主机A和主机B 就可以传输数据了.3次握手的特点没有应用层的数据SYN这个标志位只有在TCP建产连接时才会被置1握手完成后SYN标志位被置0TCP建立连接要进行3次握手,而断开连接要进行4次1 当主机A完成数据传输后,将控制位FIN置1,提出停止TCP连接的请求2  主机B收到FIN后对其作出响应,确认这一方向上的TCP连接将关闭,将ACK置13 由B 端再提出反方向的关闭请求,将FIN置14 主机A对主机B的请求进行确认,将ACK置1,双方向的关闭结束.由TCP的三次握手和四次断开可以看出,TCP使用面向连接的通信方式,大大提高了数据通信的可靠性,使发送数据端和接收端在数据正式传输前就有了交互,为数据正式传输打下了可靠的基础名词解释ACK  TCP报头的控制位之一,对数据进行确认.确认由目的端发出,用它来告诉发送端这个序列号之前的数据段都收到了.比如,确认号为X,则表示前X-1个数据段都收到了,只有当ACK=1时,确认号才有效,当ACK=0时,确认号无效,这时会要求重传数据,保证数据的完整性.SYN  同步序列号,TCP建立连接时将这个位置1FIN  发送端完成发送任务位,当TCP完成数据传输需要断开时,提出断开连接的一方将这位置1TCP的包头结构：源端口 16位目标端口 16位序列号 32位回应序号 32位TCP头长度 4位reserved 6位控制代码 6位窗口大小 16位偏移量 16位校验和 16位选项  32位(可选)这样我们得出了TCP包头的最小长度，为20字节。UDP（User Data Protocol，用户数据报协议）（1） UDP是一个非连接的协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。（2） 由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。（4） 吞吐量不受拥挤控制算法的调节，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。（5）UDP使用尽最大努力交付，即不保证可靠交付，因此主机不需要维持复杂的链接状态表（这里面有许多参数）。（6）UDP是面向报文的。发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层。既不拆分，也不合并，而是保留这些报文的边界，因此，应用程序需要选择合适的报文大小。我们经常使用“ping”命令来测试两台主机之间TCP/IP通信是否正常，其实“ping”命令的原理就是向对方主机发送UDP数据包，然后对方主机确认收到数据包，如果数据包是否到达的消息及时反馈回来，那么网络就是通的。UDP的包头结构：源端口 16位目的端口 16位长度 16位校验和 16位小结TCP与UDP的区别：1.基于连接与无连接；2.对系统资源的要求（TCP较多，UDP少）；3.UDP程序结构较简单；4.流模式与数据报模式 ；5.TCP保证数据正确性，UDP可能丢包，TCP保证数据顺序，UDP不保证。

ping用的icmp协议，独立的协议，既不是tcp也不是udp，不使用任何端口。
是 ICMC.DLL 调用IcmpSendEcho 函数实现的不需要端口 IcmpSendEcho 你可以看百科
黑客教学，ping命令的使用，瞬间成为电脑高手
Ping是Windows下的一个命令在Unix和Linux下也有这个命令。ping也属于一个通信协议，是TCP/IP协议的一部分。利用“ping”命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。应用格式：Ping空格IP地址。该命令还可以加许多参数使用，具体是键入Ping按回车即可看到详细说明。 PING (Packet Internet Groper)，因特网包探索器，用于测试网络连接量的程序。Ping发送一个ICMP(Internet Control Messages Protocol）即因特网信报控制协议；回声请求消息给目的地并报告是否收到所希望的ICMP echo （ICMP回声应答）。它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：利用网络上机器IP地址的唯一性，给目标IP地址发送一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通，时延是多少。 ping指的是端对端连通，通常用来作为可用性的检查， 但是某些病毒木马会强行大量远程执行ping命令抢占你的网络资源，导致系统变慢，网速变慢。严禁ping入侵作为大多数防火墙的一个基本功能提供给用户进行选择。通常的情况下你如果不用作服务器或者进行网络测试，可以放心的选中它，保护你的电脑。

ping是ICMP协议 一般说的端口是TCP／UDP的端口。TCP和UDP能承载数据，但ICMP仅包含控制信息。因此，ICMP信息不能真正用于入侵其它机器。Hacker们使用ICMP通常是为了扫描网络，发动DoS攻击，重定向网络交通。(这个观点似乎不正确，可参考shotgun关于木马的文章，译者注)一些防火墙将ICMP类型错误标记成端口。要记住，ICMP不象TCP或UDP有端口，但它确实含有两个域：类型(type)和代码(code)。而且这些域的作用和端口也完全不同，也许正因为有两个域所以防火墙常错误地标记了他们。更多关于ICMP的知识请参考Infosec Lexicon entry on ICMP。关于ICMP类型/代码的含义的官方说明请参阅http://www.isi.edu/in-notes/iana/assignments/icmp-parameters。该文献描述官方含义，而本文描述Hacker的企图，详见下文。类型 代码 名称 含义0 * Echo replay 对ping的回应3 * Destination Unreachable 主机或路由器返回信息：一些包未达到目的地0 Net Unreachable 路由器配置错误或错误指定IP地址1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听4 Fragmentation Needed but DF set 重要：如果你在防火墙丢弃记录中发现这些包，你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开4 * Source Quench Internet阻塞5 * Redirect 有人试图重定向你的默认路由器，可能Hacker试图对你进行“man-in-middle”的攻击，使你的机器通过他们的机器路由。8 * Echo Request ping9 * Router Advertisement hacker可能通过重定向你的默认的路由器DoS攻击你的Win9x 或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击11 * Time Exceeded In Transit 因为超时包未达到目的地0 TTL Exceeded 因为路由循环或由于运行traceroute，路由器将包丢弃1 Fragment reassembly timeout 由于没有收到所有片断，主机将包丢弃12 * Parameter Problem 发生某种不正常，可能遇到了攻击(一) type=0 (Echo reply)发送者在回应由你的地址发送的ping，可能是由于以下原因：有人在ping那个人：防火墙后面有人在ping目标。自动ping：许多程序为了不同目的使用ping，如测试联系对象是否在线，或测定反应时间。很可能是使用了类似VitalSign‘s Net.Medic的软件，它会发送不同大小的ping包以确定连接速度。诱骗ping扫描：有人在利用你的IP地址进行ping扫描，所以你看到回应。转变通讯信道：很多网络阻挡进入的ping(type=8)，但是允许ping回应(type=0)。因此，Hacker已经开始利用ping回应穿透防火墙。例如，针对internet站点的DdoS攻击，其命令可能被嵌入ping回应中，然后洪水般的回应将发向这些站点而其它Internet连接将被忽略。(二) Type=3 (Destination Unreachable)在无法到达的包中含有的代码(code)很重要记住这可以用于击败“SYN洪水攻击”。即如果正在和你通讯的主机受到“SYN洪水攻击”，只要你禁止ping(type=3)进入，你就无法连接该主机。有些情况下，你会收到来自你从未听说的主机的ping(type=3)包，这通常意味着“诱骗扫描”。攻击者使用很多源地址向目标发送一个伪造的包，其中有一个是真正的地址。Hacker的理论是：受害者不会费力从许多假地址中搜寻真正的地址。解决这个问题的最好办法是：检查你看到的模式是否与“诱骗扫描”一致。比如，在ICMP包中的TCP或UDP头部分寻找交互的端口。1) Type = 3, Code = 0 (Destination Net Unreachable)无路由器或主机：即一个路由器对主机或客户说，：“我根本不知道在网络中如何路由！包括你正连接的主机”。这意味着不是客户选错了IP地址就是某处的路由表配置错误。记住，当你把自己UNIX机器上的路由表搞乱后你就会看到“无路由器或主机”的信息。这常发生在配置点对点连接的时候。2) Type = 3, Code = 3 (Destination Port Unreachable)这是当客户端试图连击一个并不存在的UDP端口时服务器发送的包。例如，如果你向161端口发送SNMP包，但机器并不支持SNMP服务，你就会收到ICMP Destination Port Unreachable包。解码的方案解决这个问题的第一件事是：检查包中的端口。你可能需要一个嗅探器，因为防火墙通常不会记录这种信息。这种方法基于ICMP原始包头包含IP和UDP头。以下是复制的一个ICMP unreachable包：00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 0000 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 0001 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F000 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A779 19 00 33 B8 36其中字节03 03是ICMP的类型和代码。最后8个字节是原始UDP头，解码如下：08A7 UDP源端口 port=2215，可能是临时分配的，并不是很重要。7919 UDP目标端口 port=31001，很重要，可能原来用户想连接31001端口的服务。0033 UDP长度 length=51，这是原始UDP数据的长度，可能很重要。B836 UDP校验和 checksum=0xB836，可能不重要。你为什么会看到这些？“诱骗UDP扫描”：有人在扫描向你发送ICMP的机器。他们伪造源地址，其中之一是你的IP地址。他们实际上伪造了许多不同的源地址使受害者无法确定谁是攻击者。如果你在短时间内收到大量来自同一地址的这种包，很有可能是上述情况。检查UDP源端口，它总在变化的话，很可能是Scenario。“陈旧DNS”：客户端会向服务器发送DNS请求，这将花很长时间解析。当你的DNS服务器回应的时候，客户端可能已经忘记你并关闭了用于接受你回应的UDP端口。如果发现UDP端口值是53，大概就发生了这种情况。这是怎么发生的？服务器可能在解析一个递归请求，但是它自己的包丢失了，所以它只能超时然后再试。当回到客户时，客户认为超时了。许多客户程序(尤其是Windows中的程序)自己做DNS解析。即它们自己建立SOCKET进行DNS解析。如果它们把要求交给操作系统，操作系统就会一直把端口开在那里。“多重DNS回应”：另一种情况是客户收到对于一个请求的多重回应。收到一个回应，端口就关闭了，后序的回应无法达到。此外，一个Sun机器与同一个以太网中的多个NICs连接时，将为两个NICs分配相同的MAC地址，这样Sun机器每桢会收到两个拷贝，并发送多重回复。还有，一个编写的很糟糕的客户端程序(特别是那些吹嘘是多线程DNS解析但实际上线程不安全的程序)有时发送多重请求，收到第一个回应后关闭了Socket。但是，这也可能是DNS欺骗，攻击者既发送请求由发送回应，企图使解析缓存崩溃。“NetBIOS解析”：如果Windows机器接收到ICMP包，看看UDP目标端口是否是137。如果是，那就是windows机器企图执行gethostbyaddr()函数，它将将会同时使用DNS和NetBIOS解析IP地址。DNS请求被发送到某处的DNS服务器，但NetBIOS直接发往目标机器。如果目标机器不支持NetBIOS，目标机器将发送ICMP unreachable。“Traceroute”：大多数Traceroute程序(Windows中的Tracert.exe除外)向关闭的端口发送UDP包。这引起一系列的背靠背的ICMP Port Unreachable包发回来。因此你看到防火墙显示这样ICMP包，可能是防火墙后面的人在运行Traceroute。你也会看到TTL增加。3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)这是由于路由器打算发送标记有(DF, 不允许片断)的IP报文引起的。为什么？IP和TCP都将报文分成片断。TCP在管理片断方面比IP有效得多。因此，饯堆趋向于找到“Path MTU”（路由最大传输单元）。在这个过程将发送这种ICMP包。假设ALICE和BOB交谈。他们在同一个以太网上(max frame size = 1500 bytes)，但是中间有连接限制最大IP包为600 byte。这意味着所有发送的IP包都要由路由器切割成3个片断。因此在TCP层分割片断将更有效。TCP层将试图找到MTU(最大传输单元)。它将所有包设置DF位(Don‘t Fragment)，一旦这种包碰到不能传输如此大的包的路由器时路由器将发回ICMP错误信息。由此，TCP层能确定如何正确分割片断。你也许应该允许这些包通过防火墙。否则，当小的包可以通过达到目的地建立连接，而大包会莫名其妙的丢失断线。通常的结果是，人们只能看到Web页仅显示一半。路由最大传输单元的发现越来越整合到通讯中。如IPsec需要用到这个功能。(三) Type = 4 (Source Quench)这种包可能是当网络通讯超过极限时由路由器或目的主机发送的。但是当今的许多系统不生成这些包。原因是现在相信简单包丢失是网络阻塞的最后信号(因为包丢失的原因就是阻塞)。现在source quenches的规则是(RFC 1122)：路由器不许生成它们主机可以生成它们主机不能随便生成它们防火墙应该丢弃它们但是，主机遇到Source Quench仍然减慢通讯，因此这被用于DoS。防火墙应该过滤它们。如果怀疑发生DoS，包中的源地址是无意义的，因为IP地址肯定是虚构的。已知某些SMTP服务器会发送Source Quench。(四) Type = 8 (Echo aka PING)这是ping请求包。有很多场合使用它们；它可能意味着某人扫描你机器的恶意企图，但它也可能是正常网络功能的一部分。参见Type = 0 (Echo Response)很多网络管理扫描器会生成特定的ping包。包括ISS扫描器，WhatsUp监视器等。这在扫描器的有效载荷中可见。许多防火墙并不记录这些，因此你需要一些嗅探器捕捉它们或使用入侵检测系统(IDS)标记它们。记住，阻挡ping进入并不意味着Hacker不能扫描你的网络。有许多方法可以代替。例如，TCP ACK扫描越来越流行。它们通常能穿透防火墙而引起目标系统不正常的反应。发送到广播地址(如x.x.x.0或x.x.x.255)的ping可能在你的网络中用于smurf放大。(五) Type = 11 (Time Exceeded In Transit)这一般不会是Hacker或Cracker的攻击1) Type = 11, Code = 0 (TTL Exceeded In Transit)这可能有许多事情引起。如果有人从你的站点traceroute到Internet，你会看到许多来自路由器的TTL增加的包。这就是traceroute的工作原理：强迫路由器生成TTL增加的信息来发现路由器。防火墙管理员看到这种情况的原因是Internet上发生路由循环。路由器Flapping(持续变换路由器)是一个常见的问题，常会导致循环。这意味着当一个IP包朝目的地前进时，这个包被一个路由器错误引导至一个它曾经通过的路由器。如果路由器在包经过的时候把TTL域减一，这个包只好循环运动。实际上当TTL值为0时它被丢弃。造成这种情况的另一个原因是距离。许多机器(Windows)的默认TTL值是127或更低。路由器也常常会把TTL值减去大于1的值，以便反应诸如电话拨号或跨洋连接的慢速连接。因此，可能由于初始TTL值太小，而使站点无法到达。此外，一些Hacker/Cracker也会使用这种办法使站点无法到达。2) Type = 11, Code = 1 (Fragment Reassembly Time Exceeded)当发送分割成片断的IP报文时，发送者并不接收所有片断。通常，大多数TCP/IP通讯甚至不分割片断。你看到这种情况必定是采用了分割片断而且你和目的地之间有阻塞。(六) Type = 12 (Parameter Problem) 这可能意味着一种进攻。有许多足印技术会生成这种包。
ping是ICMP协议一般说的端口是TCP／UDP的端口。TCP和UDP能承载数据，但ICMP仅包含控制信息。因此，ICMP信息不能真正用于入侵其它机器。Hacker们使用ICMP通常是为了扫描网络，发动DoS攻击，重定向网络交通。(这个观点似乎不正确，可参考shotgun关于木马的文章，译者注)nbsp;nbsp;nbsp;一些防火墙将ICMP类型错误标记成端口。要记住，ICMP不象TCP或UDP有端口，但它确实含有两个域：类型(type)和代码(code)。而且这些域的作用和端口也完全不同，也许正因为有两个域所以防火墙常错误地标记了他们。更多关于ICMP的知识请参考Infosecnbsp;Lexiconnbsp;entrynbsp;onnbsp;ICMP。nbsp;nbsp;nbsp;关于ICMP类型/代码的含义的官方说明请参阅 http://www.isi.edu/in-notes/iana/assignments/icmp-parameters 。该文献描述官方含义，而本文描述Hacker的企图，详见下文。nbsp;类型nbsp;代码nbsp;名称nbsp;含义nbsp;0nbsp;*nbsp;Echonbsp;replaynbsp;对ping的回应nbsp;3nbsp;*nbsp;Destinationnbsp;Unreachablenbsp;主机或路由器返回信息：一些包未达到目的地nbsp;0nbsp;Netnbsp;Unreachablenbsp;路由器配置错误或错误指定IP地址nbsp;1nbsp;Hostnbsp;Unreachablenbsp;最后一个路由器无法与主机进行ARP通讯nbsp;3nbsp;Portnbsp;unreachablenbsp;服务器告诉客户端其试图联系的端口无进程侦听nbsp;4nbsp;Fragmentationnbsp;Needednbsp;butnbsp;DFnbsp;setnbsp;重要：如果你在防火墙丢弃记录中发现这些包，你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开nbsp;4nbsp;*nbsp;Sourcenbsp;Quenchnbsp;Internet阻塞nbsp;5nbsp;*nbsp;Redirectnbsp;有人试图重定向你的默认路由器，可能Hacker试图对你进行“man-in-middle”的攻击，使你的机器通过他们的机器路由。nbsp;8nbsp;*nbsp;Echonbsp;Requestnbsp;pingnbsp;9nbsp;*nbsp;Routernbsp;Advertisementnbsp;hacker可能通过重定向你的默认的路由器DoS攻击你的Win9xnbsp;或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击nbsp;11nbsp;*nbsp;Timenbsp;Exceedednbsp;Innbsp;Transitnbsp;因为超时包未达到目的地nbsp;0nbsp;TTLnbsp;Exceedednbsp;因为路由循环或由于运行traceroute，路由器将包丢弃nbsp;1nbsp;Fragmentnbsp;reassemblynbsp;timeoutnbsp;由于没有收到所有片断，主机将包丢弃nbsp;12nbsp;*nbsp;Parameternbsp;Problemnbsp;发生某种不正常，可能遇到了攻击nbsp;(一)nbsp;type=0nbsp;(Echonbsp;reply)nbsp;发送者在回应由你的地址发送的ping，可能是由于以下原因：nbsp;有人在ping那个人：防火墙后面有人在ping目标。nbsp;自动ping：许多程序为了不同目的使用ping，如测试联系对象是否在线，或测定反应时间。很可能是使用了类似VitalSign‘snbsp;Net.Medic的软件，它会发送不同大小的ping包以确定连接速度。nbsp;诱骗ping扫描：有人在利用你的IP地址进行ping扫描，所以你看到回应。nbsp;转变通讯信道：很多网络阻挡进入的ping(type=8)，但是允许ping回应(type=0)。因此，Hacker已经开始利用ping回应穿透防火墙。例如，针对internet站点的DdoS攻击，其命令可能被嵌入ping回应中，然后洪水般的回应将发向这些站点而其它Internet连接将被忽略。nbsp;(二)nbsp;Type=3nbsp;(Destinationnbsp;Unreachable)nbsp;在无法到达的包中含有的代码(code)很重要nbsp;记住这可以用于击败“SYN洪水攻击”。即如果正在和你通讯的主机受到“SYN洪水攻击”，只要你禁止ping(type=3)进入，你就无法连接该主机。nbsp;有些情况下，你会收到来自你从未听说的主机的ping(type=3)包，这通常意味着“诱骗扫描”。攻击者使用很多源地址向目标发送一个伪造的包，其中有一个是真正的地址。Hacker的理论是：受害者不会费力从许多假地址中搜寻真正的地址。nbsp;解决这个问题的最好办法是：检查你
端口就是门 或者说门牌号
icmp不经过传输层，在网络层就直接回包，所以不占用端口号

ping命令是ICMP协议，而非tcp和udp所属的tcp/IP协议。 发送TCP或者UDP数据包，一般是某些程序访问或者发送数据到特定的端口。 例如telent命令，是访问对方TCP 23号端口。网页访问一般是tcp 80或8080端口。 像这样的都是发送的tcp数据包。 像qq发送聊天信息都是udp协议的数据包。

icmp属于ip协议族，既不是tcp也不是udp