wireshark学习笔记(十)——ICMP协议分析

Echo请求与回应

对于ICMP协议来说,我们接触最多的莫过于ping这款工具了,相信很多计算机网络安全爱好者对它很熟悉。但是很多人对ping有个误解,以为它是一个命令,但事实上,ping是一款用于检测一个设备可连接性的工具,ping这款工具用于发送ICMP echo请求数据包。正因为如此,学习ICMP协议对于网络安全具有极其重要的意义。因为ICMP协议本身的特点就决定了它非常容易被用于攻击网络上的路由器和主机。比如,用户可以利用操作系统规定的ICMP数据包的最大尺寸不超过64K这个规定,向网络上的主机发起Ping of Death攻击,它属于一种拒绝服务(DDoS)攻击。因为当ICMP数据包的大小超过64K的时候,目标主机就有可能出现内存分配的错误的情况,导致TCP/IP堆栈崩溃,使得主机死机。另外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源来处理。

下面我们来实际分析一个捕获文件。这个文件是我们在讲解第6课,也就是IP协议的时候,利用ping功能捕获的数据包(Lab11-1.pcapng):


首先需要强调的是,在分析ICMP数据包的时候,我们需要重点关注的是ICMP头部的Type以及Code的内容。Type表示ICMP消息基于RFC规范的类型或分类。Code表示ICMP消息基于RFC规范的子类型。看一下第一个数据包,它显示了主机192.168.147.129在给172.21.79.153发送数据包。ICMP头部中的Type的值是8,Code值是0,说明这是一个echo请求数据包,Wireshark已经帮我们解析出来了。其实这是一个简单的ICMP数据包,使用IP发送,所包含的数据很少。除了指定的类型、代码以及校验和,这里还有序列号用于匹配请求和响应,并且在可变域中包含有一串随机字符串。

接下来我们再分析一下第二个数据包:


这个数据包是对我们请求的响应。在它的ICMP头部中,类型和代码的值都是0,表示这是一个echo响应。由于第二个数据包的序列号和第一个数据包可以相匹配,于是就可以确定它和第一个数据包是对应的。并且还可以发现,在Data的部分,这个数据包有着和第一个数据包相同的字符内容。当这个数据包被成功接收后,ping就成功了。

ICMP的echo请求使用的字符串可能会引起攻击者的兴趣,攻击者可能会使用这段内容来推测设备所使用的操作系统。并且攻击者可能在这个地方放置一些数据位作为反向连接的手段。

路由跟踪

路由跟踪功能用来识别一个设备到另一个设备的网络路径。在一个简单的网络上,这个网络路径可能只经过一个路由器,甚至一个路由器也不经过。但是在复杂的网络中,数据包可能会经过数十个路由器才会到达最终的目的地。对于网络通信检修来说,确定数据包从一个地方到另一个地方所走的路径是非常重要的。

想要进行路由跟踪,我们可以在命令提示符中使用tracert功能,它就是利用了ICMP协议的,通过其跟踪结果,我们就可以画出数据包所走的路径。这里我们可以分析一下Lab11-2.pcap实验文件:


首先看一下第一个数据包,可以发现它与我们刚才分析的echo请求很相像。这个数据包是从IP地址为192.168.100.138到4.2.2.1的简单的echo的请求,并且ICMP数据包头部的每一部分都与echo请求数据包相同。但是需要我们注意的是,这个数据包的IP头中的TTL的值为1,这也就意味着这个数据包会在它所遇到的第一个路由器的地方被丢弃。由于目标地址4.2.2.1其实是一个互联网的地址,我们就会知道源设备和目标设备之间肯定至少存在一个路由器,因此这个数据包不会到达目的地。

下面再看一下第二个数据包:


这个数据包其实就是在前往目的地的路径上,由第一个路由器发回的响应。由于第一个数据包到达192.168.100.1后,TTL的值变成了0,因此就不能够继续传输,此时路由器就回复了一个ICMP响应。这个数据包的类型是11,代码是0,告诉我们这个数据包的TTL在传输中超时,所以目标地址不可达。

这里请大家注意的是,在ICMP的结尾部分包含了原echo请求的IP头和ICMP数据的拷贝。因此这个数据包也被叫做ICMP双头包,表示包含有两个ICMP的包头信息。双包头信息在网络故障检修的时候会非常有用。

继续往下分析可以发现,在第七个数据包之前,又发送了两次TTL的值为1的数据包。而第七个数据包的TTL的值变成了2。这就保证了这个数据包会到达第二跳的路由。但是即便TTL的值变成了2,从下面的数据包来看,它也是无法到达目的地,直至TTL的值增长到9,这个数据包才到达了目的地。

当然我们在未来的课程中还会遇到ICMP协议,还会研究它的不同的功能,因此说ICMP是一个用途广泛的协议。

ICMP数据包的抓取

最后我们再来研究一下ICMP数据包的抓取。最常用的,是使用ping工具进行捕获,关于这个我们已经在第六课中演示过了。所以这里我们可以尝试使用tracert来尝试抓取。在虚拟机中,打开命令提示符,输入tracert加上目标IP地址(主机IP):


然后看一下Wireshark的抓取结果(Lab11-3.pcapng):


可以看到,这里也出现了由于TTL的值不够,而出现的数据包不可达的情况。

至此,本系列课程的所有通用的底层网络协议的分析就到这里,我们在未来的实际问题的分析中,会经常遇到诸如IP、TCP、UDP、以及ICMP这样的底层协议,因为它们是一切网络通信的基础,对我们未来的分析至关重要。那么从下次课程开始,我们会开始研究一些高级的、基于应用层的网络协议。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,968评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,601评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,220评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,416评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,425评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,144评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,432评论 3 401
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,088评论 0 261
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,586评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,028评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,137评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,783评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,343评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,333评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,559评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,595评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,901评论 2 345

推荐阅读更多精彩内容

  • 1.这篇文章不是本人原创的,只是个人为了对这部分知识做一个整理和系统的输出而编辑成的,在此郑重地向本文所引用文章的...
    SOMCENT阅读 13,037评论 6 174
  • 个人认为,Goodboy1881先生的TCP /IP 协议详解学习博客系列博客是一部非常精彩的学习笔记,这虽然只是...
    贰零壹柒_fc10阅读 5,051评论 0 8
  • 地址解析协议ARP 物理这一级,主机和路由器是用物理地址来区别的。物理地址是一个本地地址,管辖范围是本地网络,所以...
    顾慎为阅读 1,059评论 0 1
  • 简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者...
    保川阅读 5,941评论 1 13
  • 第二章 物理层 频分复用:频分复用的用户在同样的时间占用不同的带宽资源(频率带宽) 时分复用:时分复用的用户在不同...
    PramaWells阅读 3,586评论 1 3