免费网站下载直播软件大全,徐州关键字优化公司,快速做效果图的网站叫什么区别,网络优化2年工资有多少步骤1#xff1a;Echo请求与回应
对于ICMP协议来说#xff0c;我们接触最多的莫过于ping这款工具了#xff0c;相信很多计算机网络安全爱好者对它很熟悉。但是很多人对ping有个误解#xff0c;以为它是一个命令#xff0c;但事实上#xff0c;ping是一款用于检测一个设备…步骤1Echo请求与回应
对于ICMP协议来说我们接触最多的莫过于ping这款工具了相信很多计算机网络安全爱好者对它很熟悉。但是很多人对ping有个误解以为它是一个命令但事实上ping是一款用于检测一个设备可连接性的工具ping这款工具用于发送ICMP echo请求数据包。正因为如此学习ICMP协议对于网络安全具有极其重要的意义。因为ICMP协议本身的特点就决定了它非常容易被用于攻击网络上的路由器和主机。比如用户可以利用操作系统规定的ICMP数据包的最大尺寸不超过64K这个规定向网络上的主机发起Ping of Death攻击它属于一种拒绝服务DDoS攻击。因为当ICMP数据包的大小超过64K的时候目标主机就有可能出现内存分配的错误的情况导致TCP/IP堆栈崩溃使得主机死机。另外向目标主机长时间、连续、大量地发送ICMP数据包也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”使得目标主机耗费大量的CPU资源来处理。
下面我们来实际分析一个捕获文件。这个文件是我们在讲解第6课也就是IP协议的时候利用ping功能捕获的数据包Lab11-1.pcapng
首先需要强调的是在分析ICMP数据包的时候我们需要重点关注的是ICMP头部的Type以及Code的内容。Type表示ICMP消息基于RFC规范的类型或分类。Code表示ICMP消息基于RFC规范的子类型。看一下第一个数据包它显示了主机192.168.147.129在给172.21.79.153发送数据包。ICMP头部中的Type的值是8Code值是0说明这是一个echo请求数据包Wireshark已经帮我们解析出来了。其实这是一个简单的ICMP数据包使用IP发送所包含的数据很少。除了指定的类型、代码以及校验和这里还有序列号用于匹配请求和响应并且在可变域中包含有一串随机字符串。
接下来我们再分析一下第二个数据包 这个数据包是对我们请求的响应。在它的ICMP头部中类型和代码的值都是0表示这是一个echo响应。由于第二个数据包的序列号和第一个数据包可以相匹配于是就可以确定它和第一个数据包是对应的。并且还可以发现在Data的部分这个数据包有着和第一个数据包相同的字符内容。当这个数据包被成功接收后ping就成功了。
ICMP的echo请求使用的字符串可能会引起攻击者的兴趣攻击者可能会使用这段内容来推测设备所使用的操作系统。并且攻击者可能在这个地方放置一些数据位作为反向连接的手段。
步骤2路由跟踪
路由跟踪功能用来识别一个设备到另一个设备的网络路径。在一个简单的网络上这个网络路径可能只经过一个路由器甚至一个路由器也不经过。但是在复杂的网络中数据包可能会经过数十个路由器才会到达最终的目的地。对于网络通信检修来说确定数据包从一个地方到另一个地方所走的路径是非常重要的。
想要进行路由跟踪我们可以在命令提示符中使用tracert功能它就是利用了ICMP协议的通过其跟踪结果我们就可以画出数据包所走的路径。这里我们可以分析一下Lab11-2.pcap实验文件 首先看一下第一个数据包可以发现它与我们刚才分析的echo请求很相像。这个数据包是从IP地址为192.168.100.138到4.2.2.1的简单的echo的请求并且ICMP数据包头部的每一部分都与echo请求数据包相同。但是需要我们注意的是这个数据包的IP头中的TTL的值为1这也就意味着这个数据包会在它所遇到的第一个路由器的地方被丢弃。由于目标地址4.2.2.1其实是一个互联网的地址我们就会知道源设备和目标设备之间肯定至少存在一个路由器因此这个数据包不会到达目的地。
下面再看一下第二个数据包 这个数据包其实就是在前往目的地的路径上由第一个路由器发回的响应。由于第一个数据包到达192.168.100.1后TTL的值变成了0因此就不能够继续传输此时路由器就回复了一个ICMP响应。这个数据包的类型是11代码是0告诉我们这个数据包的TTL在传输中超时所以目标地址不可达。
这里请大家注意的是在ICMP的结尾部分包含了原echo请求的IP头和ICMP数据的拷贝。因此这个数据包也被叫做ICMP双头包表示包含有两个ICMP的包头信息。双包头信息在网络故障检修的时候会非常有用。
继续往下分析可以发现在第七个数据包之前又发送了两次TTL的值为1的数据包。而第七个数据包的TTL的值变成了2。这就保证了这个数据包会到达第二跳的路由。但是即便TTL的值变成了2从下面的数据包来看它也是无法到达目的地直至TTL的值增长到9这个数据包才到达了目的地。
当然我们在未来的课程中还会遇到ICMP协议还会研究它的不同的功能因此说ICMP是一个用途广泛的协议。
步骤3ICMP数据包的抓取
最后我们再来研究一下ICMP数据包的抓取。最常用的是使用ping工具进行捕获关于这个我们已经在第六课中演示过了。所以这里我们可以尝试使用tracert来尝试抓取。在虚拟机中打开命令提示符输入tracert加上目标IP地址主机IP 然后看一下Wireshark的抓取结果Lab11-3.pcapng 可以看到这里也出现了由于TTL的值不够而出现的数据包不可达的情况。
至此本系列课程的所有通用的底层网络协议的分析就到这里我们在未来的实际问题的分析中会经常遇到诸如IP、TCP、UDP、以及ICMP这样的底层协议因为它们是一切网络通信的基础对我们未来的分析至关重要。那么从下次课程开始我们会开始研究一些高级的、基于应用层的网络协议。
1使用tracert时如果遇到第一个路由器数据包就被丢弃则
数据包不再发送重新发送相同的数据包将TTL值增1之后再发送以上无正确答案
B
第2题进行路由跟踪时TTL值初始为
0
1
2
3
B
3、哪个命令用于识别一个设备到另一个设备的网络路径
pingtracertnslookupnet send
B
4、ICMP数据包的最大尺寸为()
16K32K64K128K
C
5、ICMP数据包里控制消息里面包含哪些信息
TypeCodeChecksumHops
ABC
第6题ICMP的请求使用的字符串可能会引起攻击者的兴趣攻击者可能会使用这段内容来推测设备所使用的操作系统。
echo
