《网络安全与防护教学课件作者迟恩宇实训指导1.1-1基于PT分析ICMP协议》由会员分享,可在线阅读,更多相关《网络安全与防护教学课件作者迟恩宇实训指导1.1-1基于PT分析ICMP协议(35页珍藏版)》请在金锄头文库上搜索。
1、国家高等职业教育 网络技术专业教学资源库,计算机网络安全技术与实施,学习情境1:实训任务1.1 利用Packet Tracer分析协议工作过程,ICMP协议原理及分析,内容介绍,任务场景及工具软件介绍,1,任务相关技术原理介绍,2,任务设计、规划,3,任务实施及方法技巧,4,任务检查与评价,5,任务总结,6,任务场景及工具软件介绍,任务场景及工具软件介绍,任务场景及工具软件介绍,任务相关技术原理介绍,卷1主要讲述TCP/IP协议方面的内容。讲述了RFCS的标准协议,结合大量实例讲述了TCP/IP协议,TCP/IP的知识:路由协议、寻址协议、组控制协议、简单邮件传输协议等。卷1适合于网络技术,而
2、卷2-3更侧重于编程。,任务相关技术原理介绍,网络层次结构与数据封装解封装,任务相关技术原理介绍,ICMP协议原理 1.基本概念 Internet Control Message Protocol:网际控制报文协议 IP提供的尽力数据报通信服务无连接服务,而并不能解决网络低层的数据报丢失、重复、延迟或乱序等问题,TCP在IP基础建立有连接服务解决以上问题,不能解决网络故障或其它网络原因无法传输数据包的问题。 所以,ICMP设计的本意就是希望对IP包无法传输时提供差错报告,这些差错报告帮助了发送方了解为什么无法传递,网络发生了什么问题,确定应用程序后续操作。,任务相关技术原理介绍,2.协议特征
3、ICMP就像一个更高层的协议那样使用IP(即,ICMP消息被封装在IP数据报中)。然而,ICMP是IP的一个组成部分,并且所有IP模块都必须实现它。 ICMP用来报告错误,是一个差错报告机制。它为遇到差错的路由器提供了向最初源站报告差错的办法,源站必须把差错交给一个应用程序或采取其它措施来纠正问题。 ICMP不能用来报告ICMP消息的错误,这样就避免了无限循环。当ICMP查询消息时通过发送ICMP来响应。 对于被分段的数据报,ICMP消息只发送关于第一个分段中的错误。也就是说,ICMP消息永远不会引用一个具有非0片偏移量字段的IP数据报。 响应具有一个广播或组播目的地址的数据报时,永远不会发送
4、ICMP消息 响应一个没有源主机IP地址的数据报时永远不会发送ICMP消息。也就是说,源地址不能为0,一个回送地址,一个广播地址或者一个组播地址。,任务相关技术原理介绍,2.协议特征 通过ICMP可以知道故障的具体原因和位置。 由于IP不是为可靠传输服务设计的, ICMP的目的主要是用于在TCP/IP网络中发送出错和控制消息。 ICMP的错误报告只能通知出错数据包的源主机,而无法通知从源主机到出错路由器途中的所有路由器(环路时)。 ICMP数据包是封装在IP数据包中的。 ICMP报文的种类有三大类种,即ICMP差错报告报文、控制报文、请求/应答报文。,任务相关技术原理介绍,3.协议封装 每个I
5、CMP报文放在IP数据报的数据部分中通过互联网传递,而IP数据报本身放在二层帧的数据部分中通过物理网络传递。,任务相关技术原理介绍,4.协议报文格式 ICMP定义了五种常用差错报文和六种询问报文类型,以及用代码表达某类型下面不同情况的细分。,用来标识报文,有15个不同的值,提供有关报文类型的进一步信息,覆盖整个ICMP报文,任务相关技术原理介绍,4.协议报文格式,任务相关技术原理介绍,5.协议主要差错报文 所有ICMP差错报告报文中的数据字段都具有同样的格式。将收到的需要进行差错报告的IP数据报的首部和数据字段的前8个字节提取出来,作为ICMP报告的数据字段。再加上相应的ICMP差错报告报文的
6、前8个字节,就构成了ICMP差错报告报文。提取收到的数据报的数据字段的前8个字节是为了得到传输层的端口号(对于TCP和UDP)以及传输层报文的发送序号(对于TCP),任务相关技术原理介绍,5.协议主要差错报文,IP数据 报首部,8字节,IP数据报 首部,8字节,首部,ICMP差错报告报文,收到的IP数据报,ICMP差错报告报文,装入ICMP报文的IP数据报,ICMP的前8个字节,重定向Redirect(5) 当一个源主机创建的数据报发至某路由器,该路由器发现数据报应该选择其他路由,则向源主机发送改变路由报文。改变路由的报文能指出网络或特定主机的变化,一般发生在一个网络连接多路由器的情况下。,任
7、务相关技术原理介绍,5.协议主要差错报文 重定向Redirect(5):改变路由的报文 当一个源主机创建的数据报发至某路由器,该路由器发现数据报应该选择其他路由,则向源主机发送改变路由报文。改变路由的报文能指出网络或特定主机的变化,一般发生在一个网络连接多路由器的情况下。 在因特网中各路由器之间要经常交换路由信息,以便动态更新各自的路由表。但在因特网中主机的数量远大于路由器的数量。主机如果也像路由器那样经常交换路由信息,就会产生很大的附加通信量,因而大大浪费了网络资源。所以,出于效率的考虑,连接在网络上的主机的路由表一般都采用人工配置,并且主机不和连接在网络上的路由器定期交换路由信息。在主机刚
8、开始工作时,一般都在路由表中设置了一个默认路由器的IP地址。不管数据报要发送到哪个目的地址,都一律先将数据报传送给网络上的这个默认路由器,而这个默认路由器知道到每一个目的网络的最佳路由。如果默认路由器发现主机发往某个目的地址的数据报的最佳路由不应当经过默认路由器,而是应当经过网络上的另一个路由器R时,就用改变路由报文将此情况报告主机。 于是,该主机就在其路由表中增加一项:到某某目的地址应经过路由器R(而不是默认路由器)。,任务相关技术原理介绍,5.协议主要差错报文 目的站不可达Destination Unreachable (3) 当路由器检测到数据报无法传递到目的地时,向创建数据报的源主机发
9、出目的地不可达报文。这报文区分:网络不通(如路由器故障),目的主机连不通,协议不可达、端口不可达等共15种不同的情况,用不同代码表示。 源站抑制Source Quench (4) 当路由器收到太多的数据报以致内存不够时,在丢弃所收数据报的同时,向创建数据报的源主机发送源抑制报文。源主机收到源抑制报文后,需要降低发送数据报的速率。,任务相关技术原理介绍,5.协议主要差错报文 超时Time Exceeded (11) 有两种情况需要发送超时报文。一种是路由器把数据报的生存时间减至零时,路由器丢弃数据报,并向源主机发送超时报文;另一种是一个数据报的所有段到达前,重组计时到点,接收主机也会向源主机发送
10、超时报文。 参数问题 Parameter Problem 数据报头部的标志出现差错,或缺少必须的选项,任务相关技术原理介绍,5.协议主要差错报文 请求/应答 Echo Request/Reply 可以对任何一台网上主机的ICMP软件发请求/应答报文。这种询问报文用来测试目的站是否可达以及了解其有关状态。Ping服务就是采用这个报文来获得两个主机之间的 连通性。 地址掩码请求/应答Address Mask Request/Reply 主机启动时,会广播一个地址掩码请求报文。路由器收到地址掩码请求报文后,回送一个包含本网使用的32位地址掩码的应答报文。用于无盘系统在引导过程中获取自己的子网掩码。
11、时间戳请求/应答Timestamp Request/Reply 主机发出查询当前时间的请求,应答报文建议值是自午夜开始计算的毫秒数,UTC Coodinated Universal time,协调统一时间)。可用来进行时钟同步和测量时间。 其它还有DNS请求/应答,以及最新IPv6、安全、移动定位等类型定义,任务相关技术原理介绍,6.三种ICMP协议常见应用:Ping、Traceroute、 MTU测试 Ping:使用ICMP回送和应答消息来确定一台主机是否可达。Ping是应用层直接使用网络层ICMP的一个例子。,发送数据Z,我不知道怎样访问Z,广域网,到Z,目的端不可达,A,任务相关技术原理
12、介绍,6.协议常见应用:Traceroute Traceroute:该程序用来确定通过网络的路由IP数据报。Traceroute基于ICMP和UDP。它把一个TTL为1的IP数据报发送给目的主机。第一个路由器把TTL减小到0,丢弃该数据报并把ICMP超时消息返回给源主机。这样,路径上的第一个路由器就被标识了。随后用不断增大的TTL值重复这个过程,标识出通往目的主机的路径上确切的路由器系列. 继续这个过程直至该数据报到达目的主机。但是目的主机哪怕接收到TTL为1的IP数据报,也不会丢弃该数据并产生一份超时ICMP报文,这是因为数据报已经到达其最终目的地。,任务相关技术原理介绍,6.协议常见应用:
13、Traceroute Traceroute实现有两种方法 一种:发送一个ICMP回应请求报文;目的主机将会产生一个ICMP回应答复报文。Microsoft实现(tracert)中采用该方法。当回应请求到达目的主机时,ICMP就产生一个答复报文,它的源地址等于收到的请求报文中的目的IP地址。 另一种:发生一个数据报给一个不存在的应用进程;目的主机将会产生一个ICMP目的不可达报文。大多数UNIX版本的traceroute程序采用该方法。Traceroute程序发送一份UDP数据报给目的主机,但它选择一个不可能的值作为UDP端口号(大于30000),使目的主机的任何一个应用程序都不可能使用该端口。
14、因为,当该数据报到达时,将使目的主机的UDP模块产生一份“端口不可达”错误的ICMP报文。这样,Traceroute程序所要做的就是区分接收到的ICMP报文是超时还是端口不可达,以判断什么时候结束。,任务相关技术原理介绍,6.协议常见应用:用ICMP发现路径MTU MTU测试:Max Transmission Unit是网络最大传输单元(包长度),IP路由器必须对超过MTU的IP报进行分片,目的主机再完成重组处理,所以确定源到目的路径MTU对提高传输效率是非常必要的。确定路径MTU的方法是“要求报告分片但又不被允许”的ICMP报文。 将IP数据报的标志域中的分片BIT位置1,不允许分片。 当路
15、由器发现IP数据报长度大于MTU时,丢弃数据报,并发回一个要求分片的ICMP报。 将IP数据报长度减小,分片BIT位置1重发,接收返回的ICMP报的分析。 发送一系列的长度递减的、不允许分片的数据报,通过接收返回的ICMP报的分析,可确定路径MTU。,任务相关技术原理介绍,7.协议安全性分析 Ping of Death 黑客利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“Ping of Death”(死亡之Ping)攻击。“Ping of Death”攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致 TCP/IP堆栈崩溃,致使
16、主机死机。 ICMP攻击导致拒绝服务(DoS)攻击 向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。它的工作原理是利用发出ICMP类型8的echo-request给目的主机,对方收到后会发出中断请求给操作系统,请系统回送一个类型0的echo-reply。大量的 ICMP数据包会形成“ICMP风暴”或称为“ICMP洪流”,使得目标主机耗费大量的CPU资源处理,疲于奔命。这种攻击被称为拒绝服务(DoS)攻击,它有多种多样具体的实现方式。,任务相关技术原理介绍,7.协议安全性分析 针对宽带的DOS的攻击 主要是利用无用的数据来耗尽网络带宽。通过高速发送大量的ICMP echo -reply数据包,目标网络的带宽瞬间就会被耗尽,组织合法的数据通过网络。ICMP echo-reply数据包具有较高的优先级,在一般情况下,网络总是允许内部主机使用Ping命令。 针对连接的DOS攻击 针对连接的DOS攻击,可以终止现有的网络连接。它使用合法的ICMP消息影响所有的IP设备。Nuke通过发送一个伪造的ICMP De
