ICMP消息在網(wǎng)絡(luò)中是如何傳遞，如何達(dá)到它的目的的呢？我們學(xué)習(xí)網(wǎng)絡(luò)，少不了對(duì)OSI模型的認(rèn)識(shí)。從中，我們也知道，支持網(wǎng)絡(luò)結(jié)構(gòu)的一些協(xié)議，也是有著層次的區(qū)分。那么今天我們介紹的ICMP以及ICMP消息的有關(guān)內(nèi)容也是其中的重點(diǎn)。OSI模式的第3層是網(wǎng)絡(luò)層。數(shù)據(jù)鏈路層提供節(jié)點(diǎn)間的連接，而網(wǎng)絡(luò)層則負(fù)責(zé)路由轉(zhuǎn)發(fā)及實(shí)現(xiàn)路由表協(xié)議。其中最主要的就是互聯(lián)網(wǎng)協(xié)議（IP）。網(wǎng)絡(luò)層上還提供其他的服務(wù)，如互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）。ICMP是專門用作邏輯錯(cuò)誤和診斷的信使。RFC792對(duì)它作了詳細(xì)的闡述。任何IP網(wǎng)絡(luò)設(shè)備都有發(fā)送、接收或運(yùn)作ICMP消息的功能。雖然ICMP的設(shè)計(jì)者沒(méi)有考慮今天出現(xiàn)的安全性問(wèn)題，但是他們已經(jīng)設(shè)計(jì)了一些能使ICMP更有效運(yùn)作的基本準(zhǔn)則。

1． 為了確保ICMP消息不會(huì)淹沒(méi)IP網(wǎng)絡(luò)，ICMP沒(méi)有任何特別的優(yōu)先級(jí)，它總是一種常規(guī)流量。

2． ICMP消息作為其他ICMP消息的響應(yīng)而發(fā)送。這個(gè)設(shè)計(jì)機(jī)制是為了防止出現(xiàn)一個(gè)錯(cuò)誤消息不斷地重復(fù)制造出另一個(gè)錯(cuò)誤消息。否則，它就真的是個(gè)大問(wèn)題了。

3． ICMP不能作為多播或廣播流量的響應(yīng)而發(fā)送。

知道了這些ICMP基本準(zhǔn)則后，我們?cè)賮?lái)關(guān)注下ICMP報(bào)頭的格式。設(shè)計(jì)好的ICMP的報(bào)頭就包含了一個(gè)類型域和代碼域。通常ICMP包含以下類型：

0  Echo Reply (Ping)

3  Destination Unreachable

4  Source Quench

5  Redirect Message

6  Alternate Host Address

8  Echo Request (Ping)

9  Router Advertisement

10  Router Solicitation

11  Time Exceeded

類型域和代碼域可以一起用于確定ICMP消息的發(fā)送原因。例如，類型3表示一個(gè)目標(biāo)不能到達(dá)。在類型3消息中有16位唯一碼。該代碼標(biāo)識(shí)了目標(biāo)為什么不能到達(dá)。其中可能包括網(wǎng)絡(luò)問(wèn)題（代碼0）、路由阻擋數(shù)據(jù)包（代碼13），或者甚至是應(yīng)用不在目標(biāo)計(jì)算機(jī)（代碼3）。最常見(jiàn)的ICMP信息類型是8/0，它是一個(gè)呼叫請(qǐng)求/回答（ping）。

現(xiàn)在有很多基于ICMP開發(fā)的網(wǎng)絡(luò)工具。Traceroute就是其中的一個(gè)。Traceroute以連續(xù)地發(fā)送有序編號(hào)的IP TTL數(shù)據(jù)包來(lái)尋找ICMP TTL溢出的返回消息。通過(guò)它的這個(gè)設(shè)計(jì)，你能發(fā)現(xiàn)ICMP是一個(gè)非常有用的網(wǎng)絡(luò)工具。但是，它也是最常用的和最濫用的協(xié)議之一。現(xiàn)在，讓我們來(lái)看看一些關(guān)于ICMP濫用的情況。

ICMP濫用

之前介紹過(guò)使用ping作為基本的連接工具。但它也被黑客廣泛地用來(lái)在攻擊前進(jìn)行連接驗(yàn)證。你是無(wú)法攻擊一個(gè)沒(méi)有連接上和沒(méi)有啟動(dòng)的系統(tǒng)——而ping則是幫你發(fā)現(xiàn)系統(tǒng)是否正在運(yùn)行的好辦法。由于這樣的問(wèn)題太多了，以致目前很多網(wǎng)絡(luò)都阻擋了ping。雖然這樣做是一個(gè)好的開始，但是它并沒(méi)有完全解決問(wèn)題。比如，隱藏工具Loki就是一個(gè)例子。

1996年P(guān)hrak的地鐵雜志上發(fā)布了Loki，它是一個(gè)概念驗(yàn)證工具。如果安裝在內(nèi)部電腦上，Loki可以使用ICMP回叫網(wǎng)絡(luò)外的黑客。管理員看到的只是發(fā)出的新ping流量，而黑客則事實(shí)上已經(jīng)建立了隱秘的通道。ICMP協(xié)議從而正被用于消息傳送。但是，只要在防火墻上同時(shí)阻擋進(jìn)出的ICMP就可以解決這個(gè)問(wèn)題。

與ICMP相關(guān)的另一個(gè)潛在問(wèn)題是它在拒絕服務(wù)（DoS）攻擊中的使用。Smurf就是一個(gè)例子。Smurf使用ping數(shù)據(jù)包來(lái)濫用ICMP。它會(huì)發(fā)送壞ICMP數(shù)據(jù)包。它能修改目標(biāo)地址以將數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)節(jié)點(diǎn)的廣播地址。而源地址則已經(jīng)被重新指定為被攻擊者地址。在大型的網(wǎng)絡(luò)上，很多系統(tǒng)都會(huì)響應(yīng)廣播ping。這樣攻擊的結(jié)果是導(dǎo)致被攻擊者被ping響應(yīng)流所淹沒(méi)，以致合法的訪問(wèn)被阻斷。在2002年發(fā)生了一個(gè)類似的、針對(duì)核心DNS服務(wù)器的攻擊案例。管理員可以在Cisco路由器上添加以下命令來(lái)防止他們的網(wǎng)絡(luò)響應(yīng)Smurf流量：no ip directed-broadcast.

ICMP還可以用于輔助進(jìn)行端口掃描和OS識(shí)別，這也叫做指紋識(shí)別。它是攻擊過(guò)程中一個(gè)必要的步驟。畢竟，在不知道目標(biāo)系統(tǒng)運(yùn)行狀態(tài)的情況下，攻擊是無(wú)法成功的。例如，黑客可能只有一個(gè)針對(duì)Windows XP的攻擊，因此它對(duì)于Windows 2003系統(tǒng)就沒(méi)有用了。指紋識(shí)別是用于識(shí)別OS的。當(dāng)進(jìn)行指紋識(shí)別時(shí)，黑客會(huì)使用一個(gè)掃描工具來(lái)向目標(biāo)系統(tǒng)發(fā)送一系列正常的、特有的以及異常的ICMP查詢。接著，掃描工具會(huì)觀察響應(yīng)并將它們與數(shù)據(jù)庫(kù)進(jìn)行比較。

ICMP是設(shè)計(jì)用于更可信網(wǎng)絡(luò)的。有了ICMP的所有功能，如果它可以在網(wǎng)絡(luò)上自由的進(jìn)出，那么它將會(huì)是非常實(shí)用的。但是，事實(shí)上并不是這樣的。如果你的目的是為了使網(wǎng)絡(luò)更加的安全，那么要盡可能地在重要的網(wǎng)絡(luò)訪問(wèn)端口阻截和禁用ICMP。你的選擇將會(huì)丟棄或拒絕流量。但是，這些都由你自己來(lái)決定。從安全的角度考慮，丟棄數(shù)據(jù)包可以減少信息的泄露并使黑客更加難以收集到信息。而拒絕數(shù)據(jù)包會(huì)使服務(wù)能發(fā)現(xiàn)操作失敗并快速地中止，而這使使網(wǎng)絡(luò)更加容易受到攻擊了?；谶@些原因，作者建議選擇丟棄ICMP數(shù)據(jù)。