網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)防火墻路由器ICMP是“Internet Control Message Ptotocol”(Internet控制消息協(xié)議)的縮寫。它是TCP/IP協(xié)議族的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。

在網(wǎng)絡(luò)中經(jīng)常會使用到ICMP協(xié)議。例如經(jīng)常用于檢查網(wǎng)絡(luò)不通的ping命令，這個ping的過程實際上就是ICMP協(xié)議工作的過程。還有跟蹤路由的trancert命令也是基于ICMP協(xié)議的。

操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB。通常利用這一規(guī)定進行主機攻擊。即Ping of Death攻擊。它的原理是：如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時，主機就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使主機死機。

此外，向目標(biāo)主機長時間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。大量的ICMP數(shù)據(jù)包會形成ICMP風(fēng)暴，使得目標(biāo)主機耗費大量的CPU資源處理，疲于奔命。

ping.exe的原理：向指定的IP地址發(fā)送一定長度的數(shù)據(jù)包，按照約定，若指定IP地址存在的話，會返回同樣大小的數(shù)據(jù)包，當(dāng)然，若在特定時間內(nèi)沒有返回，就是“超時”，會被認為指定的IP地址不存在。由于ping使用的是ICMP協(xié)議，有些防火墻軟件會屏蔽ICMP協(xié)議，所以有時候ping的結(jié)果只能作為參考，ping不通并不一定說明對方IP不存在。

IPSec安全策略防ping原理：通過新建一個IPSec策略過濾本機所有的ICMP數(shù)據(jù)包，這樣確實可以有效地防ping，但同時也會留下后遺癥。因為ping命令和ICMP協(xié)議有著密切的關(guān)系。在ICMP協(xié)議的應(yīng)用中包含11種報文格式，其中ping命令就是利用ICMP協(xié)議中的“Echo Request”報文進行工作的。

一般在某些有特殊應(yīng)用的局域網(wǎng)環(huán)境中，容易出現(xiàn)數(shù)據(jù)包丟失的現(xiàn)象，影響用戶正常辦公，因此建議使用防火墻。