1、網絡層之互聯網控制協議網絡層之互聯網控制協議網絡層之互聯網控制協議網絡層之互聯網控制協議l控制報文協議（控制報文協議（ICMP）l地址解析協議（地址解析協議（ARP）l反向地址解析（反向地址解析（RARP） Internet控制報文協議（ICMP） IP協議本身沒有任何可幫助發方協議本身沒有任何可幫助發方測試連接性或了解故障的機制測試連接性或了解故障的機制Internet控制報文控制報文專為互聯網中路由器報告錯誤或提供有關意外情況的信息而設的專為互聯網中路由器報告錯誤或提供有關意外情況的信息而設的lICMP是是IP的一部分的一部分lICMP報文放在一個報文放在一個IP數據包的數據部分數據包的數

2、據部分lICMP報文的最終目的地是處理它的報文的最終目的地是處理它的internet協議軟件模塊協議軟件模塊ICMP的功能的功能 l允許路由器向其他路由器或主機發送差錯或允許路由器向其他路由器或主機發送差錯或 控制報文控制報文l為兩臺機器上的為兩臺機器上的Internet協議軟件提供了通信協議軟件提供了通信差錯報告差錯報告l當數據報產生差錯時，當數據報產生差錯時，ICMP只能向數據報的源端匯只能向數據報的源端匯 報差錯情況報差錯情況l源端必須把差錯交給一個應用程序或采取其它措施來源端必須把差錯交給一個應用程序或采取其它措施來 糾正糾正ICMP只和報文的源端通信H1R1R2RkRnReH2ICM

3、Pl數據報頭只包含源和目的地址數據報頭只包含源和目的地址l路由器不具備全局知識路由器不具備全局知識ICMP報文投遞報文投遞ICMP的兩級封裝的兩級封裝ICMP headerICMP dataIP headerIP dataFrame headerFrame dataICMP報文投遞報文投遞lICMP的特點的特點l攜帶攜帶ICMP報文的數據報與攜帶用戶信息的數據報報文的數據報與攜帶用戶信息的數據報 具有完全相同的路由選擇具有完全相同的路由選擇l不報告攜帶不報告攜帶ICMP報文的數據報出現的差錯報文的數據報出現的差錯l不是高層協議不是高層協議l不具備可靠性和優先級不具備可靠性和優先級ICMP報文的

4、一般格式報文的一般格式Type Code Checksum Data1B 1B 2B nBRFC792報文類型報文類型詳細類別詳細類別校驗和校驗和l差錯信息差錯信息l出錯出錯IP數據報的頭數據報的頭l64位數據位數據ICMP報文的功能報文的功能l檢測目的站的可達性與狀態檢測目的站的可達性與狀態l主機或路由器向指定目的站發送主機或路由器向指定目的站發送ICMP ECHO請求請求 報文，請求報文包含一個可選的數據區；報文，請求報文包含一個可選的數據區；l收到收到ECHO請求報文的機器應立即回應一個請求報文的機器應立即回應一個ECHO 應答報文，應答報文包含了請求報文中數據的拷貝；應答報文，應答報文

5、包含了請求報文中數據的拷貝；類型（類型（8或或0） 代碼（代碼（0） 校驗和校驗和 標識符標識符 序號序號可選數據可選數據081631ICMP報文的功能例例1140.252.14.0ABR140.252.13.1140.252.14.1140.252.14.44140.252.13.3帶有記錄路由帶有記錄路由選項的選項的Ping1st = 140.252.13.12nd = 140.252.14.444th = 140.252.13.33rd = 140.252.14.1Ping R AICMP報文的功能l目的站不可達報告目的站不可達報告 當路由器無法轉發或投遞當路由器無法轉發或投遞IP數據報

6、時，向源端發數據報時，向源端發 回一個目的站不可達報文，并丟棄該數據報。回一個目的站不可達報文，并丟棄該數據報。類型（類型（3） 代碼（代碼（012） 校驗和校驗和 未用（必須為未用（必須為0）IP頭頭+數據報的前數據報的前64位位081631不可達的原因代碼代碼意義意義0網絡不可達網絡不可達1主機不可達主機不可達2協議不可達協議不可達3端口不可達端口不可達4需要分段但需要分段但DF置位置位5源路由失敗源路由失敗6目的網絡未知目的網絡未知7目的主機未知目的主機未知l擁塞和數據流控制擁塞和數據流控制l高速計算機產生的通信量比網絡能傳輸的要快高速計算機產生的通信量比網絡能傳輸的要快 l多個計算機同

7、時要通過某個路由器發送數據報多個計算機同時要通過某個路由器發送數據報類型（類型（4） 代碼（代碼（ 0 ） 校驗和校驗和 未用（必須為未用（必須為0）IP頭頭+數據報的前數據報的前64位位081631ICMP報文的功能ICMP報文的功能l改變路由請求改變路由請求l 假定路由器是知道正確路由的假定路由器是知道正確路由的l 主機從最少的路由信息開始逐漸從路由器那里了解新的路主機從最少的路由信息開始逐漸從路由器那里了解新的路 由信息由信息當路由器檢測到一臺主機使用了一條非優化路由當路由器檢測到一臺主機使用了一條非優化路由時，它就向主機發送一個重定向的時，它就向主機發送一個重定向的ICMP報文，請報文

8、，請求主機改變路由，同時轉發初始數據報求主機改變路由，同時轉發初始數據報類型（類型（5） 代碼（代碼（03 ） 校驗和校驗和 路由器路由器IP地址地址IP頭頭+數據報的前數據報的前64位位081631代碼代碼 意義意義0 對網絡的重定向報文對網絡的重定向報文 對主機的重定向報文對主機的重定向報文 對網絡和服務類型的重定向報文對網絡和服務類型的重定向報文 對主機和服務類型的重定向報文對主機和服務類型的重定向報文ICMP報文的功能R1R2例例2：ICMP重定向重定向(1)IP數據報數據報(2)IP數據報數據報l一旦缺省路由發一旦缺省路由發生差錯，省缺路由生差錯，省缺路由器將通知主機重新器將通知主機

9、重新定向定向l主機在進行主機在進行路由選擇時不路由選擇時不需要具備智能需要具備智能特性特性l所有主機在啟動所有主機在啟動時只需一個缺省路時只需一個缺省路由，通過重定向報由，通過重定向報文來學習文來學習l簡潔性簡潔性允許主機只要知道本允許主機只要知道本 地網絡上的一個路由地網絡上的一個路由器地址就能啟動器地址就能啟動l局限性局限性僅限于同一網絡上的路由器僅限于同一網絡上的路由器和主機之間，沒有解決用一和主機之間，沒有解決用一般方法來傳播路由的問題般方法來傳播路由的問題SDR1R2R3R5R4ICMP報文的功能l檢測循環或過長的路由檢測循環或過長的路由 一旦路由器因數據報的下一跳計數器為一旦路由器

10、因數據報的下一跳計數器為0或等待分段或等待分段 重組超時而丟棄該數據報時，就向源發端發回一個重組超時而丟棄該數據報時，就向源發端發回一個 ICMP超時報文。超時報文。類型（類型（11） 代碼（代碼（01 ） 校驗和校驗和 未用（必須為未用（必須為0）IP頭頭+數據報的前數據報的前64位位0816310：生存期超時：生存期超時 1：分段重組超時：分段重組超時ICMP報文的功能報告其他問題報告其他問題當路由器或主機發現一個數據報有問題時（如不正確當路由器或主機發現一個數據報有問題時（如不正確的數據報頭），便向源發端發送一個參數問題的的數據報頭），便向源發端發送一個參數問題的ICMP報。報。指針標識

11、數據報中產生問題的字節指針標識數據報中產生問題的字節類型（類型（12） 代碼（代碼（01 ） 校驗和校驗和 未用（必須為未用（必須為0）IP頭頭+數據報的前數據報的前64位位081631指針指針l時鐘同步和傳送時間估計值時鐘同步和傳送時間估計值計算請求到目的地，被轉換成應答及返回所需的時間；計算請求到目的地，被轉換成應答及返回所需的時間；計算網絡傳送時間，估計出遠程和本地時鐘的區別。計算網絡傳送時間，估計出遠程和本地時鐘的區別。Transmit timestampReceive timestampOriginate timestamp序號序號標識符標識符校驗和校驗和類型（類型（13/14) 代

12、碼（代碼（0）016318ICMP報文的功能ICMP報文的功能l獲得子網地址掩碼獲得子網地址掩碼為了了解本地網絡使用的子網掩碼，機器可向路由器發為了了解本地網絡使用的子網掩碼，機器可向路由器發出一個地址掩碼請求（出一個地址掩碼請求（address mask request）報文）報文并接收一個地址掩碼應答報文。并接收一個地址掩碼應答報文。地址掩碼地址掩碼序號序號標識符標識符校驗和校驗和類型（類型（1718）代碼（）代碼（0）08163110.0.0.020.0.0.030.0.0.040.0.0.0用用ICMP報文跟蹤路由報文跟蹤路由SR1R2R3TICMP報文的應用Trace route工具

13、：利用工具：利用ICMP超時報文發現到目的地的超時報文發現到目的地的一條路徑上的路由器列表一條路徑上的路由器列表10.0.0.520.0.0.520.0.0.530.0.0.530.0.0.540.0.0.5ttl=1ttl=2ttl=3ICMP報文的應用l用用ICMP報文跟蹤路由報文跟蹤路由l 第一個數據報的生存期置為第一個數據報的生存期置為1l 發出一個生存期為發出一個生存期為2的數據報的數據報l 類似發出一連串生存期遞增的數據報類似發出一連串生存期遞增的數據報l跟蹤路由程序需解決的問題跟蹤路由程序需解決的問題l 處理重復響應和重發丟失的數據報處理重復響應和重發丟失的數據報l 路由可動態變

14、化路由可動態變化l 生存期大到足以達到目的主機的情況生存期大到足以達到目的主機的情況10.0.0.020.0.0.030.0.0.040.0.0.0l用用ICMP發現路徑發現路徑MTU(網絡上傳送的最大數據包網絡上傳送的最大數據包 )SR1R2R3TICMP報文的應用l途徑的路由器無需對數據報進行分段途徑的路由器無需對數據報進行分段l目的主機無需重組完整數據報目的主機無需重組完整數據報10.0.0.520.0.0.520.0.0.630.0.0.630.0.0.740.0.0.710.0.0.020.0.0.030.0.0.040.0.0.0通不過通不過DF=1數據報頭中的數據報頭中的“不能分

15、（不能分（DF）”標志位標志位地址解析l地址解析地址解析 將一臺計算機的將一臺計算機的IP地址翻譯成等價的硬件地址的過程地址翻譯成等價的硬件地址的過程ABCDEFR1R2一臺計算機只能解析連在同一網絡上的計算機地址一臺計算機只能解析連在同一網絡上的計算機地址地址解析協議（地址解析協議（ARP）lARP協議協議 一個一個ARP消息被放入一個硬件幀后，被廣播給網上的所有消息被放入一個硬件幀后，被廣播給網上的所有計算機；每臺計算機收到該請求后都會檢測其中的計算機；每臺計算機收到該請求后都會檢測其中的IP地址，與地址，與IP地址匹配的計算機發送一個應答，而其他的計算機則會丟棄地址匹配的計算機發送一個應

16、答，而其他的計算機則會丟棄收到的請求，不發任何應答。收到的請求，不發任何應答。l兩類消息兩類消息 請求請求/應答應答地址解析協議（地址解析協議（ARP）ARP報文傳遞報文傳遞ABCDEABCDEARP requestARP reply地址解析協議（地址解析協議（ARP）lARP報文格式報文格式硬件地址類型硬件地址類型協議地址類型協議地址類型硬件地址長度協議地址長度硬件地址長度協議地址長度操作（請求操作（請求/應答）應答）發送方硬件地址（第發送方硬件地址（第0第第3字節）字節）發方硬件地址（第發方硬件地址（第4第第5字節）字節）發方協議地址（第發方協議地址（第0第第1字節）字節）發方協議地址（第

17、發方協議地址（第2第第3字節）字節）目的硬件地址（第目的硬件地址（第0第第1字節）字節）目的硬件地址（第目的硬件地址（第2第第5字節）字節）目的協議地址（第目的協議地址（第0第第3字節）字節）1：以太網地址：以太網地址 0 x800：IP地址地址地址解析協議（地址解析協議（ARP）ARP的封裝的封裝ARP消息消息幀頭幀頭 幀數據區幀數據區 CRCARP協議的工作原理在每臺安裝有在每臺安裝有TCP/IP協議的電腦協議的電腦里都有一個里都有一個ARP緩存表，表里的緩存表，表里的IP地址與地址與MAC地址是一一對應的地址是一一對應的 實例：實例： 以主機以主機A（192.168.1.5）向）向主機主

18、機B（192.168.1.1）發送數據）發送數據為例為例 工作步驟：工作步驟：1.當發送數據時，主機當發送數據時，主機A會在自己的會在自己的ARP緩存表中尋找是否有目緩存表中尋找是否有目標標IP地址。如果找到了，也就知道了目標地址。如果找到了，也就知道了目標MAC地址，直接把地址，直接把目標目標MAC地址寫入幀里面發送就可以了地址寫入幀里面發送就可以了 2.如果在如果在ARP緩存表中沒有找到相對應的緩存表中沒有找到相對應的IP地址，主機地址，主機A就會在就會在網絡上發送一個廣播，目標網絡上發送一個廣播，目標MAC地址是地址是“FF.FF.FF.FF.FF.FF”即即192.168.1.1的的M

19、AC地址是什么？地址是什么？” 3.網絡上其他主機并不響應網絡上其他主機并不響應ARP詢問，只有主機詢問，只有主機B接收到這個幀接收到這個幀時，才向主機時，才向主機A做出這樣的回應：做出這樣的回應：“192.168.1.1的的MAC地址地址是是00-aa-00-62-c6-09”4.主機主機A就知道了主機就知道了主機B的的MAC地址，它就可以向主機地址，它就可以向主機B發送信發送信息了。同時它還更新了自己的息了。同時它還更新了自己的ARP緩存表，下次再向主機緩存表，下次再向主機B發發送信息時，直接從送信息時，直接從ARP緩存表里查找就可以了緩存表里查找就可以了 ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。緩存表的長度，加快查詢速度。 ARP攻擊 ARP攻擊就是通過偽造攻擊就是通過偽造IP地址和地址和MAC地址實現地址實現ARP欺騙，能欺騙，能夠在網絡中產生大量的夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要通信量使網絡阻塞，攻擊者只