ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
它工作在OSI七层模型的中的第三层——网络层。
每一个ICMP消息都将包含引发这条ICMP消息的数据包的完全IP包头,这样,端点系统就会知道实际上哪一个数据包没有发送到目的地.另外引发此ICMP消息的数据包的前8个字节也将包括在内,这通常是TCP或者UDP包头.
ICMP报文的结构如下图所示:
其中类型(TYPE)和代码(CODE)共同确定了ICMP传输的消息。而检验和则用于验证ICMP的完整性。TYPE和CODE的对应表如下:
- 面向无连接
- 是TCP/IP协议族的一个子协议,属于网络层协议
- 传递的是控制信息
- PING和Tracert等命令就是基于ICMP协议
- ICMP就是一个“错误侦测与回报机制”
- 侦测远端主机是否存在
- 建立及维护路由资料
- 重导资料传送路径(ICMP重定向:在特定的情况下,雅思英语当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。)
当我们使用PING命令进行主机探测时,使用的就是ICMP协议。
ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。
- “Ping of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。(操作系统已经取消了发送ICMP数据包的大小的限制,解决了这个漏洞)
- 向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
对于“ICMP风暴”问题,解决方案1是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少
解决方案2是设置一个防火墙,过滤ICMP包。一些现有的防火墙就会屏蔽ICMP包。
![多租户saas 架构_[译/注] Force.com 多租户互联网应用开发平台的设计](https://img-blog.csdnimg.cn/img_convert/76020cff8abad2dc0450af183bc4efc1.png)
