前言

上一章节介绍了IP报文头的格式 ，用wireshark抓包带你详解下IP报文头，今天介绍下同属于网络层的ICMP协议。

ICMP 是 TCP/IP 模型中网络层的重要成员，与 IP 协议、ARP 协议、RARP 协议及 IGMP 协议共同构成 TCP/IP 模型中的网络层。

正文

1

ICMP出现的原因

在IP通信中，经常有数据包到达不了对方的情况。原因是，在通信途中的某处的一个路由器由于不能处理所有的数据包，就将数据包一个一个丢弃了。或者，虽然到达了对方，但是由于搞错了端口号，服务器软件可能不能接受它。这时，可以使用ICMP 报文来进行故障定位，将故障信息传递给源端。

在IP 网络上，由于数据包被丢弃等原因，为了控制将必要的信息传递给发信方。ICMP 协议是为了辅助IP 协议，交换各种各样的控制信息而被制造出来的。

2

ICMP作用

ICMP重定向

ICMP Redirect重定向消息用于支持路由功能。

如图所示，主机A希望发送报文到服务器A，于是根据配置的默认网关地址向网关RTB发送报文。

网关RTB收到报文后，检查报文信息，发现报文应该转发到与源主机在同一网段的另一个网关设备RTA，因为此转发路径是更优的路径。

所以RTB会向主机发送一个Redirect消息，通知主机直接向另一个网关RTA发送该报文。

主机收到Redirect消息后，向RTA发送报文，RTA会将报文转发给服务器A。

ICMP差错检测

ICMP Echo Request和ICMP Echo Reply分别用来查询和响应某些信息，进行差错检测。

ICMP Echo消息常用于诊断源和目的之间的网络连通性，还可以提供其他信息，如报文往返时间等。

ICMP错误报告

当网络设备无法访问目标时，会自动发送ICMP目的不可达报文到发送端设备。

ICMP定义了各种错误消息，用于诊断网络连接性问题；

根据这些错误消息，源设备可以判断出数据传输失败的原因。

比如，如果网络中发生了环路，导致报文在网络中循环，最终TTL超时，这种情况下网络设备会发送TTL超时消息给发送端设备。

又比如如果目的不可达，则中间的网络设备会发送目的不可达消息给发送端设备。

目的不可达的情况有多种，如果是网络设备无法找到目的网络，则发送目的网络不可达消息；如果网络设备无法找到目的网络中的目的主机，则发送目的主机不可达消息。

ICMP数据包类型：

3

ICMP报文格式

ICMP消息封装在IP报文中。

ICMP消息的格式取决于Type和Code字段，其中Type字段为消息类型，Code字段包含该消息类型的具体参数。后面的校验和字段用于检查消息是否完整。

消息中包含32比特的可变参数，这个字段一般不使用，通常设置为0。

在ICMP Redirect消息中，这个字段用来指定网关IP地址，主机根据这个地址将报文重定向到指定网关。

在Echo请求消息中，这个字段包含标识符和序号，源端根据这两个参数将收到的回复消息与本端发送的Echo请求消息进行关联。尤其是当源端向目的端发送了多个Echo请求消息时，需要根据标识符和序号将Echo请求和回复进行一一对应。

4

ICMP的应用

ping

ICMP的一个典型应用是Ping。

Ping是检测网络连通性的常用工具，同时也能够收集其他相关信息。

用户可以在Ping命令中指定不同参数，如ICMP报文长度、发送的ICMP报文个数、等待回复响应的超时时间等，设备根据配置的参数来构造并发送ICMP报文，进行Ping测试。

Ping常用的配置参数说明如下：

1. -a source-ip-address：指定发送ICMP ECHO-REQUEST报文的源IP地址。如果不指定源IP地址，将采用出接口的IP地址作为ICMP ECHO-REQUEST报文发送的源地址。

2. -c count：指定发送ICMP ECHO-REQUEST报文次数。缺省情况下发送5个ICMP ECHO-REQUEST报文。

3. -h ttl-value：指定TTL的值。缺省值是255。

4. -t timeout：指定发送完ICMP ECHO-REQUEST后，等待ICMP ECHO-REPLY的超时时间。

Ping命令的输出信息中包括目的地址、ICMP报文长度、序号、TTL值、以及往返时间。

序号是包含在Echo回复消息（Type=0）中的可变参数字段，TTL和往返时间包含在消息的IP头中。

Tracert

ICMP的另一个典型应用是Tracert。

Tracert基于报文头中的TTL值来逐跳跟踪报文的转发路径。

为了跟踪到达某特定目的地址的路径，源端首先将报文的TTL值设置为1。该报文到达第一个节点后，TTL超时，于是该节点向源端发送TTL超时消息，消息中携带时间戳。然后源端将报文的TTL值设置为2，报文到达第二个节点后超时，该节点同样返回TTL超时消息，以此类推，直到报文到达目的地。

这样，源端根据返回的报文中的信息可以跟踪到报文经过的每一个节点，并根据时间戳信息计算往返时间。

Tracert是检测网络丢包及时延的有效手段，同时可以帮助管理员发现网络中的路由环路。

Tracert常用的配置参数说明如下：

1、-a source-ip-address ：指定tracert报文的源地址。

2、-f first-ttl ：指定初始TTL。缺省值是1。

3、-m max-ttl ：指定最大TTL。缺省值是30。

4、-name：使能显示每一跳的主机名。

5、-p port：指定目的主机的UDP端口号。

5

wirkshark抓一个ICMP报文

通过ENSP模拟器搭建如下拓扑，PC1 的IP为192.168.1.1/24, PC2 的IP为192.168.1.2/24。

在PC1上 ping PC2，如下图：可以看到缺省情况下发送5个ICMP ECHO-REQUEST报文。

ping的包报文长度为32字节，序号为从1到5，ttl为128，往返时延为16ms和1ms，发送了5个包没有丢包。

下面我们打开wireshark软件抓取ICMP的ping往返报文。

如上图所示，可以看到抓取到了10个ping报文，为什么ping了5个包是10个包呢？因为ping的报文是往返的。

打开一个ICMP报文，可以看到ICMP报文头是是包含在IP报文里面的。

ICMP报文头中type为8，表示为ECHO-REQUEST报文。

总结

今天主要介绍了ICMP报文，ICMP是TCP/IP协议簇的核心协议之一，用来在IP网络设备间发送控制报文，传递差错、控制、查询等信息，它对于收集各种网络信息、诊断和排除各种网络故障具有至关重要的作用。

ping 和 tracert是两个常用网络管理命令，ping 用来测试网络可达性，tracert 用来显示到达目的主机的路径。

大家有疑问可以后台留言交流呀，帮忙点个在看呀。