演示：理解并取证ICMP报文的结构、试题分析

第4章详解并取证网络协议的工作原理任务4.2.3ICMP（InternetControlMessageProtocol,Internet控制报文协议）是TCP/IP簇的子协议，位于OSI七层模型的第三层，用于IP主机、路由器之间传递可达性控制消息，确定信源与信宿是否可达，路由器是否可用。这个消息并不是用户数据，而是确定用户与目标是否可达，如果不可达，则可以根据ICMP协议返回的消息确定故障原因，如ping这个测试网络连通性的应用程序使用的就是ICMP协议。ICMP协议帧的结构如图4.37所示。类型编码校验和报文体图4.37ICMP协议帧的结构任务4.2.3ICMP协议帧结构的各字段含义如下：类型：标识ICMP报文的类型，如常见的类型3表示目标不可达，类型11表示超时，0为回显应答，8为回显请求，30代表路由跟踪。CCNA学员主要掌握这几种消息。编码：在每种ICMP报文类型中又分派出256种子类型，而编码值就表示各子类型的意义。本书在此不做重点讨论。校验和：为整个ICMP报文提供差错保护机制。报文体：被封装进ICMP报文中的初始数据报。任务4.2.4演示：取证ICMP报文的结构演示目标：取证ICMP报文的结构、ICMP的“目标不可达”、ICMP的“超时”消息。演示环境：如图4.38所示。图4.38分析与取证ICMP报文任务4.2.4演示背景：首先分析192.168.2.2主机与192.168.2.3主机的“回显请求”和“回显应答”消息，并对照4.2.3节“理解ICMP协议的工作原理”部分，分析ICMP报文的构成，然后根据演示步骤去分析ICMP的“目标不可达”和“超时”消息，最后利用配置应用部分去分析网络的故障来源。演示步骤：1.理解ICMP帧的结构。测试平台如图4.38所示，完成各台路由器与交换机的基本配置，包括静态路由器的输入，这个过程可以由CCNA（640-802）的教员完成，如果是自学的学员,则可参看本小节对应的教学录像。确定所有的基本配置无误后，在192.168.2.2主机上发起对192.168.2.3的ping，同时在192.168.2.2主机上开始捕获ICMP数据帧，如图4.39所示。拆分帧得到192.168.2.3到192.168.2.2的ICMPEcho消息中的ICMP：Type=8，表示192.168.2.3对192.168.2.2的ICMP的“回显请求”；而192.168.2.2回送给192.168.2.3的数据帧中的ICMP：Type=0，表示192.168.2.2对192.168.2.3的“回显应答”。任务4.2.4图4.39ICMP数据帧的结构任务4.2.42.理解ICMP的“目标不可达”消息。在R1上删除到192.168.3.0子网的路由，这个过程可以由CCNA（640-802）的教员完成，如果是自学的学员,则可参看本小节对应的教学录像。然后在192.168.2.2主机上发起对192.168.3.2的ping，192.168.2.2主机显示“目标不可达”消息，如图4.40所示。同时在192.168.2.2的主机上开始捕获ICMP数据帧，如图4.41所示，192.168.2.2主机向192.168.3.2发出了ICMP的“回显请求”，但是由于IP报文送达路由器后，路由器找不到目标子网192.168.3.0的路由，所以路由器192.168.2.1回应192.168.2.2主机目标主机不可达。事实上，IP报文的通信是在路由器R1处中断的。图4.40ICMP的“目标不可达”消息图4.41ICMP的“目标不可达”数据帧任务4.2.43.理解ICMP的“超时”消息。在R1上还原到目标子网192.168.3.0的路由，然后删除R2上目标子网为192.168.2.0的路由，这个过程可以由CCNA（640-802）的教员完成，如果是自学的学员，则可参看本小节对应的教学录像。在192.168.2.2主机上发起对192.168.3.2的ping，得到如图4.42所示的消息，显示ICMP通信“超时”。这是因为192.168.2.2将IP报文送达R1时，R1有192.168.3.0子网的路由并且可以送达下一跳路由器R2。但是不要忘记，ICMP通信是双向的，192.168.2.2能将到192.168.3.2的ICMP“回显应答”成功地送达192.168.3.2，但是192.168.3.2回送ICMP的“回显应答”消息时，IP报文到R2就无法再发送了，因为删除了R2上回到192.168.2.0的路由，所以在192.168.2.2主机上捕获的数据帧只有192.168.2.2到192.168.3.2的“回显应答”，