3.5 ICMP不可达报文的处理

TCP处理ICMP不可达报文的机制
最新推荐文章于 2025-06-10 09:29:12 发布
原创 最新推荐文章于 2025-06-10 09:29:12 发布 · 1.2w 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux内核 #tcp

本文探讨了在TCP三次握手过程中,当遇到ICMP“目的不可达”报文时的情况。两种典型场景包括:client端发送SYN请求后未找到server端对应处理,以及client端在SYN|ACK响应后崩溃。Linux内核中的TCP在接收到ICMP错误报文后,会通过tcp_protocol数据结构及时调整TCP状态机,如设置为TCP_CLOSE并释放资源,确保连接资源的有效回收。

  在三次握手阶段有两种情况TCP会收到ICMP“目的不可达”报文:

1、client端通过connect系统调用发送SYN请求到server端后,server没有进程在相应的地址或端口处理请求,这时client端会收到ICMP不可达报文

2、client端通过connect系统调用发送SYN请求后崩溃,server端收到SYN后发送SYN|ACK,client端收到SYN|ACK后会给server发送ICMP不可达报文

  TCP在收到ICMP目的不可达报文后是如何处理的呢?Linux的TCP在系统启动时会向IP层注册一个数据结构——tcp_protocol:

1552 static const struct net_protocol tcp_protocol = {
1553     .early_demux    =   tcp_v4_early_demux,
1554     .handler    =   tcp_v4_rcv,    
1555     .err_handler    =   tcp_v4_err,
1556     .no_policy  =   1,   
1557     .netns_ok   =   1,   
1558 };
  其中,tcp_v4_rcv是TCP协议入口函数,而tcp_v4_err则是ICMP报文在TCP层的处理函数: 

 326 void tcp_v4_err(struct sk_buff *icmp_skb, u32 info)
 327 {       
 328     const struct iphdr *iph = (const struct iphdr *)icmp_skb->data;
 329     struct tcphdr *th = (struct tcphdr *)(icmp_skb->data + (iph->ihl << 2));
 330     struct inet_conn
最低0.47元/天 解锁文章

新学期VIP享超值加赠
ICMP(Internet Control Message Protocol)目标不可达错误消息
青衫客36的博客
05-29 3318
ICMP不可达消息是网络诊断和故障排除的重要工具,它提供了关于网络、主机、协议和端口的各种不可达问题的详细信息。理解这些消息及其含义有助于网络管理员快速定位和解决网络问题。
关于ICMP不可达报文
weixin_34071713的博客
01-05 4157
分析一种ICMP差错报文,即端口不可达报文,它是ICMP目的不可到达报文中的一种,以此来看一看ICMP差错报文中所附加的信息。UDP的规则之一是,如果收到一份UDP数据报而目的端口与某个正在使用的进程不相符,那么UDP返回一个ICMP不可达报文。UDP的规则之一是,如果收到一份UDP数据报而目的端口与某个正在使用的进程不相符,那么UDP返回一个ICMP不可达报文...
UNIX网络编程——ICMP报文分析:端口不可达
weixin_34015860的博客
07-23 299
ICMP的一个规则是,ICMP差错报文必须包括生成该差错报文的数据报IP首部(包含任何选项),还必须至少包括跟在该IP首部后面的前8个字节(包含源端口和目的端口)。在我们的例子中,跟在IP首部后面的前8个字节包含UDP的首部。 我们利用前面博客中UNIX网络编程学习(18)中UDP回射程序,不开启服务器端程序,只开启客户程序,发送出一个hello,没有回应,但是用wireshar...
如何解决权限不足导致的ICMP测试失败?
最新发布
Java的专栏
06-10 520
解决权限不足导致的 ICMP 测试失败,可以从提升执行权限、设置必要的能力、使用替代方案等多个角度入手。根据具体情况选择最合适的方法,同时要注意安全性,避免因权限过度放宽带来的风险。
97-ICMP 协议(端口不可达
进击的小学生
05-23 1万+
ICMP 端口不可达是差错报文中的一种,它的类型(type)是 3,代码(code)也是 3. 1. 差错报文首部格式 图1 差错报文首部 2. 实验 打开我们之前写的 ICMP 报文接收程序 程序托管在 gitos 上:http://git.oschina.net/ivan_allen/unp 如果你已经 clone 过这个代码了,请使用 git pull 更...
ICMP协议端口不可达抓包
04-28
使用tftp配合sniffer抓包,通过修改tftp的目标端口为错误的端口,从而获得ICMP的错误响应包
ICMP报文分析:端口不可达
技术斋
05-11 1万+
ICMP的一个规则是,ICMP差错报文必须包括生成该差错报文的数据报IP首部(包含任何选项),还必须至少包括跟在该IP首部后面的前8个字节(包含源端口和目的端口)。在我们的例子中,跟在IP首部后面的前8个字节包含UDP的首部。    我们利用前面博客中UNIX网络编程学习(18)中UDP回射程序,不开启服务器端程序,只开启客户程序,发送出一个hello,没有回应,但是用wireshark
TCP/IP(3.5)—网络控制报文协议ICMP
zengchen73的专栏
05-17 1460
ICMP是IP层协议。 ICMP经常被认为是IP层的一个组成部分。它传递差错报文以及其他需要注意的信息。一些ICMP报文把差错报文返回给用户进程。 ICMP报文是在IP数据报内部被传输的,如图6 - 1所示 ICMP报文 可以看出首部是8个字节   所有报文的前4个字节都是一样的,但是剩下的其他字节则互不相同   类型字段可以有15个不同的值,以描述特定类型的ICMP报文
速读原著-TCP/IP(ICMP端口不可达差错)
逍遥云恋
03-01 2529
6.5 ICMP端口不可达差错 最后两小节我们来讨论 I C M P查询报文—地址掩码和时间戳查询及应答。现在来分析一种I C M P差错报文,即端口不可达报文,它是 I C M P目的不可到达报文中的一种,以此来看一看I C M P差错报文中所附加的信息。使用 U D P(见第11章)来查看它。 U D P的规则之一是,如果收到一份 U D P数据报而目的端口与某个正在使用的进程不相符,那么U ...
4.4BSD系统解析:ICMP报文处理与腾讯云/阿里云云计算对比
然后详细列举了4.4BSD系统对各类ICMP报文处理方式,涵盖了各种错误类型,如网络不可达、主机不可达、协议不可达、端口不可达等,以及一些特定的ICMP请求和响应,如回显请求/应答、时间戳请求/应答等。对于某些ICMP...
ICMP协议详解与实践指南
Linux内核研究者
11-27 1158
本文全面介绍了ICMP协议,包括其在网络诊断中的重要性、历史背景、工作原理、报文结构、实际应用以及与网络安全的关系。ICMP用于在IP网络中传递错误消息和操作消息,是网络管理和故障排除的重要工具。文中详细解释了ICMP报文的格式和常见类型,如回声请求/应答、目标不可达、超时等,并探讨了基于ICMP的网络工具如ping、traceroute、mtr和fping的使用方法。同时,讨论了ICMP的安全风险和防范措施,以及如何实现一个简单的ping工具。
通过抓取icmp端口不可达报文监控noports包
a930716的专栏
01-03 466
通过抓取icmp端口不可达报文监控noports包
ICMP识别二层为广播帧则不发送ICMP目的端口不可达报文
Rob208315的博客
12-26 1095
拓扑图: 前提:二层交换机转发数据时不改变帧头中任何字段的数据。 正常情况下,在主机0上构造一个普通的UDP用户数据报报文给主机1,报文中的UDP首部中的目的端口字段填写一个不可能使用的端口号,则主机1在收到此报文后发现本主机上没有进程监听这个目的端口,就会向源发送主机发送一个ICMP目的端口不可达报文。 可如果精心构造的报文的二层帧头中的目的MAC地址字段内容为全F,其他内容与正常情况下完全相同,则主机1就不会回复ICMP目的端口不可达报文。 此时就有了一个疑问,正常理解的概念是,协议每读取完一层数据后
关于UDP接收icmp端口不可达(port unreachable)
热门推荐
Network/Storage/Linux Kernel
02-03 12万+
本篇分为3部分 1:报文格式 2:产生的原因 3linux协议栈如何处理 4:应用层如何获取 1: 报文如下,10.30.13.1往10.30.16.10的80端口发送了一个UDP报文,80端口其实监听的是TCP。 服务器回复了一个类型为端口不可达ICMPICMP数据部分就是请求UDP ip层及其以上的数据。 2:原因 首先原因就是接收udp报文...
ICMP端口不可达差错
12-13 1512
ICMP查询报文—地址掩码和时间戳查询及应答。现在来分析一种ICMP差错报文,即端口不可达报文,它是ICMP目的不可到达报文中的一种,以此来看一看ICMP差错报文中所附加的信息。使用UDP来查看它。UDP的规则之一是,如果收到一份UDP数据报而目的端口与某个正在使用的进程不相符,那么UDP返回一个ICMP不可达报文。可以用TFTP来强制生成一个端口不可达报文。对于TFTP服务器来说,UDP的公共端
linux打开icmp端口,linuxICMP – 目的地不可达(端口不可达)
weixin_26971157的博客
05-02 1321
我有两个以太网有线连接设备.我给了他们两个来自同一个子网的地址.结果我可以在第一个arp-table中看到第二个设备.$arp -a? (128.247.77.90) at 10:60:4b:4b:29:50 [ether] on eth0但ping总是失败.$ping 128.247.77.90PING 128.247.77.90 (128.247.77.90) 56(84) bytes of ...
icmp的目的主机不可达消息为什么由其他非网关的ip发出?
wj31932的博客
03-03 6210
看到网上有这样的问题,ping后发现不通的目的主机不可达怎么是由另一个ip发出?今天抓包探究一下。 首先,目的不可达消息属于icmp消息,属于ip层之上的消息,用来完成差错控制和测试。当ping命令发出后,消息到达对应网关设备,网关去查询arp映射表,当没有查到对应arp映射时,会发出arp查询消息,查询对应ip的mac地址,当查询失败时,网关会生成一个icmp的host unreachable消息发给源主机。发给源主机的过程,就是查询路由表的过程,由正常的回程路由接口的ip发出icmp消息。 下...
icmp判断可达_关于UDP接收ICMP端口不可达报文的两种方法
weixin_30131105的博客
01-14 1104
// client.c#include #include #include #include #include #include #include #include #include #define MAXLINE 4096#define LOCAL_PORT 12345#define SERVER_PORT 9527void errorQuit(const char* message) {fpr...
ICMP报文
xingyangs的博客
12-30 1万+
主要介绍ICMP的两种报文ICMP差错报文ICMP询问报文
ICMP不可达报文攻击
04-02
<think>好的,用户想了解ICMP不可达报文攻击的工作原理及防御方法。首先,我需要回顾一下ICMP协议的基本知识。ICMP(Internet Control Message Protocol)用于在IP网络中传递控制消息,比如错误报告或状态查询。ICMP不可达报文通常用于通知发送方数据包无法到达目的地或端口。 接下来,攻击原理方面,ICMP不可达报文攻击属于网络层的拒绝服务攻击(DoS)。攻击者可能伪造这些报文,误导目标主机或路由器中断现有连接或阻止新连接。例如,攻击者可以发送虚假的ICMP不可达报文,声称目标主机不可达,导致合法用户无法访问服务。根据引用[2]提到的,攻击者可能使用自定义的数据包构造工具来生成这些伪造的报文,绕过IDS或防火墙的检测。 然后,防御方法需要考虑多个层面。首先是入口过滤,防止IP地址伪造,这可以通过配置路由器实现,如RFC 2827推荐的uRPF(单播反向路径转发)。其次是网络设备配置,限制ICMP不可达报文的发送频率,避免被滥用。引用[4]提到的Apache模块配置阈值的方法,类似思路可以应用在网络设备上设置速率限制。此外,部署IDS/IPS系统实时检测异常ICMP流量,引用[1]中的攻击检测和过滤策略在此适用。另外,网络分段和QoS策略也能有效隔离和优先处理关键流量,减少攻击影响。 用户可能需要更详细的配置示例或具体工具推荐,但根据现有引用,可能需要结合设备文档。同时,相关问题部分需要涵盖攻击影响、检测工具、协议漏洞、DDoS中的角色等,确保全面性。最后,确保回答结构清晰,分点说明,并正确引用相关材料。</think>### ICMP不可达报文攻击原理及防御方法 #### 一、攻击原理 1. **报文伪造** 攻击者伪造ICMP Type 3(目标不可达报文,通过修改源IP地址伪装成路由器或目标主机,向通信双方发送虚假错误通知。例如: - Type 3 Code 3(端口不可达) - Type 3 Code 0(网络不可达) 此类报文可能导致TCP连接被强制中断(若攻击目标是TCP RST)或阻止新连接建立[^2]。 2. **攻击效果** - **会话劫持**:中断已建立的TCP会话 - **服务拒绝**:阻止用户访问特定服务(如HTTP/SSH) - **路由欺骗**:误导流量路径,引发网络拥塞或黑洞路由 #### 二、防御方法 1. **入口过滤(Ingress Filtering)** 在边界路由器配置uRPF(单播反向路径转发),阻断源IP地址伪造的流量。例如Cisco设备命令: ```bash interface GigabitEthernet0/0 ip verify unicast source reachable-via rx ``` 2. **ICMP速率限制** 限制设备生成ICMP不可达报文的频率。以华为设备为例: ```bash icmp rate-limit unreachable 100 # 每秒最多发送100个不可达报文 ``` 3. **IDS/IPS检测** 部署入侵检测系统识别异常ICMP流量特征: - 高频ICMP Type 3报文(如>1000个/秒) - 源IP与拓扑不符的不可达报文 引用[1]中提到的“攻击检测和过滤”策略可直接应用[^1]。 4. **协议加固** - 禁用不必要的ICMP响应(如仅允许Type 8/0用于Ping) - 使用IPsec或TCP MD5签名验证关键流量完整性 5. **网络分段与QoS** 通过VLAN或SDN隔离敏感业务流量,并配置QoS优先级策略,确保关键服务不受ICMP泛洪影响[^4]。 --- ### 相关问题 1. ICMP不可达报文攻击如何影响TCP状态机? 2. 如何通过Wireshark检测伪造的ICMP不可达报文3.ICMP Type 3外,还有哪些ICMP类型易被滥用? 4. ICMP攻击在DDoS中的具体作用是什么? --- ### 引用说明 [^1]: 防御策略需覆盖攻击前、中、后全周期,如入口过滤(攻击前)、IDS检测(攻击中) : 攻击者可能使用Scapy等工具构造伪造报文 : QoS策略可参考Apache Mod_qos的阈值控制思想
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值