ICMP

ICMP (angļu: Internet Control Message Protocol - "interneta vadības ziņojumu protokols") - tīkla slāņa protokols, kas ietilpst TCP/IP stekā. Šo protokolu izmanto, lai informētu par kļūdām un citiem gadījumiem, kas radušies datu pārraides laikā. Tāpat ICMP izmanto, lai sūtītu testu paketes un citus informatīvos ziņojumus.

Tehniskās detaļas

ICMP ir definēts RFC 792 (ar papildinājumiem RFC 950). Tas ir IP protokola neatņemama sastāvdaļa. ICMP versija IPv4 tiek saukta par ICMPv4, IPv6 ir ekvivalents protokols - ICMPv6.

ICMP ziņojumi tiek inkapsulēti IP datagrammās, bet tas, tāpat kā UDP, negarantē mērķa sasniegšanu.

Daudzi tīkla diagnosticēšanas rīki izmanto ICMP. Piemēram, komanda traceroute sūta īpaši sagatavotas UDP datagrammas un gaida ICMP atbildes "Time to live exceeded in transit" vai "Destination unreachable".Savukārt rīks ping izmanto ICMP "Echo" un "Echo reply" paziņojumus.

ICMP paketes struktūra

ICMP paketes formāts
Biti0 — 78 — 1516 — 31
0TipsKodsKontrolsumma
32Specifiskie tipa dati
  • Tips (Type) - 8 bitu lauks, kurā norādīts ICMP paziņojuma tips (sk. zemāk sarakstu);
  • Kods (Code) - 8 bitu lauks, kurā norāda vienu no vairākām iespējamām funkcijām šim tipam;
  • Kontrolsumma (Checksum) - 16 biti, paketes kontrolsumma;
  • Specifiskie tipa dati (Type-Specific Data) - papildu dati, atkarīgi no tipa un koda.

ICMP paziņojumu tipu saraksts

  • 0 - Echo Reply
  • 1 - Rezervēts
  • 2 - Rezervēts
  • 3 - Destination Unreachable
  • 4 - Source Quench
  • 5 - Redirect Message
  • 6 - Alternate Host Address
  • 7 - Rezervēts
  • 8 - Echo Request
  • 9 - Router Advertisement
  • 10 - Router Solicitation
  • 11 - Time Exceeded
  • 12 - Parameter Problem
  • 13 - Timestamp
  • 14 - Timestamp Reply
  • 15 - Information Request
  • 16 - Information Reply
  • 17 - Address Mask Request
  • 18 - Address Mask Reply
  • 19 - Rezervēts drošībai
  • 20-29 - Rezervēti eksperimentiem
  • 30 - Traceroute
  • 31 - Datagram Conversion Error
  • 32 - Mobile Host Redirect
  • 33 - IPv6 Where-Are-You
  • 34 - IPv6 Here-I-Am
  • 35 - Mobile Registration Request
  • 36 - Mobile Registration Reply
  • 38 - Domain Name Reply
  • 39 - SKIP Algorithm Discovery Protocol
  • 40 - Photuris, Security failures
  • 41 - ICMP eksperimentaliem protokoliem, piem., Seamoby [RFC4065]
  • 42-255 - Rezervēti

Kontroles ziņas

Kontroles ziņojumi tiek identificēti pēc to vērtības tipa laukā. Koda lauks sniedz papildu informāciju par kontekstu. Daži kontroles ziņojumi ir novecojuši kopš protokols tika ieviests.

Būtiski vadības ziņojumi[1][2]
TipsKodsStatussApraksts
0 – Echo Reply[3]:140Echo reply (used to ping)
1 and 2unassignedReserved
3 – Destination Unreachable[3]:40Destination network unreachable
1Destination host unreachable
2Destination protocol unreachable
3Destination port unreachable
4Fragmentation required, and DF flag set
5Source route failed
6Destination network unknown
7Destination host unknown
8Source host isolated
9Network administratively prohibited
10Host administratively prohibited
11Network unreachable for ToS
12Host unreachable for ToS
13Communication administratively prohibited
14Host Precedence Violation
15Precedence cutoff in effect
4 – Source Quench0deprecatedSource quench (congestion control)
5 – Redirect Message0Redirect Datagram for the Network
1Redirect Datagram for the Host
2Redirect Datagram for the ToS & network
3Redirect Datagram for the ToS & host
6deprecatedAlternate Host Address
7unassignedReserved
8 – Echo Request0Echo request (used to ping)
9 – Router Advertisement0Router Advertisement
10 – Router Solicitation0Router discovery/selection/solicitation
11 – Time Exceeded[3]:60TTL expired in transit
1Fragment reassembly time exceeded
12 – Parameter Problem: Bad IP header0Pointer indicates the error
1Missing a required option
2Bad length
13 – Timestamp0Timestamp
14 – Timestamp Reply0Timestamp reply
15 – Information Request0deprecatedInformation Request
16 – Information Reply0deprecatedInformation Reply
17 – Address Mask Request0deprecatedAddress Mask Request
18 – Address Mask Reply0deprecatedAddress Mask Reply
19reservedReserved for security
20 through 29reservedReserved for robustness experiment
30 – Traceroute0deprecatedInformation Request
31deprecatedDatagram Conversion Error
32deprecatedMobile Host Redirect
33deprecatedWhere-Are-You (originally meant for IPv6)
34deprecatedHere-I-Am (originally meant for IPv6)
35deprecatedMobile Registration Request
36deprecatedMobile Registration Reply
37deprecatedDomain Name Request
38deprecatedDomain Name Reply
39deprecatedSKIP Algorithm Discovery Protocol, Simple Key-Management for Internet Protocol
40Photuris, Security failures
41Veidne:Table-experimentalICMP for experimental mobility protocols such as Seamoby [RFC4065]
42 – Extended Echo Request[4]0No Error
43 – Extended Echo Reply[4]0No Error
1Malformed Query
2No Such Interface
3No Such Table Entry
4Multiple Interfaces Satisfy Query
44 through 252unassignedReserved
253Veidne:Table-experimentalRFC3692-style Experiment 1 (RFC 4727)
254Veidne:Table-experimentalRFC3692-style Experiment 2 (RFC 4727)
255reservedReserved

Avota dzēšana

Avota dzēšana pieprasa, lai sūtītājs samazinātu ziņojumu skaitu, kas tiek nosūtīti uz maršrutētāju vai resursdatoru. Šis ziņojums var tikt ģenerēts, ja maršrutētājam vai resursdatoram nav pietiekamas bufertelpas, lai apstrādātu pieprasījumu, vai arī, ja maršrutētājam vai resursdatoram buferis tuvojas ierobežojumam.

Dati tiek nosūtīti ļoti ātri no resursdatora vai no vairākiem resursdatoriem vienlaikus uz noteiktu maršrutētāju tīklā. Lai gan maršrutētājam ir bufera iespējas, buferēšana ir ierobežota noteiktā diapazonā. Maršrutētājs nevar sarakstīt vairāk datu nekā ierobežotās bufertelpas ietilpība. Tādējādi, ja rinda tiek aizpildīta, ienākošie dati tiek atmesti, līdz rinda vairs nav pilna. Bet, tā kā tīkla slānī nav neviena apliecinājuma mehānisma, klients nezina, vai dati ir veiksmīgi sasnieguši galamērķi. Tādēļ tīkla slānim jāveic daži koriģējoši pasākumi, lai izvairītos no šādām situācijām. Šie pasākumi tiek saukti par avota dzēšanu. Avota dzēšanas mehānismā maršrutētājs redz, ka ienākošo datu pārraides ātrums ir daudz ātrāks nekā izejošo datu pārraides ātrums, un nosūta klientiem ICMP ziņojumu, informējot, ka ir jāpalēnina datu pārsūtīšanas ātrums vai jāgaida noteikts laiks, pirms mēģināt nosūtīt vairāk datu. Kad klients saņem šo ziņojumu, tas automātiski palēnina izejošo datu pārraides ātrumu vai gaida pietiekami daudz laika, kas maršrutētājam ļauj iztukšot rindu. Tādējādi avota dzēšanas ICMP ziņojums darbojas kā plūsmas vadība tīkla slānī.

Tā kā pētījumi liecināja, ka “ICMP avota dzēšana [bija] neefektīvs (un negodīgs) pretlīdzeklis pārslodzes gadījumā”,[5] RFC 1812 1995. gadā noraidīja maršrutētāju veikto avota dzēšanas ziņojumu izveidi. Turklāt RFC 6633 no 2012. gada ir noraidījusi ziņojumu par avotu dzēšanu nosūtīšanu un jebkāda veida reakciju uz tiem.

Avota dzēšanas ziņojums[3]:9
0001020304050607080910111213141516171819202122232425262728293031
Tips = 4Kods = 0Kontrolsumma
nelietots
IP galvene un pirmie 8 baiti oriģinālo datu

Kur:

Tipam jābūt iestatītam uz 4
Kodam jābūt iestatītam uz 0
Sūtītājs izmanto IP galveni un papildu datus, lai saskaņotu atbildi ar saistīto pieprasījumu

Novirzīšana

Novirzīšanas pieprasījumu datu paketes tiek nosūtītas alternatīvā maršrutā. ICMP novirzīšana ir maršrutētāju mehānisms, kas nodrošina maršrutēšanas informāciju resursdatoriem. Ziņojums informē resursdatoru, lai atjauninātu maršruta informāciju (lai nosūtītu paketes alternatīvā maršrutā). Ja resursdators mēģina nosūtīt datus caur maršrutētāju (R1) un R1 nosūta datus ar citu maršrutētāju (R2) un tiešais ceļš no resursdatora uz R2 ir pieejams (tas ir, resursdators un R2 atrodas vienā Ethernet segmentā), tad R1 nosūtīs novirzīšanas ziņojumu, lai informētu resursdatoru, ka labākais maršruts galamērķim ir pa R2. Pēc tam resursdatoram jānosūta paketes adresātam tieši uz R2. Maršrutētājs joprojām nosūtīs sākotnējo datu failu uz paredzēto galamērķi.[6] Tomēr, ja datagramma satur maršruta informāciju, šis ziņojums netiks nosūtīts pat tad, ja būs pieejams labāks maršruts. RFC 1122 nosaka, ka novirzītāji ir jāsūta tikai pa vārtejām, un tos nedrīkst sūtīt interneta saimnieki.

Novirzīšanas ziņojums[3]:11
0001020304050607080910111213141516171819202122232425262728293031
Tips = 5KodsKontrolsumma
IP adrese
IP galvene un pirmie 8 baiti oriģinālo datu

Kur:

Tipam jābūt iestatītam uz 5.
Kods norāda novirzīšanas iemeslu. Var būt viens no šiem:
KodsApraksts
0Redirect for Network
1Redirect for Host
2Redirect for Type of Service and Network
3Redirect for Type of Service and Host
IP adrese ir vārtejas 32 bitu adrese, uz kuru jānosūta novirzīšana.
IP galvene un papildu dati ir iekļauti, lai ļautu resursdatoram saskaņot atbildi ar pieprasījumu, kas izraisīja novirzīšanas atbildi.

Pārsniegts laiks

Laiku, kas tiek pārsniegts, ģenerē vārteja, kas informē izbrāķētās datagrammas avotu, jo "dzīvošanas" laiks, kas vajadzīgs, lai sāktu darbu, sasniedz nulli. Ziņojums, kas pārsniegts laikā, var tikt nosūtīts arī no resursdatora, ja tā laikā neizdodas atkārtoti samontēt fragmentētu datagrammu.Pārsniegto laiku ziņojumi tiek izmantoti traceroute utilītā, lai noteiktu ceļa vārtejas starp diviem resursdatoriem.

Pārsniegtā laika ziņojums[3]:5
0001020304050607080910111213141516171819202122232425262728293031
Tips = 11KodsKontrolsumma
nelietots
IP galvene un pirmie 8 baiti oriģinālo datu

Kur:

Tipam jābūt iestatītam uz 11
Kods norāda pārsniegtās laika ziņas iemeslu:
KodsApraksts
0Time-to-live exceeded in transit.
1Fragment reassembly time exceeded.
IP galvene un pirmie 64 biti oriģinālajā vērtumā tiek izmantoti avota resursdatorā, lai saskaņotu pārsniegto laiku ar atmesto datagrammu. Augstākā līmeņa protokoliem, piemēram, UDP un TCP, 64 bitu lietderīgā slodze ietvers izmestās paketes avotu un mērķa portus.

Laika zīmogs

Laika zīmogu izmanto laika sinhronizācijai. Sākuma laika zīmogs tiek iestatīts uz laiku (milisekundēs kopš pusnakts), kad sūtītājs pēdējo reizi pieskārās paketei. Saņemšanas un nosūtīšanas laika zīmogi netiek izmantoti.

Laika zīmoga ziņojums[3]:15
0001020304050607080910111213141516171819202122232425262728293031
Tips = 13Kods = 0Kontrolsumma
IdentifikatorsKārtas numurs
Izcelsmes laika zīmogs
Saņemšanas laika zīmogs
Nosūtīšanas laika zīmogs

Kur:

Tipam jābūt iestatītam uz 13
Kodam jābūt iestatītam uz 0
Klients var izmantot identifikatoru un secības numuru, lai saskaņotu laika zīmoga atbildi ar laika zīmoga pieprasījumu.
Izcelsmes laika zīmogs ir milisekunžu skaits kopš Universālā laika (UT) pusnakts. Ja UT atsauce nav pieejama, visnozīmīgāko bitu var iestatīt, lai norādītu nestandarta laika vērtību.

Laika zīmoga atbilde

Laika zīmoga atbilde atbild uz laika zīmoga ziņojumu. Tas sastāv no sākuma laika zīmoga, ko nosūta laika zīmoga sūtītājs, kā arī saņemšanas laika zīmogs, kas norāda laika zīmoga saņemšanas laiku, un nosūtīšanas laika zīmoga, kas norāda, kad laika zīmoga atbilde tika nosūtīta.

Laika zīmogs atbilde[3]:15
0001020304050607080910111213141516171819202122232425262728293031
Tips = 14Kods = 0Kontrolsumma
IdentifikatorsSecības numurs
Izcelsmes laika zīmogs
Saņemšanas laika zīmogs
Nosūtīšanas laika zīmogs

Kur:

Tipam jābūt iestatītam uz 14
Kodam jābūt iestatītam uz 0
Klients var izmantot identifikatoru un secības numuru, lai saskaņotu atbildi ar pieprasījumu, kas izraisīja atbildi.
Izcelsmes laika zīmogs ir laiks, kad sūtītājs pēdējo reizi ir pieskāries ziņojumam pirms tā nosūtīšanas.
Saņemšanas laika zīmogs ir laiks, kad atbalsis pirmoreiz pieskārās, to saņemot.
Raidīšanas laika zīmogs ir laiks, kad atbalsis pēdējo reizi pieskārās ziņojumam, to nosūtot.

Visi laika zīmogi kopš Universālā laika pusnakts ir milisekundēs. Ja laiks nav pieejams milisekundēs vai to nevar nodrošināt attiecībā uz pusnakti UT, tad jebkuru laiku var ievietot laika zīmogā, ja arī laika zīmoga augstas secības bits ir iestatīts, lai norādītu šo nestandarta vērtību.

Adreses maskas pieprasījums

Adrešu maskas pieprasījumu parasti nosūta serveris maršrutētājam, lai iegūtu atbilstošu apakštīkla masku.Adresātiem uz šo ziņojumu ir jāatbild ar adreses maskas atbildes ziņojumu.

Address mask request
0001020304050607080910111213141516171819202122232425262728293031
Tips = 17Kods = 0Kontrolsumma
IdentifikatorsSecības numurs
Adreses maska

Kur:

Tipam jābūt iestatītam uz 17
Kodam jābūt iestatītam uz 0
Adreses masku var iestatīt uz 0

ICMP adrešu maskas pieprasījumu var izmantot kā daļu no izlūkošanas uzbrukuma, lai apkopotu informāciju par mērķa tīklu, tāpēc ICMP adrešu maskas atbilde pēc noklusējuma ir atspējota Cisco IOS.[7]

Adreses maskas atbilde

Adreses maskas atbildi izmanto, lai atbildētu uz adreses maskas pieprasījuma ziņojumu ar atbilstošu apakštīkla masku.

Adreses maskas atbilde
0001020304050607080910111213141516171819202122232425262728293031
Tips = 18Kods = 0Kontrolsumma
IdentifikatorsSecības numurs
Adreses maska

Kur:

Tipam jābūt iestatītam uz 18
Kodam jābūt iestatītam uz 0
Adreses maska jāiestata uz apakštīkla masku

Galamērķis nav sasniedzams

Galamērķi, kas nav sasniedzams, ģenerē resursdators vai tā ienākošā vārteja,[3] lai informētu klientu, ka galamērķis kāda iemesla dēļ nav sasniedzams. Mērķa nesasniedzams ziņojums var tikt ģenerēts TCP vai UDP rezultātā. Nesasniedzamie TCP porti jo īpaši reaģē ar TCP RST (RST - (Reset) aiztaisa savienojumu piespiedu kārtā, šo lieto arī lai atteiktu savienojumu), nevis galamērķi, kas nav sasniedzams 3. tipam, kā varētu cerēt.

Kļūda netiks ģenerēta, ja sākotnējam datu avotam ir multiraides galamērķa adrese. Šī ziņojuma iemesli var būt šādi: fiziskais savienojums ar resursdatoru nepastāv (attālums ir bezgalīgs); norādītais protokols vai ports nav aktīvs; datiem jābūt fragmentētiem, bet karodziņš 'nefragmentēt' ir ieslēgts.

Nesasniedzamā galamērķa ziņojums[3]:3
0001020304050607080910111213141516171819202122232425262728293031
Tips = 3KodsKontrolsumma
nelietotsNext-hop MTU
IP galvene un pirmie 8 baiti oriģinālo datu

Kur:

Tipa laukam (Biti 0-7) jābūt iestatītam uz 3
Koda lauku (8. –15. biti) izmanto, lai norādītu kļūdas tipu, un tas var būt:
KodsApraksts
0Network unreachable error.
1Host unreachable error.
2Protocol unreachable error (the designated transport protocol is not supported).
3Port unreachable error (the designated protocol is unable to inform the host of the incoming message).
4The datagram is too big. Packet fragmentation is required but the 'don't fragment' (DF) flag is on.
5Source route failed error.
6Destination network unknown error.
7Destination host unknown error.
8Source host isolated error.
9The destination network is administratively prohibited.
10The destination host is administratively prohibited.
11The network is unreachable for Type Of Service.
12The host is unreachable for Type Of Service.
13Communication administratively prohibited (administrative filtering prevents packet from being forwarded).
14Host precedence violation (indicates the requested precedence is not permitted for the combination of host or network and port).
15Precedence cutoff in effect (precedence of datagram is below the level set by the network administrators).
Next-hop MTU laukā (48. –63. biti) ir next-hop tīkla MTU, ja rodas 4. koda kļūda.

(Next-hop - nākamais tuvākais maršrutētājs, kuram var tikt izmantota pakete)

Ir iekļauta IP galvene un papildu dati, kas ļauj klientam saskaņot atbildi ar pieprasījumu, kas izraisīja mērķa nesasniedzamo atbildi.

Skatīt arī

  • Ping

Atsauces

RFCs

  • RFC 792, Internet Control Message Protocol
  • RFC 950, Internet Standard Subnetting Procedure
  • RFC 1016, Something a Host Could Do with Source Quench: The Source Quench Introduced Delay (SQuID)
  • RFC 1122, Requirements for Internet Hosts – Communication Layers
  • RFC 1716, Towards Requirements for IP Routers
  • RFC 1812, Requirements for IP Version 4 Routers

Ārējās saites