http://blog.csdn.net/wangningyu/article/details/4343192

ICMP報文包含在IP數據報中，屬于IP的一個用戶，IP頭部就在ICMP報文的前面。 所以一個ICMP報文包括IP頭部、ICMP頭部和ICMP報文（見圖表，ICMP報文的結構和幾種常見的ICMP報文格式） IP頭部的Protocol值為1就說明這是一個ICMP報文，ICMP頭部中的類型（Type）域用于說明ICMP報文的作用及格式， 此外還有一個代碼（Code）域用于詳細說明某種ICMP報文的類型，所有數據都在ICMP頭部后面。 RFC定義了13種ICMP報文格式，具體如下： (思考：你可以在下面的包里找找，看看我下面抓的包的類型代碼是多少，假如我PING不通主機會不會有ICMP數據包，為什么？) 類型代碼 類型描述 0 響應應答（ECHO-REPLY） 3 不可到達 4 源抑制 5 重定向 8 響應請求（ECHO-REQUEST） 11 超時 12 參數失靈 13 時間戳請求 14 時間戳應答 15 信息請求（*已作廢） 16 信息應答（*已作廢） 17 地址掩碼請求 18 地址掩碼應答 其中代碼為15、16的信息報文已經作廢。 下面是幾種常見的ICMP報文： 1.響應請求 我們日常使用最多的ping，就是響應請求（Type=8）和應答（Type=0），一臺主機向一個節點發送一個Type=8的ICMP 報文，如果途中沒有異常（例如被路由器丟棄、目標不回應ICMP或傳輸失敗），則目標返回Type=0的ICMP報文， 說明這臺主機存在，更詳細的tracert通過計算ICMP報文通過的節點來確定主機與目標之間的網絡距離。 2.目標不可到達、源抑制和超時報文 這三種報文的格式是一樣的，目標不可到達報文（Type=3）在路由器或主機不能傳遞數據報時使用 ，例如我們要連接對方一個不存在的系統端口（端口號小于1024）時，將返回Type=3、Code=3的ICMP報文， 它要告訴我們：“嘿，別連接了，我不在家的！”，常見的不可到達類型還有網絡不可到達（Code=0）、 主機不可到達（Code=1）、協議不可到達（Code=2）等。源抑制則充當一個控制流量的角色， 它通知主機減少數據報流量，由于ICMP沒有恢復傳輸的報文，所以只要停止該報文，主機就會逐漸恢復傳輸速率。 最后，無連接方式網絡的問題就是數據報會丟失，或者長時間在網絡游蕩而找不到目標， 或者擁塞導致主機在規定時間內無法重組數據報分段，這時就要觸發ICMP超時報文的產生。 超時報文的代碼域有兩種取值：Code=0表示傳輸超時，Code=1表示重組分段超時。 3.時間戳 時間戳請求報文（Type=13）和時間戳應答報文（Type=14）用于測試兩臺主機之間數據報來回一次的傳輸時間。 傳輸時，主機填充原始時間戳，接收方收到請求后填充接收時間戳后以Type=14的報文格式返回， 發送方計算這個時間差。一些系統不響應這種報文。 理論知識講這么，下面是我在命令行用WildPackets OmniPeek捕獲到的本機數據包： 1、打開WildPackets OmniPeek，單擊New ,在Filters里選擇ICMP，然后確定點擊右邊的Start Capture: 2、依次點擊“開始/運行”，輸入cmd打開命令行: 3、在命令行輸入ping www.qq.com回車即可，當ping通返回一次后立即按ctr + c終止，此時OmniPeek里就有兩行ICMP包了： ?4、回到OmniPeek中，此是有兩行記錄： 5、雙擊打開第一個數據包，內容如下： ? 這樣，一個完整ICMP請求的數據包就呈現在我們面前了。

總結

以上是生活随笔為你收集整理的ICMP数据包-实战分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。