網際控制訊息協定 (Internet Control Message Protocol,ICMP) 透過 IP 來傳送控制訊號,IP header 的 protocol field 會表示攜帶的是 ICMP 訊息 常用的功能 : 流量控制 偵測無法到達的目的地 重導路徑 偵測遠端主機 網際控制訊息協定 (Cont.) IP 封包 ICMP 封包 IP header ICMP header ICMP data ICMP 訊息的傳送 ICMP 訊息的傳送 (Cont.) 由於來源位址就是 IP 的 source address, 因此路由器可以直接回傳訊息, 只要擷取資料封包的 source address 當作 destination address, 並置入 ICMP reply message 即可 攜帶 ICMP 訊息的資料並沒有特別的優先權 若是 ICMP 訊息資料再度是錯誤的, 則 ICMP 訊息仍不會被傳出去或再處理, 以避免連鎖反應而擁塞網路
ICMP 訊息表頭 ICMP 表頭欄位 字組 Word 1 2 Bit 0 4 8 16 24 31 型態 Type 訊息碼 Code Check Sum 表頭的加總查核碼 進階說明欄 ( 依 Type 而定 ) 資料 (IP header + 64 bits of Original Data Datagram) 訊息型態 (See next page) 訊息碼 (Code,8 位元 ): 進一步說明該型態內容的資訊, 不同的錯誤訊息加上不同的訊息碼以描述 ICMP 訊息的意義 表頭的加總查核碼 (Checksum,16 位元 ) 指標 (Pointer,8 位元 ) ICMP 訊息可分為幾類, 此欄位用在其中的 參數問題 (parameter problem) 類, 用來指向表頭中用來表示偵測到錯誤的位元組的表頭位置 資料 :Internet Header+64 bits of Data Datagram ICMP 訊息型態清單 ICMP 5 個錯誤訊息 (3) 偵測無法到達目的地主機 (Destination Unreachable) (4) 來源主機暫停 (Source Quench ) (5) 重導 (Redirect) (11) 超過時間的訊息 (Time Exceeded) (12)Parameter Problem on a datagram
偵測無法到達的目的地 偵測無法到達的目的地 (Cont.) 當路由器發現資料封包無法送達某一 Network 或 Host 時, 由偵測到此問題的路由器或 Gateway 送出 Destination Unreachable 的 Message 給原始發送者的主機 訊息載明無法抵達目的地所指示的主機或無法抵達目的地網路 E.g, 目的地網路離線 ( 如 :router 當機 ) 或目的地主機關機離線 使用 Destination Unreachable(Type 3) 的 ICMP Error Message 當 Datagram 無法送達某一 Host 的特定 Port 時, 由 Destination Host 送出 Message 給 Source 目的地無法到達的原因 (1) 目的地無法到達的原因 (2) 在 ICMP 使用中,會以不同的 error code 來回應各種錯誤訊息 0. Network unreachable 1. Host unreachable 2. Protocol unreachable ( 指定的通訊協定不存在 ) 3. Port unreachable 4. Fragmentation needed and DF set ( 資料必須分割並設定不可分割位元,DF: Don t Fragment) 5. Source route failed ( 來源選擇路徑失敗 ) 6. Destination network unknown ( 無法識別目地網路 ) 7. Destination host unknown ( 無法識別目地主機 ) 8. Source host isolated ( 來源主機被隔離 ) 9. Communication with destination network administratively prohibited ( 管理上禁止和目的網路通訊 ) 10. Communication with destination host administratively prohibited 11. Network unreachable for type of service ( 禁止連上此種型態的網路服務 ) 12. Host unreachable for type of service ( 無法連上此種型態的主機服務 )
使用 ICMP 訊息發現路徑 MTU 當 Datagram 大於傳送網路上的 MTU,IP 模組會切割此 Datagram 以符合 MTU 的要求 雖然分裝可以解決各式各樣跨往傳送的問題, 但是通常會犧牲掉傳送的效率 路由器必須花記憶體和 CPU 時間建構分段, 同樣在目的地主機也要花記憶體和 CPU 時間重組分段成一個完整的資料封包 Headers also reduce transmission efficiency 使用 ICMP 訊息發現路徑 MTU (Cont.) 如果應用程式選擇的 Datagram 小於或等與路徑上的最小 MTU, 路徑上的路由器便不需要做切割的動作 Ex: 檔案傳輸應用程式可以送出任意大小的資料封包 在技術上, 從來源至目的的路徑上最小的網路 MTU 值稱為路徑 MTU 路徑改變則路徑 MTU 也可能跟著改變 但大致上而言, 網際網路的大部分區域的路由都傾向於在數天或數週內維持穩定的狀態 在這樣前提下, 電腦主機去找出路徑 MTU 和傳送夠小的資料才有意義 使用 ICMP 訊息發現路徑 MTU (Cont.) FD=1 表此 Datagram 不可被 Fragmented 主機如何找出路徑 MTU? 主機送一連串的偵測訊息, 而每個偵測訊息的資料封包之表頭接設定為不得再分裝 若此資料封包比傳送路徑上的某一個網路的 MTU 大, 則連接此網路的路由器必定會捨棄此資料封包並回傳適當的 ICMP Message 給 Source 主機修正減低 Datagram Size 直到傳送成功沒有 Error Message 為止 流量抑制 (Source Quench) Datagram 到達路由器的速度太快, 來不及處理, 或記憶空間不足時, 路由器會對每一個 Discarded Datagram, 傳回相對應的 Source Quench ( 壓抑 )(Type 4)Message, 要求產生此資料封包的來源主機暫時停止傳送 Datagram 來源主機收到 Source Quench, 必須降低資料封包的 Transmission Rate, 直到不再收到 Error Message
流量抑制 (Cont.) 0 8 16 31 TYPE 4 Code(0~12) Checksum Unused (0) IP header + 64 bits of Original Data Diagram 重導路徑 (Redirect) Case 1: 網路上可能有 2 台以上的 gateways 當某一 Router 發現應該使用另一 Gateway 送資料, 則送出 Redirect(Type 5) 通知來源主機更改傳送路徑 Redirect message 可載明是更改特定的主機或更改特定的網路, 後者較常用 此資訊會存在 Routing Table, 並 Forward Datagram 給合適的 Gateway Case 2: 當主機或閘道器有所變動, 必須通知來源主機更改資料的傳輸路徑 重導路徑 (Cont.) 0 8 16 31 TYPE 5 Code(0~3) Checksum Gateway IP address IP header + 64 bits of Original Data Diagram 重導路徑 (Cont.) Code 0: Redirect diagram for the Net: 由於網路變動而更改資料傳輸路徑 1: Redirect diagram for the Net: 由於主機變動而更改資料傳輸路徑 2: Redirect diagram for the Type of Service and Net: 由於網路和服務型態變動而更改資料傳輸路徑 3:Redirect diagram for the Type of Service and Host: 由於主機和服務型態變動而更改資料傳輸路徑
逾時 (Time Exceed) 傳輸 為避免閘道器內的路徑表有誤造成迴圈時, 資料封包會陷入迴圈打轉, 而無法傳送到目的地, 利用此種方式限制封包的傳輸時間 Type 11 的 ICMP 訊息 有兩種情形會產生逾時錯誤的訊息 當路由器將資料封包的存活時間欄位 (TTL) 減為 0, 路由器立即捨棄資料封包, 並回傳來源主機逾時訊息 資料封包重組計時器逾時前, 資料封包的分段尚未完全抵達, 此時路由器立即回傳逾時訊息 Detecting Circular 當傳送路徑太長或出現 Routing Cycle, 則 TTL 最終會被減為 0 若一 Router 發現 TTL 為 0 則會丟棄此 Datagram, 且送回 Type 11 Code 0 的 ICMP 訊息, 表示 TTL count exceed 避免 Endless 的傳遞 Datagram 無法重組 Datagram 若 Host 一直等不到某些 Fragment 以重組 Datagram, 一旦 Timeout,Host 送回 Type 11 Code 1 的 ICMP 訊息, 表示 Fragment reassembly time exceeded 逾時傳輸 (Cont.) 0 8 16 31 TYPE 11 Code(0~1) Checksum Unused (0) IP header + 64 bits of Original Data Diagram
Code: 逾時傳輸 (Cont.) 0: 表示是因迴圈問題造成的 1: 表示是因封包組合超過時間造成的 此訊息功用包括 : 避免 Endless 的傳遞 Datagram for Routing Circular 送回無法重組 Datagram 的 Error Message 使用 Traceroute 追蹤目的地主機路由路徑 使用 ICMP 訊息顯示封包由本機傳送到遠端主機的完整路徑, 並且標示每一段的連線速度, 以幫助管理員了解是否產生網路壅塞的情形 Traceroute 傳送送出 UDP 偵測 (Probe) 封包給予目的地電腦上不存在的程式, 並等待 從 (TTL 時間限制內可到達之最靠近目的地的 ) 路由器送來的 ICMP Time Exceeded 訊息 或是目的地電腦送來的 ICMP 目的埠無法到達 (Port Unreachable)( 代表已到達目的地主機 ) 的訊息 使用 Traceroute 追蹤目的地主機路由路徑 (Cont.) 第一個資料封包表頭的 TTL 欄位值設為 1, 第一個路由器收到此資料封包後將 TTL 減為 0, 並捨棄此封包, 回傳一 ICMP 逾時錯誤訊息 因 ICMP 訊息在 IP 資料封包中, 故 traceroute 能截取 IP source address, 得知第一個路由器的位址 Traceroute 再送出 TTL=2 的資料封包, 第二個路由器收到減 TTL 為 0, 並捨棄此封包, 回傳一 ICMP 逾時錯誤訊息 來源主機亦可得知第二個路由器的位址 重複將 TTL 每次加一, 直到收到 ICMP Port Unreachable 訊息, 或者當 hop 數到達最大值 (defaults to 30 hops and can be changed with the -m flag) 使用 Traceroute 追蹤目的地主機路由路徑 (Cont.) We don't want the destination host to process the UDP probe packets,so the destination port is set to an unlikely value 由於 traceroute 是使用 type 30 的 ICMP 訊息或是 UDP+IP 當使用 UDP 時,traceroute 送一個 UDP 資料封包給目的地主機裏不存在的程式收, 當 UDP 抵達時, 因無對應程式, 所以 ICMP 將回傳無法抵達目的地的錯誤訊息 所以 traceroute 必須自行處理資料封包的遺失 重複 延遲或傳送失序這些問題 例如 : 使用者自行設定等待回覆的時間
使用 Traceroute 追蹤目的地主機路由路徑 (Cont.) Traceroute 還面臨一個問題 : 路徑會動態改變, 若在兩次偵測中改變, 第二次可能比第一次偵測到更短的路徑, 更重要的是最後 traceroute 所偵測到的一連串路由器並不一定是網際網路上一個有效路徑, 所以只有在網路相當穩定的狀態下,traceroute 才最有效用 TRACEROUTE from 140.113.214.103 $ traceroute thmu.edu.tw traceroute: Warning: ckecksums disabled traceroute to thmu.edu.tw (210.60.31.152), 30 hops max, 40 byte packets 1 e3rtn-214.csie.nctu.edu.tw (140.113.214.254) 0.616 ms 0.494 ms 0.537 ms 2 TANetGw-I2.nctu.edu.tw (140.113.53.2) 0.925 ms 0.748 ms 0.866 ms 3 not-a-legal-address (203.68.12.57) 0.713 ms 0.589 ms 0.675 ms 4 c8540.hcrc.edu.tw (203.68.12.2) 0.577 ms 0.614 ms 0.626 ms 5 203.72.43.217 (203.72.43.217) 1.828 ms 1.550 ms 1.554 ms 6 203.72.244.225 (203.72.244.225) 1.795 ms 2.207 ms 1.694 ms 7 192.83.175.120 (192.83.175.120) 3.168 ms 2.915 ms 3.070 ms 8 140.128.248.14 (140.128.248.14) 3.399 ms 3.139 ms 3.230 ms 9 140.128.247.5 (140.128.247.5) 4.334 ms 4.164 ms 4.307 ms 使用 Traceroute 追蹤目的地主機路由路徑 (Cont.) 封包嘗試 3 次經過該路由器的時間 If there is no response within a 5 seconds timeout interval (changed with the -w flag), a "*" is printed for that probe ICMP 4 個資訊訊息 (8,0)Echo Request/Reply (9)Router Advertisement (10)Router Solicitation (13,14)Timestamp Request/Replay (17,18)Address Mask Request/Reply
Echo Request/Reply Echo Request/ Reply ICMP 回應要求 (Echo Request) 訊息可以給予特定的目的地, 並等待其回應 (Echo Replay) 收到 Echo Request 軟體被要求送回一個 ICMP 回應回覆 (Echo Reply) 訊息 Echo Reply 內將放置與 Echo Request 相同的資料 目的在確認來源主機和目的主機間的網路路徑是否暢通 Echo Request/Reply (Cont.) 0 8 16 31 TYPE 0: Echo reply 8: Echo Request Identifier Code(0) Option Data Checksum Sequence Number Echo Request/Reply (Cont.) Identifier 和 Sequence Number 是提供給來源主機確認回應的封包是針對之前哪一個要求封包所回應的 Option Data 可有可無, 完全依 Echo Request 中的此部份是否有資料而定, 若有, 則 Echo Reply 中此部份資料, 必須與 Echo Request 的相同 若無, 則 Echo Reply 中也不需有資料 以 Ping 偵測遠端主機 Ping (Packet INternet Groper; 暗中摸索, 探求 ) Ping 使用 ICMP echo request/reply 訊息測試的 在 UNIX 或 Windows OS 下, 使用 ping 測試某一目的地主機是否可到達 : 換言之, 即網路是可相通的 一般而言, 若是很難或是無法連接遠端的主機, 我們都會嘗試利用 ping 來了解主機與遠端間的網路是否壅塞 Ping 會持續傳送 ICMP 的封包, 直到以 CTRL- C 中斷執行 為了避免此情形可使用 c (counter) 參數設定傳送封包的次數
PING PING (Cont.) $ ping -c 4 pcs.csie.nctu.edu.tw PING pcs.csie.nctu.edu.tw (140.113.214.103): 56 data bytes 64 bytes from 140.113.214.103: icmp_seq=0 ttl=248 time=25.000 ms 64 bytes from 140.113.214.103: icmp_seq=1 ttl=248 time=9.744 ms 64 bytes from 140.113.214.103: icmp_seq=2 ttl=248 time=41.403 ms 64 bytes from 140.113.214.103: icmp_seq=3 ttl=248 time=32.027 ms --- pcs.csie.nctu.edu.tw ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 9.744/27.043/41.403/11.559 ms icm_seq: ICMP ECHO_REQUEST 封包編號 ttl: TTL time: 回應時間, 單位 :msec PING (Cont.) 若網路不正常, 則會出現類似下列的訊息 : ping 140.113.214.103 with 32 bytes of data Request timed out. Request timed out. Request timed out. Request timed out. 利用 ping 網路偵錯 若利用 ping 測試與遠端主機的連線狀況後, 若是無法得到來自遠端的主機回應, 則並定在兩部主機之間產生網路中斷的問題 到底是本機? 遠端主機? or 網路? 1. ping 127.0.0.1 這是用來測試網路卡本身是否功能正常, 封包並沒有傳送到網路上, 如果無法成功回應, 表示網路卡出了問題
利用 ping 網路偵錯 (Cont.) 2. ping 本機的 IP address 或主機名稱封包實際傳送到網路, 然後再傳送到本機的 IP address, 如果無法回應表示本機的 IP address 組態有問題 可能 IP address subnet mask 或 DNS 設定有問題 3. ping 區域網路的閘道器或其他主機測試區域網路中的連結是否正常 若是每一部區域網路中的主機沒有回應, 表示本機與區域網路主機間的介質有問題, 例如纜線斷裂, 檢查線材及集線器的燈號是否正常 利用 ping 網路偵錯 (Cont.) 4. ping 遠端網路的閘道器或其他主機測試區域網路和遠端網路的連結是否正常 若遠端主機沒有回應, 表示遠端主機不在線上, 若是每一部遠端網路中的主機沒有回應, 表示區域網路與遠端網路主機間的介質有問題, 應該檢查連線問題或詢問 ISP 目前 Internet 是否連線正常 Routing Discovery 如同 BOOTP 和 DHCP, 當某一主機重新啟動時,ICMP 提供讓 Host 知道所有 Routers 目前動態的方式 Routers ( 定期 ) 廣播送出 Router Advertisement(Type 9), 讓所有 Hosts 得到 Router 的資訊 Routers 會以 Lifetime 欄位來宣告此 Message 的有效期限 Router Solicitation 當某一主機重新啟動時,Host 會想立即獲得 Router Information 當 Host 廣播送出 Router Solicitation (Type 10), 所有收到訊息的 Router 立即回覆一個 Router Advertisement, 如此可讓 Host 立即獲得 Router Information
Clock Synchronization Original machine 使用 Timestamp Request(Type 13) 要求對方傳回目前的時間 Receiving machine 以 Timestamp Reply(Type 14) 回應自己的時間 Timestamp Request 和 Timestamp Reply 有下列功能 : 使網路的時間同步 量測網路傳輸的延遲 詢問主機當地的時間 Clock Synchronization (Cont.) Timestamp 的單位是以 ms 為單位, 並以格林威治時間為基準時間 要知道某主機的當地時間, 可以發出一個 ICMP 的 Timestamp Request 的訊息給對方主機, 其中的 Originate Timestamp 欄位填入此封包發出的時間 當目的地主機收到此訊息後, 它會回傳一個 ICMP 的 Timestamp Reply 訊息給來源主機 而且將收到的 Timestamp Request 訊息時間和 Timestamp Reply 要回傳的時間分別填入 Receive Timestamp 和 Transmit Timestamp 兩個欄位中 由 Timestamp 和 Transmit Timestamp 的差值就可知道目前網路的延遲了 Clock Synchronization (Cont.) Information Request/Reply 0 8 16 31 TYPE 13 表 Timestamp Request 14 表 Timestamp Reply Identifier Code Originate Timestamp Receive Timestamp Checksum Sequence Number 當來源主機想知道某主機的 IP address 時, 可以利用 ICMP 的 Information Request (Type 15) 和 Information Reply (Type 16) 訊息 Identifier 和 Sequence Number 功能和 Echo Request/Reply 同 現已 obselete Transmit Timestamp
Obtaining a Subnet Mask 當某一主機重新啟動時, 它會廣播一個位址遮罩要求 (Address Mask Request) 當路由器收到此要求, 便會送回一個位址遮罩回覆 (Address Mask Reply), 內含此網路使用的 32 位元子網路遮罩 ICMP 的 Address Mask Request 和 Address Mask Reply 訊息主要是取得某網路的子網路遮罩位址 當想知道某網路的子網路遮罩時, 可由來源主機發出一個 ICMP 的 Address Mask Request 訊息給此網路中的閘道器, 得知其網路的子網路遮罩位址 若該閘道器不知道, 可以利用廣播方式, 將此訊息送出, 等待知道的閘道器回應 Obtaining a Subnet Mask (Cont.) 0 8 16 31 TYPE 17 表 Address Mask Request 16: 表 Address Mask Reply Identifier Code(0) Address Mask Checksum Sequence Number