icmp回复报文_ICMP报文和ping命令[通俗易懂]

一、ping 的原理

ping程序是用来探测主机到主机之间是否可通信，如果不能ping到某台主机，表明不能和这台主机建立连接。ping使用的是ICMP协议，它发送icmp回送请求消息给目的主机。ICMP协议规定：目的主机必须返回ICMP回送应答消息给源主机。如果源主机在一定时间内收到应答，则认为主机可达。

二、Ping工作过程——假定主机A的IP地址是192.168.1.1，主机B的IP地址是192.168.1.2，都在同一子网内，则当你在主机A上运行“Ping 192.168.1.2”后，都发生了些什么呢?(1)Ping命令会构建一个固定格式的ICMP请求数据包，然后由ICMP协议将这个数据包连同地址“192.168.1.2”一起交给IP层协议 ping能够计算往返时间RTT，它在报文的数据部分插入发送时间。

(2)IP层协议将以地址“192.168.1.2”作为目的地址，本机IP地址作为源地址，加上一些其他的控制信息，构建一个IP数据包，并在一个映射表(ARP实现IP地址转成Mac地址的协议)中查找出IP地址192.168.1.2所对应的MAC地址(这是数据链路层协议构建数据链路层的传输单元——帧所必需的)，一并交给数据链路层。

(3)数据链路层构建一个数据帧，目的地址是IP层传过来的MAC地址，源地址则是本机的物理地址，还要附加上一些控制信息，依据以太网的介质访问规则，将它们传送出去。(4)主机B收到这个数据帧后，先检查它的目的地址，并和本机的物理地址对比，如符合，则接收；否则丢弃。接收后检查该数据帧，将IP数据包从帧中提取出来，交给本机的IP层协议。同样，IP层检查后，将有用的信息提取后交给ICMP协议，后者处理后，马上构建一个ICMP应答包，发送给主机A，其过程和主机A发送ICMP请求包到主机B一模一样。

即先由IP地址，在网络层传输，然后再根据mac地址由数据链路层传送到目的主机

三、ICMP协议：

ICMP协议通过IP协议发送的，IP协议是一种无连接的，不可靠的数据包协议。在Unix/Linux，序列号从0开始计数，依次递增。而Windows　ping程序的ICMP序列号是没有规律。

ICMP协议在实际传输中数据包：20字节IP首部 + 8字节ICMP首部+ 1472字节38字节

ICMP首部一般格式：

类型(8位)

代码(8位)

检验和(16位)

首部的其余部分(32位  不同类型ICMP特有)

数据部分(差错报文：初始IP数据报一部分 包括IP首部和数据报前8字节。查询报文：基于查询的额外信息)

2、ICMP(网络控制报文协议)分为：差错报告报文和查询报文

(1)差错报告报文：

ICMP不能纠错，只能检查错误，发现错误报告给最初的数据源。其数据部分包含两部分：初始IP首部和数据报前8字节(TCP或udp 前8字节包含源端口和目的端口)

1)终点不可达：类型=3，代码0~15，首部，由路由器或者目的主机检查后发送差错报告给初始源数据。即时没有终点不可达差错报文也不能代表数据报交付成功。

2)源点抑制：类型=4，缺乏流量控制和拥塞控制。当路由器或主机丢弃数据报时，向源数据端口发送源点抑制差错报文。该报文两个作用：第一通知源点数据报已经丢弃，二通知源点慢点发数据。

A.路由器或主机每丢弃一个数据报就要向源点发送一个报告；b.这里源点无从得知什么时候拥塞解除，只能一直减速慢发数据，当没有收到ICMP差错报文开始认为拥塞解除；c.一对一时源点抑制能够对拥塞产生良好效果，但多对一时不一定，因为多个数据源，路由器丢弃的数据报不一定是发送快的那个，有可能是发送慢的，路由器不知道哪个数据源产生拥塞。

3)超时：类型=11，解决多个路由表中出现环路现象。每个数据报通过一个路由器生存时间就-1，当生存时间为0时，就向源点发送一个超时差错报告报文。如果报文的一个分片超时也发送差错报告报文。

4)参数问题：类型=12，参数具有二义性，路由器或主机都可差错报告

5)改变路由：5，数据源主机刚开始时，只保留一张很小的路由表，可能这上面的信息并不是最优路径，如果后续更新路径后要发送报告给数据源。

6)注意不产生ICMP数据报：a.对于已携带ICMP差错报文的数据报，B.对于分片的数据报，如果不是第一片C.具有多播地址的数据报 D.具有特殊地址的(127.0.0.0)数据报

(2)查询报文

1)回送请求与回答：类型8或0

回送请求与回答可以判定两个主机之间是否可达，通常可以通过ping命令来实现

2)时间戳请求与回答：

确定IP数据报在这两个机器之间来回所需的往返时间。