一、ICMP 协议

（1）ICMP是 Internet Control Message Protocol 的缩写，即互联网控制消息协议。它是互联网协议族的核心协议之一。它用于 TCP/IP 网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过这些信息，使网络管理者可以对所发生的问题作出诊断，然后采取适当的措施解决问题。

（2）虽然 ICMP 是网络层协议，但是它不像 IP 协议和 ARP 协议一样直接传递给数据链路层，而是先封装成 IP 数据包然后再传递给数据链路层。所以在 IP 数据包中如果协议类型字段的值是 1 的话，就表示 IP 数据是 ICMP 报文。IP 数据包就是靠这个协议类型字段来区分不同的数据包的。如下图 WireShark 抓包所示：

（3） IP 通信中如果某个包因为未知原因没有到达目的地址，那么这个具体的原因就是由 ICMP 负责告知。而 ICMP 协议的类型定义中就清楚的描述了各种报文的含义。

二、ICMP 协议类型

ICMP协议的类型分为两大类，查询报文和差错报文

三、ICMP 报文格式

从 ICMP 的报文格式来说，ICMP 是 IP 的上层协议。但是 ICMP 是分担了 IP 的一部分功能。所以，他也被认为是与 IP 同层的协议。ICMP报文包含在IP数据报中，IP报头在ICMP报文的最前面。

一个ICMP报文包括IP报头（至少20字节）、ICMP报头（至少八字节）和ICMP报文（属于ICMP报文的数据部分）

四、ICMP 协议实现

1、Ping命令

（1） 向目的服务器发送回显请求

首先，向目的服务器上执行ping命令，主机会构建一个 ICMP 回显请求消息数据包（类型是8，代码是0），在这个回显请求数据包中，除了类型和代码字段，还被追加了标识符和序号字段。标识符和序号字段分别是 16 位的字段。ping 命令在发送回显请求数据包时，会将进程号填写在标识符里。对于序号，每送出一个数据包数值就增加1。而且，回显请求的选项数据部分用来装任意数据。这个任意数据用来调整 ping 的交互数据包的大小。

（2）目的服务器发送回显应答

当10.0.0.1送到 回显请求数据包后，10.0.0.3就会向发送方10.0.0.1发送回显应答（类型是0，代码是0），这个 ICMP 回显应答数据包在 IP 层来看，与被送来的回显请求数据包基本上一样。不同的只有源、目标 IP 地址字段被交换了，Type类型字段里填入了表示回显应答的0

2、Tracert 命令

（1）IP 头部的 TTL 字段是为避免数据包循环转发而设计的。每经过一个路由器，数据包头中的 TTL 值减 1 。如果 TTL 值为 0 则丢弃报文，并向源设备回应一个 Time Exceeded 消息，告知错误类型。tracert 就是基于 TTL 字段和 ICMP 协议实现的。在 Windows 中命令是 tracert ，在 Unix 、MacOS 中命令是 traceroute 。

（2）使用 tracert 命令时，源设备的 tracert 逐跳发送数据包，并等待每一个响应报文。发送第一个数据包时，TTL 值设为 1 。第一个路由器收到数据包后 TTL 值减 1 ，随即丢弃数据包，并返回一个 Time Exceeded 消息。源设备的 tracert 收到响应报文后，取出源 IP 地址，即路径上的第一个路由器地址。然后 tracert 发送一个 TTL 值为 2 的数据包。第一个路由器将 TTL 值减 1 ，并转发数据包。第二个路由器再将 TTL 值减 1 ，丢弃数据包并返回一个 Time Exceeded 消息。tracert 收到响应报文后，取出源 IP 地址，即路径上的第二个路由器地址。类似步骤，tracert 逐跳获得每一个路由器的地址，并探测到目的设备的可达性。

PC1>tracert 10.0.30.2traceroute to 10.0.30.2, 8 hops max
(ICMP), press Ctrl+C to stop1  10.0.10.1   15 ms  16 ms  15 ms2  10.0.20.2   <1 ms  16 ms  15 ms3  10.0.30.2   16 ms  16 ms  15 ms

抓包