科研训练总结报告ICMP在Internet中的应用以及安全问题研究

西安邮电学院

科研训练工作总结

计算机科学与技术系网络工程专业 06 级 04 班

课题名称：ICMP在Internet中的应用以及安全

问题研究

指导教师：

日期： 20xx年x月x日

ICMP介绍及在网络的威胁和防护

一.ICMP介绍

被称为 Catenet 的系统中，IP 协议被用作主机到主机的数据报服务。网络连接设备为网关。这些网关通过网关到网关协议（GGP）相互交换用于控制的信息。通常，网关或目的主机将和源主机通信，例如，为报告在数据报过程中的错误。为了这个目的才使用了 ICMP，它使用 IP 做为底层支持，好象它是一个高层协议，而实际上它是 IP 的一部分，每一种 IP 模块必须实现 ICMP。

ICMP 消息在以下几种情况下发送：当数据报不能到达目的地时，当网关的已经失去缓存功能，当网关能够引导主机在更短路由上发送。

IP 并非设计为绝对可靠，这个协议的目的是为了当网络出现问题的时候返回控制信息，而不是使 IP 协议变得绝对可靠，并不保证数据报或控制信息能够返回。一些数据报仍将在没有任何报告的情况下丢失。上层协议必须使用自己的差错控制程序来判断通信是否正确。

ICMP 信息通常报告在处理数据报过程中的错误。若要避免信息无限制地返回，对于 ICMP 消息不会单独成包发送，而且 ICMP 信息只在处理数据报偏移量为 0 时发送。 ICMP全称Internet Control Message Protocol(网际控制信息协议)。提起ICMP，一些人可能会感到陌生，实际上，ICMP与我们息息相关。在网络体系结构的各层次中，都需要控制，而不同的层次有不同的分工和控制内容，IP层的控制功能是最复杂的，主要负责差错控制、拥塞控制等，任何控制都是建立在信息的基础之上的，在基于IP数据报的网络体系中，网关必须自己处理数据报的传输工作，而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误，TCP/IP设计了ICMP协议，当某个网关发现传输错误时，立即向信源主机发送ICMP报文，报告出错信息，让信源主机采取相应处理措施，它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。

ICMP报文格式

ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面，所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文，IP头部的Protocol值为1就说明这是一个ICMP报文，ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式，此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型，所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式，具体如下：

类型代码类型描述

0 响应应答(ECHO-REPLY)

3 不可到达

4 源抑制

5 重定向

8 响应请求(ECHO-REQUEST)

11 超时

12 参数失灵

13 时间戳请求

14 时间戳应答

15 信息请求(*已作废)

16 信息应答(*已作废)

17 地址掩码请求

18 地址掩码应答

其中代码为15、16的信息报文已经作废。

下面是几种常见的ICMP报文：

1.响应请求

我们日常使用最多的ping，就是响应请求(Type=8)和响应应答(Type=0)，一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常(例如被路由器丢弃、目标不回应ICMP或传输失败)，则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。

2.目标不可到达、源抑制和超时报文

这三种报文的格式是一样的，目标不可到达报文(Type=3)在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口(端口号小于1024)时，将返回Type=3、Code=3的ICMP报文，它要告诉我们：“嘿，别连接了，我不在家的!”，常见的不可到达类型还有网络不可到达(Code=0)、主机不可到达(Code=1)、协议不可到达(Code=2)等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超时，Code=1表示重组分段超时。

3.时间戳

时间戳请求报文(Type=13)和时间戳应答报文(Type=14)用于测试两台主机之间数据报来回一次的传输时间。传输时，主机填充原始时间戳，接收方收到请求后填充接收时间戳后以Type=14的报文格式返回，发送方计算这个时间差。一些系统不响应这种报文。

二．ICMP协议中的安全隐患和防护

1.Ping工具

PING命令是网络管理员或用户最常见的网络调试工具，通过主机或路由器向指定目的站发送ICMP回送请求报文，任何收到回送请求的机器形成一个回送应答，并把它返回给最初发送者

显然PING命令可以扫描网路奇偶，通过顺序对每个逐句地址进行PING操作可以探测出网络中哪个IP地址的设备具有IP协议栈，另外还可以利用不合法的碎片ICMP回送请求引起拒绝服务攻击，因此，可以通过对网络出口处防火墙设定控制策略，以防止黑客通过PING扫描或进行攻击。

ICMP重定向

主机在系统启动时，根据一个配置文件对选路表进行初始化，而且系统管理员在操作过程中很少改变路由，如果网络拓扑改变，那么在主机或路由器中的选路表就不正确，改变可能是临时的或永久的。但路由器会定期交换路由信息，以适应网络改变并保持他们的路由总是最新的。因此，主机从最少的信息开始并依赖于路由器更新它的路由表，在某种特殊情况下，当路由器检测到一台主机使用非优化路由时，它向该主机发送一个重定向的ICMP报文，请求该主机改变路由，路由器也把初始数据报转发给他的目的地，路由器只向主机而不向路由器发送ICMP重定向请求，攻击者可以利用ICMP重定向报文破坏路由，并以此增强窃听能力，除了路由器，主机必须服从ICMP重定向，如果一台机器向网络中的另一台机器发送一个ICMP重定向报文，可能引起其他机器具有一张无效的路由表，如果一台机器伪装成路由器解惑所有到默写目标网络或全部目标网络的IP数据包，这样就形成了窃听。

懂得网络的人都知道我们常用Ping命令来检查网络是否畅通的一个简单的手段，可是这个Ping也能给Windows系统带来不可预测的灾难，那就是Ping入侵即是ICMP入侵，后果是相当严重的。所以这里我们要详细讨论一下ICMP攻击方法及防范措施。针对带宽的DoS攻击

针对带宽的DoS攻击，主要是利用无用的数据来耗尽网络带宽。Pingflood、pong、

echok、flushot、fraggle 和 bloop是常用的ICMP攻击工具。通过高速发送大量的ICMP Echo Reply数据包，目标网络的带宽瞬间就会被耗尽，阻止合法的数据通过网络。ICMP Echo Reply数据包具有较高的优先级，在一般情况下，网络总是允许内部主机使用PING命令。

这种攻击仅限于攻击网络带宽，单个攻击者就能发起这种攻击。更厉害的攻击形式，如smurf和papa-smurf，可以使整个子网内的主机对目标主机进行攻击，从而扩大ICMP流量。使用适当的路由过滤规则可以部分防止此类攻击，如果完全防止这种攻击，就需要使用基于状态检测的防火墙。

针对连接的DoS攻击

针对连接的DoS攻击，可以终止现有的网络连接。针对网络连接的DoS攻击会影响所有的IP设备，因为它使用了合法的ICMP消息。Nuke通过发送一个伪造的ICMP Destination Unreachable或Redirect消息来终止合法的网络连接。更具恶意的攻击，如puke和smack，会给某一个范围内的端口发送大量的数据包，毁掉大量的网络连接，同时还会消耗受害主机CPU的时钟周期。

还有一些攻击使用ICMP Source Quench消息，导致网络流量变慢，甚至停止。Redirect和Router Announcement消息被利用来强制受害主机使用一个并不存在的路由器，或者把数据包路由到攻击者的机器，进行攻击。针对连接的DoS攻击不能通过打补丁的方式加以解决，通过过滤适当的ICMP消息类型，一般防火墙可以阻止此类攻击。基于重定向(redirect)的路由欺骗技术

首先我们应该知道，微软的Windows98和NT系统都保持着一张已知的路由器列表，列表中位于第一项的路由器是默认路由器，如果默认路由器关闭，则位于列表第二项的路由器成为缺省路由器。缺省路由向发送者报告另一条到特定主机的更短路由，就是ICMP重定向。

攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力。除了路由器，主机必须服从ICMP重定向。如果一台机器向网络中的另一台机器发送了一个ICMP重定向消息，这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包，这样就形成了窃听。通过ICMP技术还可以抵达防火墙后的机器进行攻击和窃听。

据笔者观察，目前所有基于ICMP路由欺骗的技术都是停留在理论上的论述，没有找到相关的具体攻击实例和原程序

配置防火墙以预防攻击

一旦选择了合适的防火墙，用户应该配置一个合理的安全策略。一般除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外，所有的ICMP消息类型都应该被阻止。

现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。

配置系统自带的默认防火墙以预防攻击

虽然很多防火墙可以对PING进行过滤，但对于没有安装防火墙时我们如何有效的防范ICMP攻击呢?先面我们介绍一下配置一下系统自带的默认防火墙的预防攻击的方法。方法如下:

第一步:打开在电脑的桌面，右键点击“网上邻居→属性→本地连接→属性→Internet协议(TCP/IP)→属性→高级→选项-TCP/IP筛选-属性”。

第二步:“TCP/IP筛选”窗口中，点击选中“启用TCP/IP筛选(所有适配器)”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上，点击“只允许”，后按添加按钮，然后在跳出的对话框输入端口，通常我们用来上网的端口是:80、8080，而邮件服务器的端口是:25、110，FTP的端口是20、21，同样将UDP端口和IP协议相关进行

添加。

第三步:打开“控制面板→管理工具→本地安全策略”，然后右击“IP安全策略，在本地机器”选“管理IP筛选器和IP筛选器操作”，在管理IP筛选器和IP筛选器操作列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，然后按添加，在源地址选任何IP地址，目标地址选我的IP地址，协议类型为ICMP，设置完毕。

第四步:在“管理筛选器操作”，取消选中“使用添加向导”，添加，在常规中输入名字“Deny的操作”，安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

第五步:点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，把刚刚定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“Deny的操作”，然后右击“防止ICMP攻击”并启用。

通过对注册表的修改以预防攻击

通过对注册表的修改我们可以使ICMP更安全。修改注册表主要有两种方式:

(A)禁止ICMP重定向报文

ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息，这样虽然方便了用户，但是有时也会被他人利用来进行网络攻击，这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应ICMP的重定向报文，从而使网络更为安全。

修改的方法是:打开注册表编辑器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支，在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0(0为禁止ICMP的重定向报文)即可。

(B)禁止响应ICMP路由通告报文

“ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被窃听、计算机被用于流量攻击等，因此建议关闭响应ICMP路由通告报文。

修改的方法是:打开注册表编辑器，找到“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支，在右侧窗口中将子键“PerformRouterDiscovery” EG_DWORD型的值修改为0(0为禁止响应ICMP路由通告报文，2为允许响应ICMP路由通告报文)。修改完成后退出注册表编辑器，重新启动计算机即可。

当然除了PING，ICMP还有一个非常重要的命令——traceroute

为了避免数据报在TCP/IP互联网上永远地循环，每个IP数据报都包含一个寿命计时器，只要路由器处理了数据报，就将寿命计时器值减1，并且在值到0时求其该数据报。一旦路由器因为某个数据报的下一条计数为0或因为等待分片时超时而丢弃它，就向数据报的源站发回一个ICMP超时报文。

对网络进行攻击的黑客可以利用traceroute命令来发送一个人为设定的寿命计时器值很低的报文，这样导致路由器发回一个超时报文，其中包括路由器的IP地址，还可以通过只发送被分片的报文的第一个报文来扫描网络，对待对方主机发回网络超时的信息，这样可以用于定位端口地址。

避免此类安全问题，可采用只接受traceroute的回应，而禁止对外主机的回应。

ICMP对于Internet以及各种IP网络正常运转起到至关重要的作用。但是对ICMP的滥用导致了很多安全问题，必须采取必要的措施加以限制，可以在一定程度上保证网络的安全运行。

第二篇：科研训练工作小结2ICMP在Internet中的应用以及安全问题研究

西安邮电学院

科研训练工作小结

计算机科学与技术系网络工程专业 06 级 04 班

课题名称：ICMP在Internet中的应用以及安全

问题研究

指导教师：

日期： 20xx年x月x日

小结报告

Internet控制报文协议（ICMP-Internet Control Message Protocol） RFC-792

它是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。我们可以通过Ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息。通过这些消息来对网络或主机的故障提供参考依据

ICMP是“Internet Control Message Protocol”（Internet控制报文协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令（Linux和Windows中均有），这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

ICMP的全称是 Internet Control Message Protocol 。从技术角度来说，ICMP就是一个“错误侦测与回报机制”，其目的就是让我们能够检测网路的连线状况﹐也能确保连线的准确性﹐其功能主要有：

· 侦测远端主机是否存在。

· 建立及维护路由资料。

· 重导资料传送路径。

· 资料流量控制。

ICMP在沟通之中，主要是透过不同的类别(Type)与代码(Code) 让机器来识别不同的连线状况。常用的类别如下表所列﹕

ICMP 是个非常有用的协定﹐尤其是当我们要对网路连接状况进行判断的时候。下面让我们看看常用的 ICMP 实例，以更好了解 ICMP 的功能与作用。关于 PING

当关于这个命令应该很多人都用过了吧？它就是用来测试两台主机是否能够顺利连线的最简单的工具：

在 Linux 使用 ping 命令，如果您不使用 -c N 参数来指定送出多少个 ICMP 封包的话，ping 命令会一直持续下去，直到您按 Ctrl + C 为止。从上面的命令结果我们可以确定连线是否成功之外，还可以根据它的 time 来判断当前的连线速度，数值越低速度越快；在命令结束的两行，还有一个总结，如果发现您的 packet loss 很严重的话，那就要检察线路品质，或是上游的服务品质了；最后一行是 round-trip (来回)时间的最小值、平均值、最大值，它们的时间单位都是微秒 (ms)。

如果运用得当，ping 可以帮我们判断出许多状况。例如，我们要看一下跟远方的机器是否连接得上，先可以 ping 一下对方的机器名称；如果连接不上的话，我们可以 ping 对方的 IP ，如果 IP 可以 ping 得到，那么，很可能是DNS不工作了；那么我们可以检查本身主机的 DNS 伺服器是否指定正确、以及 DNS 伺服器是否设定正确。如果连 IP 都 ping 不了，那么，很可能是 IP 设定的问题了，也可能是网路的连线问题。检查的步骤也有很多种，下面是方法之一：

1. ping 对方的 router (如过您知道其地址的话)，假如 ping 得上，那可能是对方机器和其相连网路的问题；

2. 如果 ping 不到对方的 router ，那么可以 ping 自己的 router。如果 ping 得上，那么好可能是 router 和 router 之间的问题；

3. 如果自己的 router 也 ping 不到，那么可能是自己的机器和 router 之间的问题，我们可以 ping 一下自己的 IP 。如果自己的 IP 可以 ping 得到，那么，可能是连线的问题，我们可以检查一下网线、hub、等设备，看看有没有损毁的状况。

4. 同时，我们也可以 pin g一下网路上面其它的机器，也可以用其它机器 ping 一下 router ，来判别一下问题来自自己机器、还是网路、还是 router、等等。

5. 如果自己的 IP 都 ping 不到，那么可能是网路卡坏掉了或没有正确设定，可以看看设备资源有没有冲突，也可以看看设备有没有被系统启动。

6. 如果看来都没问题，那么可以 ping 一下回圈位址 127.0.0.1 ，如果连这个都 ping 不了的话，这台机器的 IP 功能根本就没被启动！那么，您就要先检查一下网路功能有没有选择、IP 协定有没有被绑定( bind )、等基本网路设定了。

关于 TRACEROUTE

除了用 ping 命令来检查连线之外，还有另外一个非常厉害的工具我们可以使用的，就是 traceroute 命令了(在 windows 上面则称为 tracert 命令)：

透过 traceroute 命令，我们可以找出通往目的地的所有经过的路由节点，并以数字将路由顺序标识出来。若是您觉得回应很慢，那可加上 -n 参数，节点名称将会以 IP 位址显示，因为不需要进行名称解析，回应速度当然会快一些。

ping 命令的结果有一个 TTL 值？通常来说，Time To Live 都是以时间为单位的，但是在路由上面却是以跳站数目为单位的。为了防止一个封包无限期呆在网路上路由，每一个封包都会被赋予一个 TTL 值，告诉它最多能经过多少个跳站。当封包被一个路由节点处理之后，它原来的 TTL 值就会被扣掉 1 ，这样，如果封包的 TTL 降到 0 的时候，路由器就会丢弃这个封包，并且同时向来源地送出一个 time_exceeded( type 11 ) 的 ICMP 封包，以告知其封包的命运。

1. 首先，traceroute 命令会向目标地址送出 UDP 侦测封包(在 Linux 中，可用 -I 改为 ICMP 封包)，但将第一个送出的封包之 TTL 设为 1 。这样，第一个路由节点在处理这个封包的时候，减掉 1 ，并发现 TTL 为 0 ，于是就不处理这个封包，并同时送回一个 ICMP 封包。这样，发送端就知道第一个路由节点在哪里了。

2. 当接得到第一个 ICMP 返回的时候，程式会检查返回主机是否就是目标主机，如果不是，则再送出第二个封包，但 TTL 比上次增加 1 。

3. 这样，第一路由节点接到的封包之 TTL 就不是 0 ，那么处理完毕后送给下一个节点，同时将 TTL 扣除 1 。这样，当下一个站收到这个封包，再扣掉 TTL 为 0 ，也会送回 ICMP 封包，这样，程式就知道第二个路由节点在哪里了。

4. 然后重复上一个动作，直到找到目标主机为止，或是封包的最大 TTL (通常为 30) 都用光为止，但您可以用 -m 参数来指定最大的 TTL 值。

虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前做好准备，就可以有效地避免ICMP攻击造成的损失。对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。

防御基于ICMP的网络攻击的方法

选择合适的防火墙

有效防止ICMP攻击，防火墙应该具有状态检测、细致的数据包完整性检查和很好的过滤规则控制功能。

状态检测防火墙通过跟踪它的连接状态，动态允许外出数据包的响应信息进入防火墙所保护的网络。例如，状态检测防火墙可以记录一个出去的 PING（ICMP Echo Request），在接下来的一个确定的时间段内，允许目标主机响应的ICMP Echo Reply直接发送给前面发出了PING命令的IP，除此之外的其他ICMP Echo Reply消息都会被防火墙阻止。与此形成对比的是，包过滤类型的防火墙允许所有的ICMP Echo Reply消息进入防火墙所保护的网络了。许多路由器和基于Linux内核2.2或以前版本的防火墙系统，都属于包过滤型，用户应该避免选择这些系统。

新的攻击不断出现，防火墙仅仅能够防止已知攻击是远远不够的。通过对所有数据包进行细致分析，删除非法的数据包，防火墙可以防止已知和未知的 DoS攻击。这就要求防火墙能够进行数据包一致性检查。安全策略需要针对ICMP进行细致的控制。因此防火墙应该允许对ICMP类型、代码和包大小进行过滤，并且能够控制连接时间和ICMP包的生成速率。

配置防火墙以预防攻击

一旦选择了合适的防火墙，用户应该配置一个合理的安全策略。以下是被普遍认可的防火墙安全配置惯例，可供管理员在系统安全性和易用性之间做出权衡。防火墙应该强制执行一个缺省的拒绝策略。除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外，所有的ICMP消息类型都应该被阻止。下面是针对每个ICMP消息类型的过滤规则的详细分析。

Echo Request和Reply（类型8和0）：允许Echo Request消息出站以便于内部用户能够PING一个远程主机。阻止入站Echo Request和出站Echo Reply可以防止外部网络的主机对内部网络进行扫描。如果您使用了位于外部网络的监视器来监视内部网络，就应该只允许来自于特定外部IP的Echo Request进入您的网络。限制ICMP Echo包的大小可以防止“Ping Floods”攻击，并且可以阻止那些利用Echo Request和Reply来“偷运”数据通过防火墙的木马程序。

Destination unreachable （类型3）：允许其入站以便于内部网用户可以使用traceroute。需要注意的是，有些攻击者可以使用它来进行针对会话的DoS攻击，如果您曾经历过类似的攻击，也可以阻止它。阻止出站的ICMP Destination unreachable消息，因为它可能会泄漏内部网络的结构。不过有一个例外，对于那些允许外部网络通过TCP访问的内部主机（如位于DMZ区的Web 服务器）发出的Destination unreachable，则应该允许它通过。为了能够支持“Path MTU Discovery”，您应该允许出站的“Packet Too Big”消息（类型3，代码4）到达那些主机。

Source quench（类型4）：阻止其入站，因为它可以作为一种DoS攻击，能够降低发送者的发送速度。允许其出站以便于内部主机能够控制发送端发送数据的速度。有些防火墙会忽略所有直接发送到防火墙端口的Source Quench消息，以防止针对于防火墙的DoS攻击。

Redirect、Router announcement、 Router selection（类型5，9，10）：这些消息都存在潜在危险，因为它们可以用来把数据重定向到攻击者的机器。这些消息都应该被阻止。

TTL exceeded（类型11）：允许其进站以便于内部用户可以使用traceroute。“firewalking”使用很低的TTL值来对网络进行扫描，甚至可以通过防火墙对内网

进行扫描，所以应该禁止其出站。一些防火墙可以阻止TTL值小于设定值的数据包进入防火墙。

Parameter problem（类型12）：禁止其入站和出站。通过使用一个能够进行数据包一致性检查的防火墙，错误和恶意的数据包都会被阻塞。

ICMP包括许多种类型的用于各种用途的数据包，每一种类型都有子类型代码，用于指明这些消息类型的具体内容。

查找路径最大传输单元能够让规格正确的数据包在各种数据包容量的链路上传送。 ICMP对于恰当的路由和数据包传递是非常重要的，你只能封锁你不需要的那一些消息。