第11章 网络管理技术

考试说明：选择题37-40，综合题第4题（sniffer抓包分析）

常考知识点：

• ICMP报文协议类型

• Windows 2003网络配置命令

• SNMP管理模型与配置命令

• 网络攻击与漏洞查询

• 网络故障查找与排除

考点1：ICMP报文协议类型

1.ICMP的基本概念

①ICMP工作在网络层，是一种管理协议，用于在IP地址、路由器之间传递消息和差错报告。

②在网络中，ICMP协议可以用于网络通不通的ping命令或者跟踪路由的trace命令。

③ICMP消息被封装在IP数据包内，通过IP包传送的ICMP信息主要是涉及错误操作的报告和回送给源结点的关于IP数据包处理情况的消息。

④ICMP的功能是报告问题而不是纠正错误，纠正错误的任务由发送方完成。

2.ICMP协议类型

ICMP报文格式有18种，常见的报文格式如下表：

 

=> 源抑制：当路由器缓存已满时，只能将数据包丢弃，同时路由器向源节点发出ICMP报文，让源节点在收到源抑制的报文时降低发送数据包的速度。

3.ICMP主要功能

（1）通告网络错误

当数据包在传输过程中，如果出现网络不可达（网络出现故障）、主机不可达（IP地址错误）、协议不可达（目的节点不支持数据包中指定的高层协议）、端口不可达（数据包指定的目的端口在目的节点无效）等错误，相关路由器或主机上的ICMP会向源节点发送一个“目标不可达”的ICMP报文。

（2）通告网络拥塞

当路由器或目标主机因缓存满来不及处理而丢弃IP数据包时，它会向发送数据包的源节点发出一个“源抑制”的ICMP报文。源节点收到这个报文后会降低发送速度。

（3）协助查找网络故障

①ICMP支持Echo（回送）功能，在两个主机之间发送一个往返的数据包。

②当网络中一个节点主动向另一个节点发出“Echo请求”报文，其中包含着这个报文的标识和序列号，收到该报文的结点则必须向源节点发出“Echo应答”报文。

③Ping命令即是利用这个功能，在网络上传输一系列数据包，测量平均往返时间并计算丢包率。

（4）通告超时

①每个IP数据包的包头部分有一个8比特的“生存期”（TTL）字段，取值范围是0~255。IP数据包在传输过程中，每经过一个路由器，该字段的值便减1。

②一个IP数据包从源节点出发时，它的TTL已被预先设定一个数值，在传输过程中，如果该IP包的TTL降低到零，路由器就会丢弃此包，这是会生成一个“超时”（time exceeded）的ICMP报文，通告这一事实。

③Trace就是一种基于上述功能的通用网络管理工具，它通过发送小TTL值的包及监视ICMP超时通告来探知网络路由。

【真题】sniffer抓包命令分析——①ping命令 ②trace命令？

解析：①ping命令有回送的功能，有应答和请求两种报文类型；②trace命令中涉及参数TTL字段。如果抓取到的数据包是通过发送不同的TTL数据包来监视和