網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)防火墻路由器ICMP是“Internet Control Message Ptotocol”(Internet控制消息協(xié)議)的縮寫。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。

在網(wǎng)絡(luò)中經(jīng)常會使用到ICMP協(xié)議。例如經(jīng)常用于檢查網(wǎng)絡(luò)不通的ping命令，這個(gè)ping的過程實(shí)際上就是ICMP協(xié)議工作的過程。還有跟蹤路由的trancert命令也是基于ICMP協(xié)議的。

操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB。通常利用這一規(guī)定進(jìn)行主機(jī)攻擊。即Ping of Death攻擊。它的原理是：如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時(shí)，主機(jī)就會出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使主機(jī)死機(jī)。

此外，向目標(biāo)主機(jī)長時(shí)間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。大量的ICMP數(shù)據(jù)包會形成ICMP風(fēng)暴，使得目標(biāo)主機(jī)耗費(fèi)大量的CPU資源處理，疲于奔命。

ping.exe的原理：向指定的IP地址發(fā)送一定長度的數(shù)據(jù)包，按照約定，若指定IP地址存在的話，會返回同樣大小的數(shù)據(jù)包，當(dāng)然，若在特定時(shí)間內(nèi)沒有返回，就是“超時(shí)”，會被認(rèn)為指定的IP地址不存在。由于ping使用的是ICMP協(xié)議，有些防火墻軟件會屏蔽ICMP協(xié)議，所以有時(shí)候ping的結(jié)果只能作為參考，ping不通并不一定說明對方IP不存在。

IPSec安全策略防ping原理：通過新建一個(gè)IPSec策略過濾本機(jī)所有的ICMP數(shù)據(jù)包，這樣確實(shí)可以有效地防ping，但同時(shí)也會留下后遺癥。因?yàn)閜ing命令和ICMP協(xié)議有著密切的關(guān)系。在ICMP協(xié)議的應(yīng)用中包含11種報(bào)文格式，其中ping命令就是利用ICMP協(xié)議中的“Echo Request”報(bào)文進(jìn)行工作的。

一般在某些有特殊應(yīng)用的局域網(wǎng)環(huán)境中，容易出現(xiàn)數(shù)據(jù)包丟失的現(xiàn)象，影響用戶正常辦公，因此建議使用防火墻。