免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2292 | 回复: 0

ICMP的ID和SN [复制链接]

论坛徽章:
0
发表于 2006-11-16 00:24 |显示全部楼层
上个月有个晚上在QQ群里和刀刀聊起ICMP,因为之前和他分析Worm.Viking的Cap文件时,他说到ICMP Echo Request的Data字段是"Hello,World",后来想到这个是病毒造的Data内容,跟系统自身实现的ICMP Echo Request无关。随即让他分别抓Windows和AIX的Ping包,AIX系统上可以用tcpdump命令,把输入存入文件,再由Ethereal打开。
下面先看看系统自身实现的ICMP Echo Request的Data字段:
1、Windows系统实现的ICMP Echo Request的Data字段为32bytes
"abcdefghijklmnopqrstuvwabcdefghi"---为啥没有xyz ?
2、AIX系统实现的Data字段为54bytes(这也是RFC 792定义的)

可以注意到的是"012345"这几个字符,其它UNIX系统如何实现,现在还没抓包,改天。。。
上面图可以看到ICMP Echo Request的几个字段,其中Identifier和Sequence Number是我们那天讨论的重点。
我们知道操作系统指纹识别技术,通过向目标系统发送各种报文,从得到的反馈中依据一些特征值来判断目标系统版本号等信息,因为不同的操作系统,在具体实现某些协议时会有所不同,这个ICMP的Identifier就是其中一个例子。
上一个图看到的ICMP Identifier是0x9054(会变化),下面看一个Windows XP的ICMP实现

ICMP Identifier=0x0200,是十进制的512(固定不变),从Windows 2000后的系统都是512(具体还要确认)
ICMP的Sequence Number类似TCP会话中的顺序号,畅通的情况下,每个发出的ICMP Echo Request都会得到得到一个相同Sequence Number的ICMP Echo Reply,不同系统稍微有所不同。
1、Windows系统的第一个ICMP Echo Request包的SN=0x100,后续SN以0x100为增量;
2、AIX系统上的第一个ICMP Echo Request包的SN=0x0001,后续SN增量为0x0001;
其它一些问题没有多余的机会抓包,暂时保留;
               
               
               

本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/26393/showart_201080.html
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP