ICMP là gì?
Giao thức tin nhắn được kiểm soát trên Internet (ICMP) là một tập hợp các quy tắc truyền thông liên lạc mà các thiết bị sử dụng để truyền dữ liệu lỗi trong mạng. Trong quá trình trao đổi tin nhắn giữa người gửi và người nhận, có thể xảy ra một số lỗi nhất định ngoài dự kiến. Ví dụ, tin nhắn có thể quá dài hoặc các gói dữ liệu có thể đến không theo thứ tự do đó người nhận không thể tập hợp chúng. Trong những trường hợp như vậy, người nhận sử dụng ICMP để thông báo cho người gửi thông báo lỗi và yêu cầu gửi lại thông báo.
Có các trường hợp sử dụng ICMP nào?
Hệ thống trả lời tự động bằng giọng nói (ICMP) là một giao thức lớp mạng quan trọng trong mạng máy tính. Giao thức này cung cấp cơ chế chuẩn hóa để các thiết bị mạng truyền đạt thông tin quan trọng như kết nối và trạng thái mạng. Tất cả các thiết bị được kết nối với mạng, bao gồm các bộ định tuyến và thiết bị điểm cuối, có thể xử lý các tin nhắn ICMP. ICMP đã được điều chỉnh để làm việc với cả IPv4 và IPv6.
Tìm hiểu về kết nối mạng máy tính »
Tiếp theo, chúng ta sẽ thảo luận về một số trường hợp sử dụng ICMP phổ biến.
Báo cáo lỗi
Thông báo lỗi ICMP báo cáo lỗi mạng—chẳng hạn như đích đến không thể tiếp cận, hết thời gian hoặc sự cố phân đoạn. Các thông báo đặc biệt quan trọng đối với Giao thức dữ liệu người dùng (UDP), trong đó có một mô hình liên lạc không kết nối.
UDP không cung cấp các gói tin đáng tin cậy, theo yêu cầu. Khi một gói tin UDP được gửi đi, gói tin đó có thể bị mất, hoặc có thể được cung cấp với lỗi như lỗi tổng kiểm tra. Nếu điều này xảy ra, người nhận sẽ gửi thông báo lỗi ICMP trở lại người gửi để thông báo về sự cố.
Chẩn đoán
Bạn có thể sử dụng ICMP để chẩn đoán mạng. ICMP được sử dụng phổ biến nhất cho lệnh ping và lệnh truy vết.
Lệnh ping kiểm tra khả năng tiếp cận của các thiết bị mạng bằng cách gửi gói tin nhắn đến ICMP đến một thiết bị đích. Nếu có thể truy cập thiết bị thì sẽ trả về một phản hồi đi ICMP. Thao tác này sẽ kiểm tra độ trễ mạng một cách đáng tin cậy và đảm bảo thiết bị khả dụng.
Lệnh truy vết theo dõi đường dẫn được thực hiện bởi các gói tin từ một nguồn đến đích. Để thực hiện việc này, lệnh này sẽ gửi thông báo tin nhắn đến và phản hồi đi đến đích dự định.
Yêu cầu Echo chứa một giá trị thời gian tồn tại (TTL), giảm một lần mỗi khi gói tin đi qua một bộ định tuyến. Khi một gói tin đến bộ định tuyến với TTL bằng 0, bộ định tuyến sẽ gửi một thông báo ICMP trở lại nguồn.
Thông báo chứa thông tin về tuyến đường truyền được thực hiện bởi gói tin. Lệnh truy vết cho thấy đường dẫn truyền chính xác của một gói tin, có thể cung cấp cho bạn những thông tin chuyên sâu về hiệu suất mạng.
Bảo mật mạng
Bạn có thể sử dụng ICMP để phát hiện lưu lượng truy cập mạng trái phép và chỉ cho phép lưu lượng truy cập hợp pháp qua mạng. Tường lửa sử dụng ICMP để cho phép hoặc chặn một số loại lưu lượng truy cập nhất định. Quản trị viên mạng cũng sử dụng các công cụ giám sát ICMP để theo dõi trạng thái và khả năng kết nối của các thiết bị mạng và phát hiện các thiết bị không xác định.
Bạn cũng có thể sử dụng công cụ này để phát hiện các mẫu lưu lượng truy cập bất thường có thể cho biết hoạt động trái phép.
ICMP hoạt động như thế nào?
Giao thức tin nhắn được kiểm soát trên Internet (ICMP) thường hoạt động cùng với các giao thức mạng khác như TCP/IP hoặc Giao thức dữ liệu người dùng (UDP). Máy chủ và bộ định tuyến trao đổi tin nhắn ICMP hoặc gói ICMP khi xảy ra một số sự kiện mạng nhất định.
Một gói ICMP bao gồm một tiêu đề gói ICMP và một phần dữ liệu ICMP.
Tiêu đề gói ICMP
Tiêu đề ICMP chứa thông tin về loại gói, mã gói, tổng kiểm tra và mã định danh. Khi các gói ICMP được gửi đi, người nhận tin nhắn đọc thông tin tiêu đề. Dựa trên loại gói tin, gói có thao tác thích hợp.
Ví dụ, nếu đây là kiểu tin nhắn đến, người nhận sẽ gửi một phản hồi đi với cùng một dữ liệu. Nếu đây là loại đích đến không thể tiếp cận, người nhận sẽ trả lời bằng một tin nhắn đích đến không thể tiếp cận.
Phần dữ liệu ICMP
Phần dữ liệu trong tin nhắn ICMP bao gồm thông tin như địa chỉ IP của đích đến hoặc nguyên nhân thất bại. Phần này cũng chứa các mã lỗi hoặc mã số để xác định lỗi.
Dưới đây là một số ví dụ:
- Mã đích đến không thể tiếp cận (Loại 3) chỉ ra rằng thiết bị nhận không tồn tại trên mạng
- Mã chuyển hướng (Loại 5) gửi tin nhắn đến một bộ định tuyến khác cho biết một tuyến đường tốt hơn đến điểm đích
- Mã tin nhắn đến và phản hồi đi (Loại 8 và 10) kiểm tra kết nối giữa các thiết bị
- Một tin nhắn vượt quá thời gian cho thấy một gói đã vượt quá thời gian tối đa để đến đích
- Một tin nhắn về Sự cố tham số cho biết thời điểm một bộ định tuyến gặp sự cố với một tiêu đề trường IP
- Một tin nhắn Nguồn vi phạm được gửi đi khi một bộ định tuyến bị tắc nghẽn và cần giới hạn số lượng gói tin mà nó nhận được
ICMP và TCP có điểm gì khác biệt?
TCP là một giao thức định hướng kết nối để phân phối dữ liệu đáng tin cậy, có kiểm tra lỗi. Giao thức này thường được sử dụng để duyệt web, gửi email, đăng nhập từ xa và truy cập các ứng dụng truyền tệp. TCP yêu cầu bắt tay, một loạt các thông báo thiết lập sự tin tưởng và xác thực giữa người gửi và người nhận. TCP đảm bảo gửi thông báo.
Ngược lại, Giao thức tin nhắn được kiểm soát trên Internet (ICMP) là một giao thức không kết nối. Giao thức này không đảm bảo chuyển phát tin nhắn. Vì ICMP chỉ được sử dụng để báo cáo lỗi, các tin nhắn ICMP cũng có kích thước nhỏ hơn so với các gói TCP.
ICMP và TCP được sử dụng kết hợp để thiết lập lý do tại sao việc gửi TCP không thành công.
Cuộc tấn công ping flood ICMP là gì?
Các cuộc tấn công Ping Flood trên Giao thức tin nhắn được kiểm soát trên Internet (ICMP) là sự kiện từ chối dịch vụ (DoS) nơi người dùng trái phép gửi nhiều tin nhắn đến ICMP trong một thời gian ngắn. Mỗi yêu cầu ICMP chứa một mã định danh duy nhất và dữ liệu tải, chỉ yêu cầu người nhận trả lời. Máy chủ tiếp nhận cố gắng phản hồi từng yêu cầu trái phép, làm trễ hoặc làm chậm phản hồi đến các nguồn được ủy quyền.
Để bảo vệ chống lại các cuộc tấn công ping flood ICMP, bạn nên đảm bảo thiết bị mạng của bạn được định cấu hình để giới hạn lượng lưu lượng truy cập ICMP mà họ sẵn sàng chấp nhận. Điều quan trọng là phải theo dõi mạng của bạn để tìm hoạt động trái phép và áp dụng các biện pháp bảo mật cần thiết, chẳng hạn như tường lửa và hệ thống phát hiện xâm nhập (IDS).
AWS có thể tăng cường khả năng bảo vệ khỏi các sự kiện DDoS như thế nào?
Amazon Web Services (AWS) cung cấp AWS Shield để giúp bạn bảo vệ tốt hơn trước các sự kiện từ chối dịch vụ phân tán (DDoS).
AWS Shield là dịch vụ được quản lý giúp bảo vệ chống lại hành vi tấn công từ chối dịch vụ phân tán (DDoS), giữ an toàn cho các ứng dụng chạy trên AWS. Dịch vụ này cung cấp chức năng phát hiện động và giảm thiểu nội tuyến tự động giúp giảm thiểu thời gian ngừng tương tác và độ trễ của ứng dụng. AWS Shield bao gồm các kỹ thuật giảm thiểu tự động để bảo vệ chống lại tất cả các loại sự kiện bảo mật mạng.
Bạn được hưởng lợi từ nhiều tính năng với AWS Shield:
- Tự động phân tích và loại bỏ lưu lượng truy cập trái phép tại các lớp cụ thể
- Giảm thiểu thời gian ngừng tương tác và độ trễ của ứng dụng
- Giám sát và bảo vệ lên đến 1.000 loại tài nguyên
- Phát hiện tùy chỉnh dựa trên mẫu lưu lượng truy cập ứng dụng
Bắt đầu với bảo vệ DDoS bằng cách tạo một tài khoản ngay hôm nay.