27.2.1. Для чего используется протокол ICMP
Протокол межсетевых управляющих сообщений используется для диагностических целей. Например, система А передала системе Б неверный пакет. Система Б с помощью протокола ICMP может «сказать» системе А, что посланный ею пакет некорректен. Также по этому протоколу производится диагностика сети. Многие из вас используют утилиту ping, чтобы определить, доходят ли отправленные вами пакеты до какой-то определенной машины, даже не подозревая о том, что ping использует как раз протокол ICMP.
С помощью протокола ICMP можно определить не только тип неисправности, но и максимально уточнить ее причину. Например, тип сообщения 3 («Адресат недостижим») свидетельствует о том, что посланный нам пакет не может «добраться» до адресата. Кроме типа сообщения, возвращается его код, позволяющий детализировать неисправность. Например, код 0 означает, что сеть недоступна, 1 — узел недоступен. 2 — протокол недоступен и т.д. В таблице 27.8 ниже перечислены типы и коды сообщений ICMP.
Обязательно ли посылать сообщение об ошибке, получив некорректный пакет? Нет, из главы 19 вы узнали, что такие пакеты (например, отправленные на запрещенный для доступа извне порт) можно просто игнорировать. Первый подход «вежливее», второй безопаснее. Представьте, что злоумышленник отправляет с 1000 машин 1000 пакетов с указанием неверного порта на вашу систему. Тогда ваша система только тем и будет заниматься, что отправлять сообщения об ошибках. Это называется атакой на отказ. Конечно, современные брандмауэры позволяют избавиться от этого неприятного явления, но не у всех они установлены и настроены должным образом.
27.2.2. Структура ICMP-пакета
Для лучшей диагностики ошибки вместе с ICMP-пакетом передается заголовок исходного пакета, вызвавшего ошибку. Также передается специальный указатель на позицию заголовка, позволяющий определить, что именно вызвала ошибку. В случае с неправильным номером порта указатель будет установлен на поле, содержащее номер порта. Благодаря этому система-источник может вычислить процесс и сокет, вызвавшие ошибку.
Структуры различных ICMP-пакетов отличаются друг от друга в зависимости от типа пакета. Например, пакет, сообщающий о недоступности адресата (Destination Unreachable Message), выглядит так:
Сообщение Destination Unreachable Message Таблица 27.6
Тип Код Контрольная сумма Не используется Интернет-заголовок плюс первые 64 бита оригинального сообщения (пакета)
Что такое тип и код, вы уже знаете, с контрольной суммой тоже все ясно. А последнее поле необходимо, поскольку оно поможет идентифицировать процесс, вызвавший ошибку.
Точно такую же структуру имеют сообщение об истечении лимита времени (Time Exceeded Message) и сообщение об обрыве источника Source Quench Message (тип 4).
А вот сообщение о неверном параметре (например, указан неверный номер порта) выглядит уже по-другому (таблица 27.7).
Сообщение Parameter Problem Message Таблица 27.7
Тип Код Контрольная сумма Указатель Не используется Интернет-заголовок плюс первые 64 бита оригинального сообщения (пакета)
Поле Указатель в сообщении о неверном параметре (Parameter Problem Message) указывает на то место в заголовке, которое вызвало ошибку.
Сообщение о переадресации (Redirect Message) имеет следующую структуру:
Сообщение Redirect Message Таблица 27.8
Тип Код Контрольная сумма Адрес шлюза Интернет-заголовок плюс первые 64 бита оригинального сообщений (пакета)
Чтобы понять, что такое сообщение о переадресации, рассмотрим следующий пример. Система Б определяет, что посланный системой А пакет некорректен. Системе Б нужно отправить системе А сообщение об ошибке. Система Б определяет, что единственным маршрутом назад для данного пакета является маршрут через систему А. Тогда система Б посылает системе А два пакета: первый с сообщением о некорректном пакете, а второе — сообщение переадресации, докладывающее, что у системы А проблемы с таблицей маршрутизации, которая, возможно, содержит ошибку.
Сообщения типа эхо-запрос (ping, тип 8) и эхо-ответ (pong, тип 0) имеют следующую структуру:
Сообщения Echo или Echo Reply Message Таблица 27.9
Тип Код Контрольная сумма Идентификатор Последовательность Данные
Поля Идентификатор и Последовательность могут использоваться источником эха для передачи вспомогательной информации. Например, идентификатор может использоваться как порт при использовании протоколов TCP/UDP для идентификации службы, а номер последовательности может увеличивается на единицу при отправке каждого запроса (то есть выступать в роли счетчика).
27.2.3. Тип и код ICMP-сообщения
В следующей таблице перечислены все типы ICMP-сообшений. Об их структуре вы можете прочитать в документе RFC 792. Типы 17 и 18 описаны в документе RFC 950.
Типы IСМР-сообщений Таблица 27.8
Тип Код Название сообщения Описание 0 Echo Reply Message Эхо-ответ 0 Код всегда равен 0 3 Destination Unreachable Message Адресат недоступен 0 Сеть недоступна 1 Узел недоступен — что-то случилось с компьютером возможно, он просто выключен 2 Протокол недоступен — запрашиваемый протокол ни поддерживается 3 Порт недоступен — на машине ни одна служба не связана с указанным номером порта 4 Длина пакета слишком велика, а в его заголовке установлен флаг DF (Don't Fragment), то есть не фрагментировать. Для передачи большого пакета его нужно фрагментировать (разбить на части), а так как установлен флаг DF, фрагментация, а следовательно, и передача пакета невозможна 5 Ошибочный маршрут источника 4 Source Quench Message Обрыв источника 0 Код всегда равен 0 5 Redirect Message Переадресация 0 Переадресация пакетов для сети 1 Переадресация пакетов для узла 2 Переадресация пакетов для сети и типа обслуживания (TOS, Type Of Service) 3 Переадресация пакетов для узла и типа обслуживания (TOS, Type Of Service) 8 Echo Message Эхо-запрос 0 Код всегда равен 0 11 Time Exceeded Message Превышен лимит времени 0 При передаче превышено «время жизни» (TTL, Time То Live) 1 Превышено время реассемблирования (сборки) фрагментов 12 Parameter Problem Message Ошибочный параметр 0 Указатель на ошибочный параметр (табл. 27.7) 13 Time stamp Message Запрос временной метки 0 Код всегда равен 0 14 Timestamp Reply Message Ответ о временной метке 0 Код всегда равен 0 15 Information Request Информационный запрос (запрашивается номер нашей сети) 0 Код всегда равен 0 16 Information Reply Message Информационный ответ (возвращается номер кашей сети) 0 Код всегда равен 0 17 (*) Information Request Информационный запрос (запрашивается маска адреса) 0 Код всегда равен 0 18 (*) Information Reply Message Информационный ответ (возвращается маска адреса) 0 Код всегда равен 0
27.2.4. Функции для работы с протоколом ICMP
Для работы с протоколом ICMP существует 12 основных функций. Все эти функции описаны в файле
/usr/src/linux/net/ipv4/icmp.c
. У вас нет этого файла? Тогда установите исходники ядра (странно, почему вы до сих пор этого не сделали).♦icmp_address() — отправка ответа на запрос о маске адреса;
♦icmp_discard() — удаляет ICMP-пакет;
♦icmp_echo() — эхо-запрос;
♦icmp_init() — инициализирует служебные подпрограммы протокола ICMP в операционной системе;
♦icmp_out_count() — увеличивает счетчик отправленных пакетов;
♦icmp_rcv() — прием ICMP-пакета;
♦icmp_redirect() — отправка сообщения переадресации;
♦icmp_send() — отправка ICMP-сообщения;
♦icmp_timestamp() — ответ на запрос о времени создания;
♦icmp_unreach() — отправляет сообщение об ошибке;
♦xrlim_allow() — решает, отправлять ли ICMP-пакет или нет;
♦xrlim_init() — ограничение скорости передачи ICMP-пакетов (в версии ядра 2.0).
27.2.4.1. Технические подробности
Прежде чем перейти к рассмотрению функций ICMP, разберемся, как же ICMP-пакеты принимаются операционной системой. Собственно, ICMP-пакет принимается операционной системой Linux так же, как и любой другой пакет. Драйвер сетевой платы (или другого сетевого устройства) собирает полный пакет данных, затем он строит структуру sk_buff.
Листинг 27.1. Структура sk_buff
struct sk_buff {
/* Эти два члена должны быть первыми */
struct sk_buff* next; /* Следующий буфер в списке*/
struct sk_buff* prev;/* Предыдущий буфер в списке*/
struct sk_buff_head * list; /* "Голова" списка */
struct sock *sk; /* Сокет */
struct timeval stamp; /* Время прибытия пакета */
struct net_device *dev; /* Сетевое устройство */
/* Заголовок транспортного уровня */
union {
struct tcphdr *th;
struct udphdr *uh;
struct icmphdr *icmph;
struct igmphdr* igmph;
struct iphdr *ipiph;
struct spxhdr *spxh;
unsigned char *raw;
} h;
/* Заголовок сетевого уровня */
union {
struct iphdr *iph;
struct ipv6hdr* ipv6h;
struct arphdr *arph;
struct ipxhdr *ipxh;
unsigned char *raw;
} nh;
union {
struct ethhdr *ethernet;
unsigned char *raw;
} mac;
struct dst_entry *dst;
char cb[48];
unsigned int len; /* Длина данных */
unsigned int data_len;
unsigned int csum; /* Контрольная сумма */
unsigned char __unused, /* He используется */
cloned, /* Заголовок должен клонироваться */
pkt_type, /* Класс пакета */
ip_summed; /* контрольная сумма IP */
__u32 priority; /* Приоритет пакета */
atomic_t users; /* Счетчик пользователей — см.
datagram.c, tcp.c */
unsigned short protocol; /* Протокол пакета */
unsigned short security; /* Уровень безопасности */
unsigned int truesize; /* Размер буфера */
unsigned char *head; /* Заголовок буфера */
unsigned char *data; /* Указатель заголовка данных */
unsigned char *tail; /* Указатель "хвоста" */
unsigned char *end; /* Конечный указатель */
void (*destructor)(struct sk_buff*);
#ifdef CONFIG_NETFILTER
unsigned long nfmark;
/* Cache info */
__u32 nfcache;
/* Ассоциированное соединение */
struct nf_ct_info *nfct;
#ifdef CONFIG_NETFILTER_DEBUG
unsigned int nf_debug;
#endif
#endif /* CONFIG_NETFILTER*/
#if defined(CONFIG_HIPPI)
union {
__u32 ifield;
} private;
#endif
#ifdef CONFIG_WET_SCHED
__u32 tc_index; /* Индекс контроля трафика */
#endif
};
Данная структура описана в файле
/usr/src/linux/include/linux/skbuff.h
. После формирования структуры sk_buff
она передается драйвером функции netif_rx.int netif_rx(struct sk_buff *skb);
Функция netif_rx() описана в файле
/usr/src/linux/net/core/dev.c
. Она получает пакет от драйвера сетевого устройства и ставит его в очередь (очередь называется backlog) протокола высшего уровня. Функция возвращает следующие значения:♦ NET_RX_SUCCESS — пакет удачно поставлен в очередь;
♦ NET_RX_CN_LOW — имеется небольшая «пробка» при постановке пакета в очередь, но скоро она «рассосется»;
♦ NET_RX_CN_MOD — «пробка» чуть больше — средней «длины»;
♦ NET_RX_CN_HIGH — очень большая «пробка»;
♦ NET_RX_DROP — пакет был удален.
Если в очереди backlog находятся более 300 пакетов, новый пакет будет удален без какого-либо предупреждения.
Драйвер сетевого устройства при формировании структуры
sk_buff
устанавливает ее поле protocol
. Функция netif_rx(), как уже было сказано, передает пакет «наверх», затем функция net_bh() использует значение поля protocol
, установленное драйвером, для вызова соответствующей протоколу программы и передает этой программе пакет. Для протокола ICMP такой программой является функция icmp_rcv(), описанная в файле /usr/src/linux/net/ipv4/icmp.с
.int icmp_rcv(struct sk_buff *skb);
Функция icmp_rcv выполняет следующие действия:
1. Увеличивает значение счетчика входящих пакетов ICMP_INC_STATS_BH(IcmpInMsgs).
2. Удаляет пакет, если его размер слишком мал.
3. Проверяет контрольную сумму: если она ошибочна, увеличивает счетчик некорректных пакетов.
4. Проверяет тип ICMP-пакета. Если тип пакета превышает максимальное значение 18, то пакет удаляется. При этом увеличивается счетчик некорректных пакетов.
5. Вызывает функцию-обработчик ICMP-сообщения в зависимости от значения типа сообщения.
Соответствие номеров типа служебным функциям (описаны в файле icmp.c) Таблица 27.9
Тип Функция Описание 0, 1, 2, 6, 7, 9, 10, 12, 14-16, 18 void icmp_discard(struct sk_buff *skb) Удаляет пакет 3, 4, 11 void icmp_unreach(struct sk_buff *skb) Данная функция определяет максимальный размер модуля передачи (MTU, Maximum Transmission Unit), а также передает информацию об ошибке любому модулю, которому нужна эта информация 5 void icmp_redirect(struct sk_buff *skb) Пакет переадресации, который означает примерно следующее: «Не посылайте мне пакет по адресу xxx.xxx.ххх.xxx, потому что он будет отправлен обратно» 8 void icmp_echo(struct sk_buff *skb) Функция для отправки эхо-запроса. Эхо-ответ (тип 0) отправляется ядром автоматически (если вы не отключили эту возможность) 13 void icmp_timestamp(struct sk_buff *skb) Запрос о времени создания пакета — один из самых эффективных методов измерения производительности глобальных сетей в реальном времени. Метод заключается в следующем: на тестируемый узел посылаются небольшие пакеты, которые сразу же удаляются. Информация из последнего пакета копируется в пакет эхо-ответа, в этот пакет также вставляется информация о текущем времени. После этого пакет ставится в очередь как обычно 17 void icmp_address (struct sk_buff *skb) Отправка ответа на запрос о маске адреса
Рассмотренные выше функции обрабатывают входящие ICMP-пакеты, Но мы ведь можем не только принимать ICMP-пакеты, но и передавать, поэтому есть также и «исходящие» функции.
Для отправки ICMP-сообщений используется функция
void icmp_send(struct sk_buff *skb_in, int type, int code,
u32 info);
Данная функция отправляет сообщения типа type, с кодом code и телом info.
После отправки пакета неплохо бы проверить, будет ли он реально отправлен. Это можно сделать с помощью функции
int xrlim_allow(struct dst_entry *dst, int timeout);
Эта функция определяет, отправлять или нет текущий пакет из очереди. Если пакет должен быть удален, функция возвращает 0, иначе — 1.
После отправки ICMP-пакета нужно увеличить счетчик отправленных пакетов. Это можно сделать с помощью функции icmp_out_count():
void icmp_out_count(int type);
Данная функция увеличивает счетчик оправленных пакетов типа type.
На этом обзор протокола ICMP в Linux заканчивается и мы переходим к рассмотрению механизма гнезда (сокета), с помощью которого можно реализовать двунаправленный обмен данными между двумя компьютерами.
27.3. Программирование сокетов