icmp数据包的过滤主要基于（icmp数据包格式）

1. icmp数据包，icmp数据长度多少字节？

帧的数据字段的最小长度为46字节。如果IP数据报小于46字节，则必须将数据报填充到46字节。当使用填充时，传递到网络层的数据包括IP数据报和填充部分。网络层使用IP数据报报头中的长度字段来去除填充。

当数据帧到达网卡时，网卡首先要去掉物理层的前导同步码和帧起始定界符，然后对帧进行CRC校验。如果帧校验和不正确，则该帧将被丢弃。如果校验和正确，则判断该帧的目的硬件地址是否满足自己的接收条件（目的地址是自己的物理硬件地址、广播地址、可接收的组播硬件地址等）。如果匹配，则将该帧交给“设备驱动程序”进行进一步处理，并将该帧的数据字段的内容传递到网络层。这时候我们的抓包软件就可以抓到数据了。因此，抓包软件捕获的是除前导同步码、帧起始定界符和FCS之外的数据。

在以太网中，最小IP数据报长度为46字节，有效负载小于46字节。数据帧末尾添加0，但添加的0属于以太网层，不属于数据部分。所以wireshark显示的数据帧的最小长度为14字节+46字节=60字节。

对于ICMP报文，当ICMP请求报文的净荷小于18字节时，ICMP响应报文将用0填充，但它们的净荷长度仍然相同。

计算方法：46-IP头（20字节）-ICMP头（8字节）=18字节。

最大传输单元（MTU）：指由IP头和数据部分组成的IP数据报的长度。

在以太网中，MTU 设置为1500。因此最大ICMP 负载长度为

MTU（1500 字节）- IP 标头长度（20 字节）- ICMP 标头长度（8 字节）=1472 字节

当ICMP负载长度超过1472字节时，ICMP消息将被分片。如下所示：

其中，354帧的净荷大小为1480字节，等于ICMP最大净荷长度（1472字节）+ICMP头长度（8字节）

分片前的ICMP报文长度为1513字节=1480字节+33字节

对应的数据框：

354帧的长度为1514=以太网帧头（14字节）+IP头（20字节）+ICMP头（8字节）+ICMP负载长度（1472字节）

355帧长度为67字节=以太网帧头（14字节）+IP头（20字节）+负载长度（33字节）

可以看到，355帧的67字节长度不包含ICMP头，使用scapy解析数据包时找不到ICMP头。

2. ping编写方式？

PING命令用于检查要到达的目标IP地址并记录结果，显示目标是否响应以及接收回复所需的时间。如果在传送到目标的过程中出现错误，ping 命令将显示一条错误消息。

我们在主机A 上使用ICMP Echo 请求数据包来检测主机地址HOST B 是否还活着，只需向目标主机发送ICMP ECHO（类型8）数据包即可。如果ICMP ECHO Reply (ICMP type 0 )（回显回复） 如果HOST A 能够收到数据包，则说明该主机还活着。如果没有，初步判断主机不在线或者使用了某种过滤设备对ICMP REPLY进行了过滤。

Ping 可以与其他工具（例如traceroute）结合使用来执行许多基本的网络测试。

ping命令的基本格式

PING 的格式为：

ping [-t] [-a] [-n 计数] [-l 长度] [-f] [-i ttl] [-v tos] [-r 计数] [-s 计数] [[-j 计算机列表] | [-k

3. icmp传输可靠吗？

ICMP传输可靠，也增加了数据传输的可靠性。

ICMP是一种无连接协议，是一种“错误检测和报告机制”。其目的是为了让我们能够检测网络连接状态，保证连接的准确性。当路由器在处理数据包时发生意外时，可以通过ICMP向数据包的源报告相关事件。

ICMP，互联网控制消息协议。它是TCP/IP协议族的一个子协议，用于在IP主机和路由器之间传输控制消息。控制消息是指有关网络本身的消息，例如网络连通性、主机是否可达、路由是否可用等。这些控制消息虽然不传输用户数据，但在用户数据的传输中发挥着重要作用。

4. IRIS应用是什么东东？

网络数据包拦截分析工具Iris

Iris 是最常用、功能最强大的数据包拦截和分析工具。它可以用来拦截通过网络传输的各种TCP/IP/UDP/ICMP数据包。它还可以分析截获的数据包并了解网络协议。该结构和组成可以方便地监控通过网络传输的数据、检测木马程序等。

您可以使用“添加或删除程序”来卸载，也可以使用第三方软件来删除，例如360、优化大师等。

5. udp攻击是什么？

(UDP Flood Attack) UDP Flood Attack (UDP Flood Attack) UDP Flood Attack 是一种导致基于主机的拒绝服务攻击的攻击类型。

UDP是一种无连接协议，不需要任何程序建立连接来传输数据。当攻击者随机向受害系统的端口发送UDP 数据包时，可能会发生UDP 洪水攻击。当受害系统收到UDP 数据包时，它会确定哪个应用程序正在目标端口上等待。当它发现端口上没有等待的应用程序时，它会生成一个目标地址不可达的ICMP数据包，并将其发送到伪造的源地址。如果有足够多的UDP数据包发送到受害计算机端口，整个系统就会瘫痪。防范UDP Flood攻击在网络关键点使用防火墙过滤未知来源的有害数据，可以有效缓解UDP Flood攻击。此外，应在用户网络内采取以下措施： 禁用或过滤监控和响应服务。禁用或过滤其他UDP 服务。如果用户必须提供对某些UDP 服务的外部访问，则需要使用代理机制来保护该服务免遭滥用。用户的网络受到监控，以了解哪些系统正在使用这些服务，并监控滥用迹象。

6. telnet进设备箱再ping服务器不通怎么办？

如果通过telnet进入设备盒后无法通过ping命令与服务器通信，可能是由于以下一些常见问题造成的：

1. 网络连接问题：首先，确保设备连接到正确的网络并具有网络访问权限。检查网络连接是否正常、IP地址是否配置正确、物理连接是否稳定。

2. 防火墙配置：检查您的设备或网络上的防火墙设置。防火墙可能会阻止ping 命令的执行。如有必要，请尝试暂时关闭防火墙以验证是否可以成功ping 服务器。

3、路由配置问题：确保设备的路由设置正确，能够正确路由到服务器所在网络。检查设备的默认网关和路由表设置。

4. IP 地址和子网掩码不匹配：确认设备的IP 地址和子网掩码与服务器所在网络的配置匹配。确保两者位于同一子网中。

5. DNS 解析问题：如果使用域名进行ping 测试，请确保设备能够通过DNS 解析出正确的服务器IP 地址。您可以尝试使用服务器的IP地址代替域名进行Ping测试。

6.网络故障排除：进行更详细的网络故障排除，例如通过traceroute或Wireshark等工具进行分析，获取详细的网络通信信息，以确定是否存在其他问题，例如网络设备配置错误、网络拥塞等。

如果尝试上述解决方案后仍无法解决问题，请联系您的网络管理员或技术支持人员并提供更多详细信息，以进行更深入的故障排除。

7. 怎样攻击一个ip地址？

1.OOB 攻击这是通过利用NETBIOS 中的OOB（带外）漏洞来实现的。其原理是通过TCP/IP协议向计算机的一个开放端口（通常是137、138、139）发送一个数据包，当计算机收到这个数据包时，会立即死机或蓝屏。如果不重新启动计算机，则无法继续使用TCP/IP 协议访问网络。

2.DoS攻击这是针对Windows 9X所使用的ICMP协议的DOS（Denial of Service，拒绝服务）攻击。一般来说，这种攻击是利用对方计算机上安装的协议的漏洞来持续发送大量数据。包，导致对方电脑死机。 3、WinNuke攻击目前WinNuke系列工具已经从单纯选择IP攻击某个端口，发展到能够攻击某个IP范围内的计算机，并且可以进行连续攻击、验证攻击效果、检测和选择端口，因此使用它会导致某个IP地址范围内的所有计算机蓝屏死机。 4.SSPing 这是一个IP攻击工具。它的工作原理是不断地向对方的计算机发送大的ICMP数据包。这时，被攻击的机器就会尝试合并这些文件包，导致系统崩溃。 5. TearDrop 攻击这种攻击方法利用TCP/IP 堆栈实现中信任的IP 片段中的数据包标头中包含的信息来实现自己的攻击，因为IP 片段包含一个指示，表明该片段包含有关的信息原始数据包位于哪个段，因此某些操作系统下的TCP/IP 协议在接收到包含重叠偏移量的伪造段时会崩溃。 TeadDrop最大的特点是除了能够攻击Windows 9X/NT之外，连Linux也不能幸免。