ICMP 路由重定向期騙引發(fā)的網(wǎng)絡(luò)故障 ,圖2這里顯示一切配置正常了。原來這WINDOWS 的DNS 解析機制是先查看本地路由表，如果沒有數(shù)據(jù)包轉(zhuǎn)發(fā)的路徑了，就跳轉(zhuǎn)到設(shè)定的

ICMP 路由重定向期騙引發(fā)的網(wǎng)絡(luò)故障

圖2

這里顯示一切配置正常了。原來這WINDOWS 的DNS 解析機制是先查看本地路由表，如果沒有數(shù)據(jù)包轉(zhuǎn)發(fā)的路徑了，就跳轉(zhuǎn)到設(shè)定的網(wǎng)關(guān)。在本案中，因為它發(fā)現(xiàn)了轉(zhuǎn)發(fā)的路徑了，就不會跳轉(zhuǎn)到默認的網(wǎng)關(guān)了。既然如此，清除那兩條記錄不就行了嗎？我將本地網(wǎng)卡禁用后再啟用它（當(dāng)然，也可以在本地用ROUTE 命令完成了），再查看本地路由（如下圖3），一切正常了。

圖3

這個時候網(wǎng)頁訪問一切正常了。

故障分析：本地路由表中怎么會自動更新記錄呢，這讓人聯(lián)想到了ARP 表的更新，原理應(yīng)該是一樣了。ICMP 重定向報文是ICMP 控制報文中的一種。在特定的情況下，當(dāng)路由器檢測到一臺機器使用非優(yōu)化路由的時候，它會向該主機發(fā)送一個ICMP 重定向報文，請求主機改變路由。路由器也會把初始數(shù)據(jù)報向它的目的地轉(zhuǎn)發(fā)。

但顯然在本案中，不應(yīng)該是路由器發(fā)送的ICMP 重定向報文了。初步估計是本地局域網(wǎng)中有計算機故意發(fā)出ICMP 重定向數(shù)據(jù)包了。這時用戶反映，又打不開網(wǎng)頁了，我直接打開了本地路由表，可想而知又是如圖1所示，本地更新了兩條路由了。后來根據(jù)捕獲交換機端口數(shù)據(jù)包定位到了那臺故障機器，將它重新安裝系統(tǒng)，網(wǎng)絡(luò)一切正常。

我們有必要對ICMP 重定向有一個全面的認識; 這種機制的設(shè)計初衷都是為了方便網(wǎng)絡(luò)訪問，提升網(wǎng)絡(luò)訪問性能，就跟ARP 更新機制一樣，但前提是不人為發(fā)欺騙數(shù)據(jù)包。但是往往事與愿違，最初的優(yōu)化設(shè)計成了現(xiàn)在的缺陷。

現(xiàn)在我們關(guān)心下不同系統(tǒng)對ICMP 重定向報文的處理

主機和路由器對于重定向報文有不同的處理原則。

路由器一般忽略ICMP 重定向報文。

而主機對于重定向報文的感知取決于操作系統(tǒng)。

以Windows 為例，對WINDOWS7以前的操作系統(tǒng)，對于網(wǎng)關(guān)返回的ICMP 重定向報文，Windows 會在主機的路由表中添加一項主機路由。那么以后對于這個目的地址數(shù)據(jù)報，主機會將其直接送往重定向所指示的路由器。但是到了WINDOWS7盡管收到重定向數(shù)據(jù)包，但沒有更新了。

同時，有的操作系統(tǒng)對于重定向報文是不做任何處理而直接丟棄（雖然也同樣經(jīng)由網(wǎng)絡(luò)層向上遞交），比如Sun 的某些系統(tǒng)。

實驗：我試著在路由器上人為增加了一個靜態(tài)路由，分別在WINXP 和WIN7上抓取數(shù)據(jù)包，結(jié)果發(fā)現(xiàn)都收到了ICMP 重定向數(shù)據(jù)包（如下圖4），但只有在WINXP 上的路由表更新了，看來WIN7還是在不斷進步優(yōu)化中了。。。

圖4

ICMP重定向的利與弊

ICMP重定向使得客戶端的管理工作大大減少，使得對于主機的路由功能要求大大降低。該功能把所有的負擔(dān)推向路由器學(xué)習(xí)。但是與此同時ICMP 重定向也有很多弊端。就重定向本身的機制來說，ICMP 重定向增加了網(wǎng)絡(luò)報文流量，因為主機的報文總是要在網(wǎng)關(guān)的直連網(wǎng)段上重復(fù)傳輸。那么更進一步如果主機的操作系統(tǒng)支持重定向（比如Windows ）會如何？主機這樣可能會引起兩點顯著問題。

其一是引起性能問題，例如：有一臺大型的服務(wù)器，要處理數(shù)十個子網(wǎng)下的數(shù)千臺主機的業(yè)務(wù)。如果要支持重定向，那么服務(wù)器將會維護一個龐大的充滿主機路由的路由表。這是一筆很大的開銷。可能很大程度上降低服務(wù)性能，甚至導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓。

其二是可能埋下安全隱患。利用這點可以進行攻擊和網(wǎng)絡(luò)竊聽。如果目某主機A 支持ICMP 重定向，那么主機B 發(fā)一個IMCP 重定向給它，以后它發(fā)出的所有到指定地址的報文都會轉(zhuǎn)發(fā)主機B ，這樣B 就可以達到竊聽目的了。當(dāng)然，拿windows 操作系統(tǒng)來說，它會對ICMP 報文進行檢查，如果這個重定向不是網(wǎng)關(guān)發(fā)送的，會被直接丟棄。不過偽造一個網(wǎng)關(guān)的數(shù)據(jù)包很容易。另外，如果刻意偽造許多虛假的ICMP 重定向報文，主機路由表就可能被改的亂七八糟。 ICMP 重定向的避免與消除

針對上述ICMP 重定向引發(fā)的問題，我們可以采用一些手段來避免或補救。我們討論的前提條件是不改變網(wǎng)絡(luò)拓撲。

1、在路由器上關(guān)掉ICMP 重定向數(shù)據(jù)包發(fā)送功能。

2、在主機上配置攔截ICMP 重定向數(shù)據(jù)包.

3、以上對一般用戶顯然難度太大了，本人在實踐中摸索到了一種捷徑了，就是客戶機上要設(shè)定固定IP ，在DNS 中設(shè)置為默認網(wǎng)關(guān)即可（如下圖5）。這樣即使本地路由更新了路由記錄，它也不會理會，因為它直接去網(wǎng)關(guān)上找路由了，有人擔(dān)心網(wǎng)關(guān)的路由路徑也被更改了，其實重定向數(shù)據(jù)包必須是不同網(wǎng)段才會發(fā)生了，所以大可放心，這樣可確保萬無一失。

圖5