ICMP 路由重定向期騙引發(fā)的網絡故障 ,圖2這里顯示一切配置正常了。原來這WINDOWS 的DNS 解析機制是先查看本地路由表，如果沒有數(shù)據(jù)包轉發(fā)的路徑了，就跳轉到設定的

ICMP 路由重定向期騙引發(fā)的網絡故障

圖2

這里顯示一切配置正常了。原來這WINDOWS 的DNS 解析機制是先查看本地路由表，如果沒有數(shù)據(jù)包轉發(fā)的路徑了，就跳轉到設定的網關。在本案中，因為它發(fā)現(xiàn)了轉發(fā)的路徑了，就不會跳轉到默認的網關了。既然如此，清除那兩條記錄不就行了嗎？我將本地網卡禁用后再啟用它（當然，也可以在本地用ROUTE 命令完成了），再查看本地路由（如下圖3），一切正常了。

圖3

這個時候網頁訪問一切正常了。

故障分析：本地路由表中怎么會自動更新記錄呢，這讓人聯(lián)想到了ARP 表的更新，原理應該是一樣了。ICMP 重定向報文是ICMP 控制報文中的一種。在特定的情況下，當路由器檢測到一臺機器使用非優(yōu)化路由的時候，它會向該主機發(fā)送一個ICMP 重定向報文，請求主機改變路由。路由器也會把初始數(shù)據(jù)報向它的目的地轉發(fā)。

但顯然在本案中，不應該是路由器發(fā)送的ICMP 重定向報文了。初步估計是本地局域網中有計算機故意發(fā)出ICMP 重定向數(shù)據(jù)包了。這時用戶反映，又打不開網頁了，我直接打開了本地路由表，可想而知又是如圖1所示，本地更新了兩條路由了。后來根據(jù)捕獲交換機端口數(shù)據(jù)包定位到了那臺故障機器，將它重新安裝系統(tǒng)，網絡一切正常。

我們有必要對ICMP 重定向有一個全面的認識; 這種機制的設計初衷都是為了方便網絡訪問，提升網絡訪問性能，就跟ARP 更新機制一樣，但前提是不人為發(fā)欺騙數(shù)據(jù)包。但是往往事與愿違，最初的優(yōu)化設計成了現(xiàn)在的缺陷。

現(xiàn)在我們關心下不同系統(tǒng)對ICMP 重定向報文的處理

主機和路由器對于重定向報文有不同的處理原則。

路由器一般忽略ICMP 重定向報文。

而主機對于重定向報文的感知取決于操作系統(tǒng)。

以Windows 為例，對WINDOWS7以前的操作系統(tǒng)，對于網關返回的ICMP 重定向報文，Windows 會在主機的路由表中添加一項主機路由。那么以后對于這個目的地址數(shù)據(jù)報，主機會將其直接送往重定向所指示的路由器。但是到了WINDOWS7盡管收到重定向數(shù)據(jù)包，但沒有更新了。

同時，有的操作系統(tǒng)對于重定向報文是不做任何處理而直接丟棄（雖然也同樣經由網絡層向上遞交），比如Sun 的某些系統(tǒng)。

實驗：我試著在路由器上人為增加了一個靜態(tài)路由，分別在WINXP 和WIN7上抓取數(shù)據(jù)包，結果發(fā)現(xiàn)都收到了ICMP 重定向數(shù)據(jù)包（如下圖4），但只有在WINXP 上的路由表更新了，看來WIN7還是在不斷進步優(yōu)化中了。。。

圖4

ICMP重定向的利與弊

ICMP重定向使得客戶端的管理工作大大減少，使得對于主機的路由功能要求大大降低。該功能把所有的負擔推向路由器學習。但是與此同時ICMP 重定向也有很多弊端。就重定向本身的機制來說，ICMP 重定向增加了網絡報文流量，因為主機的報文總是要在網關的直連網段上重復傳輸。那么更進一步如果主機的操作系統(tǒng)支持重定向（比如Windows ）會如何？主機這樣可能會引起兩點顯著問題。

其一是引起性能問題，例如：有一臺大型的服務器，要處理數(shù)十個子網下的數(shù)千臺主機的業(yè)務。如果要支持重定向，那么服務器將會維護一個龐大的充滿主機路由的路由表。這是一筆很大的開銷?？赡芎艽蟪潭壬辖档头招阅埽踔翆е戮W絡服務癱瘓。

其二是可能埋下安全隱患。利用這點可以進行攻擊和網絡竊聽。如果目某主機A 支持ICMP 重定向，那么主機B 發(fā)一個IMCP 重定向給它，以后它發(fā)出的所有到指定地址的報文都會轉發(fā)主機B ，這樣B 就可以達到竊聽目的了。當然，拿windows 操作系統(tǒng)來說，它會對ICMP 報文進行檢查，如果這個重定向不是網關發(fā)送的，會被直接丟棄。不過偽造一個網關的數(shù)據(jù)包很容易。另外，如果刻意偽造許多虛假的ICMP 重定向報文，主機路由表就可能被改的亂七八糟。 ICMP 重定向的避免與消除

針對上述ICMP 重定向引發(fā)的問題，我們可以采用一些手段來避免或補救。我們討論的前提條件是不改變網絡拓撲。

1、在路由器上關掉ICMP 重定向數(shù)據(jù)包發(fā)送功能。

2、在主機上配置攔截ICMP 重定向數(shù)據(jù)包.

3、以上對一般用戶顯然難度太大了，本人在實踐中摸索到了一種捷徑了，就是客戶機上要設定固定IP ，在DNS 中設置為默認網關即可（如下圖5）。這樣即使本地路由更新了路由記錄，它也不會理會，因為它直接去網關上找路由了，有人擔心網關的路由路徑也被更改了，其實重定向數(shù)據(jù)包必須是不同網段才會發(fā)生了，所以大可放心，這樣可確保萬無一失。

圖5