ICMP 路由重定向期騙引發(fā)的網(wǎng)絡(luò)故障 ,圖2這里顯示一切配置正常了。原來這WINDOWS 的DNS 解析機(jī)制是先查看本地路由表，如果沒有數(shù)據(jù)包轉(zhuǎn)發(fā)的路徑了，就跳轉(zhuǎn)到設(shè)定的

ICMP 路由重定向期騙引發(fā)的網(wǎng)絡(luò)故障

圖2

這里顯示一切配置正常了。原來這WINDOWS 的DNS 解析機(jī)制是先查看本地路由表，如果沒有數(shù)據(jù)包轉(zhuǎn)發(fā)的路徑了，就跳轉(zhuǎn)到設(shè)定的網(wǎng)關(guān)。在本案中，因?yàn)樗l(fā)現(xiàn)了轉(zhuǎn)發(fā)的路徑了，就不會(huì)跳轉(zhuǎn)到默認(rèn)的網(wǎng)關(guān)了。既然如此，清除那兩條記錄不就行了嗎？我將本地網(wǎng)卡禁用后再啟用它（當(dāng)然，也可以在本地用ROUTE 命令完成了），再查看本地路由（如下圖3），一切正常了。

圖3

這個(gè)時(shí)候網(wǎng)頁訪問一切正常了。

故障分析：本地路由表中怎么會(huì)自動(dòng)更新記錄呢，這讓人聯(lián)想到了ARP 表的更新，原理應(yīng)該是一樣了。ICMP 重定向報(bào)文是ICMP 控制報(bào)文中的一種。在特定的情況下，當(dāng)路由器檢測(cè)到一臺(tái)機(jī)器使用非優(yōu)化路由的時(shí)候，它會(huì)向該主機(jī)發(fā)送一個(gè)ICMP 重定向報(bào)文，請(qǐng)求主機(jī)改變路由。路由器也會(huì)把初始數(shù)據(jù)報(bào)向它的目的地轉(zhuǎn)發(fā)。

但顯然在本案中，不應(yīng)該是路由器發(fā)送的ICMP 重定向報(bào)文了。初步估計(jì)是本地局域網(wǎng)中有計(jì)算機(jī)故意發(fā)出ICMP 重定向數(shù)據(jù)包了。這時(shí)用戶反映，又打不開網(wǎng)頁了，我直接打開了本地路由表，可想而知又是如圖1所示，本地更新了兩條路由了。后來根據(jù)捕獲交換機(jī)端口數(shù)據(jù)包定位到了那臺(tái)故障機(jī)器，將它重新安裝系統(tǒng)，網(wǎng)絡(luò)一切正常。

我們有必要對(duì)ICMP 重定向有一個(gè)全面的認(rèn)識(shí); 這種機(jī)制的設(shè)計(jì)初衷都是為了方便網(wǎng)絡(luò)訪問，提升網(wǎng)絡(luò)訪問性能，就跟ARP 更新機(jī)制一樣，但前提是不人為發(fā)欺騙數(shù)據(jù)包。但是往往事與愿違，最初的優(yōu)化設(shè)計(jì)成了現(xiàn)在的缺陷。

現(xiàn)在我們關(guān)心下不同系統(tǒng)對(duì)ICMP 重定向報(bào)文的處理

主機(jī)和路由器對(duì)于重定向報(bào)文有不同的處理原則。

路由器一般忽略ICMP 重定向報(bào)文。

而主機(jī)對(duì)于重定向報(bào)文的感知取決于操作系統(tǒng)。

以Windows 為例，對(duì)WINDOWS7以前的操作系統(tǒng)，對(duì)于網(wǎng)關(guān)返回的ICMP 重定向報(bào)文，Windows 會(huì)在主機(jī)的路由表中添加一項(xiàng)主機(jī)路由。那么以后對(duì)于這個(gè)目的地址數(shù)據(jù)報(bào)，主機(jī)會(huì)將其直接送往重定向所指示的路由器。但是到了WINDOWS7盡管收到重定向數(shù)據(jù)包，但沒有更新了。

同時(shí)，有的操作系統(tǒng)對(duì)于重定向報(bào)文是不做任何處理而直接丟棄（雖然也同樣經(jīng)由網(wǎng)絡(luò)層向上遞交），比如Sun 的某些系統(tǒng)。

實(shí)驗(yàn)：我試著在路由器上人為增加了一個(gè)靜態(tài)路由，分別在WINXP 和WIN7上抓取數(shù)據(jù)包，結(jié)果發(fā)現(xiàn)都收到了ICMP 重定向數(shù)據(jù)包（如下圖4），但只有在WINXP 上的路由表更新了，看來WIN7還是在不斷進(jìn)步優(yōu)化中了。。。

圖4

ICMP重定向的利與弊

ICMP重定向使得客戶端的管理工作大大減少，使得對(duì)于主機(jī)的路由功能要求大大降低。該功能把所有的負(fù)擔(dān)推向路由器學(xué)習(xí)。但是與此同時(shí)ICMP 重定向也有很多弊端。就重定向本身的機(jī)制來說，ICMP 重定向增加了網(wǎng)絡(luò)報(bào)文流量，因?yàn)橹鳈C(jī)的報(bào)文總是要在網(wǎng)關(guān)的直連網(wǎng)段上重復(fù)傳輸。那么更進(jìn)一步如果主機(jī)的操作系統(tǒng)支持重定向（比如Windows ）會(huì)如何？主機(jī)這樣可能會(huì)引起兩點(diǎn)顯著問題。

其一是引起性能問題，例如：有一臺(tái)大型的服務(wù)器，要處理數(shù)十個(gè)子網(wǎng)下的數(shù)千臺(tái)主機(jī)的業(yè)務(wù)。如果要支持重定向，那么服務(wù)器將會(huì)維護(hù)一個(gè)龐大的充滿主機(jī)路由的路由表。這是一筆很大的開銷?？赡芎艽蟪潭壬辖档头?wù)性能，甚至導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓。

其二是可能埋下安全隱患。利用這點(diǎn)可以進(jìn)行攻擊和網(wǎng)絡(luò)竊聽。如果目某主機(jī)A 支持ICMP 重定向，那么主機(jī)B 發(fā)一個(gè)IMCP 重定向給它，以后它發(fā)出的所有到指定地址的報(bào)文都會(huì)轉(zhuǎn)發(fā)主機(jī)B ，這樣B 就可以達(dá)到竊聽目的了。當(dāng)然，拿windows 操作系統(tǒng)來說，它會(huì)對(duì)ICMP 報(bào)文進(jìn)行檢查，如果這個(gè)重定向不是網(wǎng)關(guān)發(fā)送的，會(huì)被直接丟棄。不過偽造一個(gè)網(wǎng)關(guān)的數(shù)據(jù)包很容易。另外，如果刻意偽造許多虛假的ICMP 重定向報(bào)文，主機(jī)路由表就可能被改的亂七八糟。 ICMP 重定向的避免與消除

針對(duì)上述ICMP 重定向引發(fā)的問題，我們可以采用一些手段來避免或補(bǔ)救。我們討論的前提條件是不改變網(wǎng)絡(luò)拓?fù)洹?/p>

1、在路由器上關(guān)掉ICMP 重定向數(shù)據(jù)包發(fā)送功能。

2、在主機(jī)上配置攔截ICMP 重定向數(shù)據(jù)包.

3、以上對(duì)一般用戶顯然難度太大了，本人在實(shí)踐中摸索到了一種捷徑了，就是客戶機(jī)上要設(shè)定固定IP ，在DNS 中設(shè)置為默認(rèn)網(wǎng)關(guān)即可（如下圖5）。這樣即使本地路由更新了路由記錄，它也不會(huì)理會(huì)，因?yàn)樗苯尤ゾW(wǎng)關(guān)上找路由了，有人擔(dān)心網(wǎng)關(guān)的路由路徑也被更改了，其實(shí)重定向數(shù)據(jù)包必須是不同網(wǎng)段才會(huì)發(fā)生了，所以大可放心，這樣可確保萬無一失。

圖5