Giao thức ICMP là gì? Cấu trúc và các loại thông báo phổ biến của ICMP

ICMP là giao thức thuộc tầng mạng (ICMP layer) trong bộ TCP/IP, dùng để gửi thông báo lỗi và kiểm tra tình trạng kết nối giữa các thiết bị trên Internet. ICMP protocol giúp quản trị viên nhanh chóng phát hiện sự cố, chẩn đoán lỗi mạng và tối ưu hiệu suất truyền dữ liệu. Trong bài viết này, mình sẽ cùng bạn tìm hiểu chi tiết giao thức ICMP là gì, cấu trúc của nó gồm những thành phần nào và các loại thông báo ICMP phổ biến được sử dụng trong thực tế.

Những điểm chính

1. Khái niệm ICMP: Biết được đây là một giao thức ở tầng mạng trong mô hình OSI.
2. Cấu trúc của ICMP: Nắm được hai thành phần chính của ICMP là header và data.
3. Các trường hợp sử dụng ICMP: Hiểu rõ các trường hợp sử dụng ICMP để tăng hiệu quả hoạt động.
4. Cách thức hoạt động của ICMP: Biết được quy trình các bước hoạt động của ICMP .
5. Các loại thông báo của giao thức ICMP: Nắm rõ giao thức ICMP có nhiều loại thông báo với mục đích chẩn đoán, báo lỗi và kiểm soát kết nối mạng.
6. ICMP được sử dụng như thế nào trong các cuộc tấn công DDoS: Nắm được ICMP thường bị lợi dụng trong các cuộc tấn công DDoS, phổ biến nhất là ICMP flood, Ping of Death và Smurf attack.
7. So sánh ICMP và TCP: Biết các điểm khác biệt chi tiết giữa ICMP và TCP để đưa ra lựa chọn phù hợp khi sử dụng.
8. Biết thêm Vietnix là nhà cung cấp giải pháp Firewall Anti DDoS và hạ tầng lưu trữ chuyên nghiệp và uy tín.
9. Câu hỏi thường gặp: Giải đáp các thắc mắc liên quan đến ICMP.

ICMP là gì?

ICMP (Internet Control Message Protocol) là một giao thức ở tầng mạng (Network Layer) trong mô hình OSI, được các thiết bị mạng như router, máy chủ,… sử dụng để truyền tải các thông báo kiểm soát và chẩn đoán sự cố trong quá trình truyền thông mạng. ICMP chủ yếu giúp xác định xem dữ liệu gửi đi có đến được đích dự kiến hay không, mất bao lâu để thực hiện và báo cáo lại các lỗi mạng nếu có phát sinh trong quá trình truyền tải dữ liệu.

Cấu trúc của ICMP

Gói tin ICMP được tạo thành từ hai phần chính gốm phần header (tiêu đề ICMP) và phần data (dữ liệu):

Phần Header:

• Type (Loại): Trường Type có chiều dài 8 bit, giúp xác định loại thông điệp ICMP được gửi đi, ví dụ như Echo Request, Echo Reply, Destination Unreachable hoặc Time Exceeded.
• Code (Mã): Trường Code cũng dài 8 bit, cung cấp mã lỗi cụ thể hoặc thông số bổ sung liên quan đến loại thông điệp ICMP đã xác định ở trường Type.
• Checksum (Kiểm tra bảo mật): Trường Checksum dài 16 bit, được sử dụng để xác nhận tính toàn vẹn của toàn bộ gói tin ICMP trong lú
• Identifier và Sequence Number (Nhận dạng và số thứ tự): Mỗi trường có chiều dài 16 bit. Các trường này thường xuất hiện trong các thông điệp Echo Request và Echo Reply và được dùng để nhận diện phiên gửi và phản hồi cũng như xác định thứ tự của các gói tin chuyển đi.

Phần Dữ liệu:

Phần dữ liệu có chiều dài và nội dung thay đổi tùy theo từng loại thông điệp ICMP. Ví dụ: Với thông điệp Echo Request/Echo Reply, phần này sẽ chứa dữ liệu máy gửi truyền đến máy nhận để kiểm tra kết nối. Ở các thông điệp thông báo lỗi, phần này có thể chứa một phần bản sao tiêu đề IP và 8 byte đầu của gói tin IP gây lỗi.

Cách cấu trúc này giúp ICMP truyền tải thông tin kiểm soát và báo lỗi một cách hiệu quả giữa các thiết bị mạng, hỗ trợ quá trình chẩn đoán và khắc phục sự cố mạng.

Các trường hợp sử dụng ICMP

ICMP là giao thức nền tảng không thể thiếu trong hệ thống mạng, được ứng dụng đa dạng cả về mặt vận hành lẫn chẩn đoán và bảo mật. Dưới đây là các trường hợp sử dụng phổ biến của ICMP:

• Báo cáo lỗi và cảnh báo: ICMP gửi các thông báo lỗi mạng như đích không thể tiếp cận, hết thời gian truyền hoặc lỗi tham số, giúp quản trị viên xác định và khắc phục các sự cố trong quá trình truyền dữ liệu.
• Chẩn đoán và kiểm tra kết nối mạng: ICMP được sử dụng trong các công cụ như ping và traceroute để kiểm tra hoạt động, khả năng truy cập của một thiết bị, xác định độ trễ và đánh giá đường truyền mạng.
• Theo dõi hoạt động thiết bị và dịch vụ: ICMP hỗ trợ gửi các yêu cầu Echo Request để kiểm tra tình trạng hoạt động của thiết bị hoặc dịch vụ trên mạng, từ đó dễ dàng phát hiện thiết bị gặp sự cố hoặc mất kết nối.
• Điều hướng địa chỉ IP: ICMP gửi thông báo Redirect để cập nhật bảng định tuyến của router hoặc thiết bị mạng, giúp điều phối lưu lượng và tối ưu hóa tuyến truy cập mạng.
• Phân tích và đánh giá hiệu suất môi trường mạng: ICMP được dùng để kiểm tra các thông số như độ trễ, thời gian sống (TTL) và đánh giá hiệu quả của đường truyền hoặc xác định các điểm nghẽn trên mạng.
• Tăng cường bảo mật mạng: ICMP được tường lửa sử dụng để cho phép hoặc chặn một số loại lưu lượng nhất định, hỗ trợ quản trị viên phát hiện thiết bị bất thường, giám sát trạng thái thiết bị mạng, đồng thời phát hiện và cảnh báo về các mẫu lưu lượng truy cập bất thường hoặc hoạt động trái phép.
• Thiết lập, giữ và kiểm tra tính sẵn sàng kết nối: ICMP giúp duy trì và theo dõi sự ổn định của kết nối, kiểm tra tính sẵn sàng của các dịch vụ và đảm bảo thiết bị luôn trực tuyến, nhất là trong hệ thống mạng sử dụng TCP/IP.

Cách thức hoạt động của ICMP

ICMP là một giao thức hoạt động song song với các giao thức mạng khác như TCP/IP hoặc UDP, đóng vai trò truyền tải các thông điệp kiểm soát và báo lỗi giữa các thiết bị mạng. Khi một sự kiện mạng nhất định xảy ra, các thiết bị như máy chủ hoặc bộ định tuyến sẽ trao đổi các gói tin ICMP để xử lý và phản hồi thông tin sự kiện đó.

Quy trình hoạt động của ICMP diễn ra như sau:

• Tạo thông điệp ICMP: Khi cần gửi một thông báo kiểm soát hoặc báo lỗi, thiết bị nguồn sẽ tạo ra một gói tin ICMP chứa các trường dữ liệu về loại thông điệp, mã lỗi, checksum và các thông tin liên quan.
• Nhúng vào gói tin IP: Gói tin ICMP sẽ được chèn làm phần dữ liệu của một gói tin IP và truyền đi dựa trên giao thức IP.
• Chuyển địa chỉ đích: Gói tin ICMP được truyền tới địa chỉ IP của thiết bị đích (hoặc chuyển hướng sang đích khác với bản tin Redirect).
• Truyền tải gói ICMP: Gói tin ICMP được gửi qua các thiết bị mạng như router và được xử lý như bất kỳ gói IP nào.
• Xử lý tại thiết bị đích: Khi tới nơi, gói ICMP sẽ được tách ra và xử lý bởi giao thức ICMP trên thiết bị đích, hành động xử lý tiếp theo sẽ phụ thuộc vào loại thông điệp và mã lỗi.
• Xử lý thông điệp ICMP: Thiết bị đích có thể cập nhật bảng định tuyến, gửi phản hồi hoặc thông báo lỗi lên hệ điều hành hoặc ứng dụng tương ứng theo từng loại thông điệp.
• Phản hồi (nếu cần): Với nhiều loại thông điệp như Echo Request, thiết bị đích sẽ gửi ngược lại một thông điệp cùng loại (Echo Reply), cho phép kiểm tra khả năng kết nối và hoạt động của mạng một cách tự động.

Các loại thông báo của giao thức ICMP

Giao thức ICMP có nhiều loại thông báo với mục đích chẩn đoán, báo lỗi và kiểm soát kết nối mạng, cụ thể gồm các loại phổ biến sau đây:

• Echo Request/Echo Reply (Loại 8, Mã 0 và 1): Echo Request là một yêu cầu được gửi tới thiết bị đích để kiểm tra khả năng kết nối mạng, thiết bị đích sẽ trả về Echo Reply nhằm xác nhận đã nhận và xử lý yêu cầu kiểm tra này.
• Destination Unreachable (Loại 3): Thiết bị nhận sẽ gửi thông báo cho biết gói tin không thể đi đến đích, nguyên nhân có thể do điểm đích không tồn tại, cổng bị đóng hoặc quá trình truyền dữ liệu vượt quá giới hạn quy định.
• Time Exceeded (Loại 11): Khi thời gian sống của gói tin vượt quá giới hạn cho phép, thiết bị trung gian hoặc thiết bị đích sẽ gửi thông báo này để báo hiệu gói tin đã bị loại bỏ trên đường truyền do không tới được điểm đến đúng hạn.
• Parameter Problem (Loại 12): Trong trường hợp phát hiện lỗi ở trường tham số của gói tin IP như dữ liệu không hợp lệ hoặc cấu trúc sai, thiết bị nhận sẽ gửi thông báo này để yêu cầu thiết bị gửi kiểm tra và điều chỉnh lại.
• Redirect (Loại 5): Khi cần tối ưu đường truyền, thiết bị nhận gửi thông báo cho thiết bị nguồn chỉ định một tuyến đường mới hoặc địa chỉ IP đích phù hợp hơn nhằm chuyển hướng kết nối mạng đi theo tuyến tối ưu.
• Source Quench (Loại 4): Trước đây được dùng để báo hiệu quá tải và yêu cầu thiết bị gửi giảm tốc độ truyền dữ liệu; tuy nhiên, loại thông điệp này đã bị loại bỏ trong các phiên bản ICMP mới do vấn đề bảo mật.
• Timestamp Request/Timestamp Reply (Loại 13, Mã 0 và 1): Nếu cần đồng bộ hoặc xác nhận thời gian truyền dữ liệu, thiết bị nguồn gửi Timestamp Request tới thiết bị đích và nhận lại Timestamp Reply với thông tin thời gian thực tế để hỗ trợ xác thực và đồng bộ hóa.
• Information Request/Information Reply (Loại 15, Mã 0 và 1): Khi thiết bị nguồn cần nhận các thông tin cấu hình mạng quan trọng, nó sẽ gửi Information Request tới thiết bị đích và nhận các thông tin phản hồi theo yêu cầu trong Information Reply.
• Address Mask Request/Reply (Loại 17, Mã 0 và 1): Để phục vụ cấu hình tự động IP và xác định phạm vi mạng, thiết bị nguồn gửi Address Mask Request để hỏi mặt nạ mạng và nhận về Address Mask Reply với thông tin chi tiết từ thiết bị đích.

Các loại ICMP thường gặp

Dưới đây là các loại ICMP thường gặp được sử dụng trong quản trị và vận hành mạng máy tính:

• ICMP Echo: Đây là loại phổ biến nhất, gồm Echo Request (Type = 8, Code = 0) và Echo Reply (Type = 0, Code = 0), dùng để kiểm tra khả năng kết nối mạng giữa các thiết bị, thường thấy qua lệnh ping. Echo Request được gửi đi và nếu thiết bị đích hoạt động, nó sẽ phản hồi bằng Echo Reply.
• ICMP Destination Unreachable: Sử dụng Type = 3 với nhiều code khác nhau để báo cho thiết bị gửi biết rằng gói tin không thể đến đích vì nhiều lý do như đích không tồn tại, cổng bị đóng hoặc lỗi phân đoạn trên mạng. Thiết bị trung gian sẽ gửi về thông báo này nếu không chuyển tiếp được gói tin.
• ICMP Parameter Problem: Khi thiết bị nhận phát hiện lỗi ở trường tham số hoặc dữ liệu không hợp lệ mà không thể tiếp tục chuyển tiếp, nó sẽ gửi về thông báo này (Type = 12, Code từ 0 đến 2) cho nguồn gửi nhằm yêu cầu kiểm tra lại dữ liệu.
• ICMP Redirect/Change Request: Với Type = 5, Code từ 0 đến 3, loại này được gửi bởi gateway mặc định để hướng dẫn host chuyển lưu lượng sang tuyến đường tối ưu, cập nhật lại bảng định tuyến hoặc bỏ tuyến mặc định nếu phù hợp.
• ICMP Timestamp Request: Được sử dụng đồng bộ thời gian giữa hai thiết bị với Type = 13, Code = 0 cho request và Type = 14, Code = 0 cho reply. Mỗi thông điệp sẽ kèm theo mã định danh để xác nhận mối quan hệ giữa các cặp request và reply.
• ICMP Information Request and Reply: Giúp xác định thông tin cấu hình mạng, ví dụ IP mạng đang sử dụng, với Type = 15, Code = 0 cho request và Type = 16, Code = 0 cho reply.
• ICMP Address Mask Request: Được gửi nhằm lấy thông tin mặt nạ mạng với Type = 17, Code = 0 cho request và Type = 18, Code = 0 cho reply. Dữ liệu này giúp xác định phạm vi mạng cũng như tự động thiết lập IP.
• ICMP Router Discovery: Được thực hiện với Type = 9, Code = 0, giúp thiết bị tìm kiếm, nhận diện router mới khi mất default gateway hoặc cập nhật bảng định tuyến động.
• ICMP Source Quench: Sử dụng Type = 4, Code = 0 để báo với nguồn gửi rằng hệ thống đang bị quá tải hoặc xuất hiện hiện tượng tắc nghẽn, đồng thời yêu cầu giảm tốc độ truyền dữ liệu giúp tránh nghẽn mạng hoặc mất gói tin.

ICMP được sử dụng như thế nào trong các cuộc tấn công DDoS?

ICMP được các kẻ tấn công lợi dụng để tạo ra nhiều phương thức tấn công DDoS ở lớp mạng, phổ biến nhất là ICMP flood, ping of death và smurf attack. Tất cả đều nhằm gây quá tải hệ thống bằng cách tiêu tốn tài nguyên xử lý và băng thông, khiến thiết bị mục tiêu mất khả năng phục vụ truy cập hợp lệ:

• ICMP flood attack (ping flood): Phương thức này gửi hàng loạt gói tin ICMP echo request hoặc reply tới thiết bị đích, buộc hệ thống phải xử lý và phản hồi từng gói, dẫn đến cạn kiệt tài nguyên và ngừng phục vụ người dùng hợp lệ.
• Ping of death attack: Kẻ tấn công gửi những gói tin ping có kích thước lớn hơn giới hạn cho phép, khiến thiết bị mục tiêu bị tràn bộ đệm khi tập hợp lại gói tin, gây lỗi hoặc khiến hệ thống treo/sập. Hiện tại, kiểu tấn công này ít còn tác dụng do hệ thống hiện đại đã được vá, nhưng các thiết bị cũ vẫn có nguy cơ bị ảnh hưởng.
• Smurf attack: Kẻ tấn công gửi gói ICMP với địa chỉ IP nguồn bị giả mạo đến địa chỉ phát sóng của router. Tất cả thiết bị trong mạng sẽ trả lời về IP giả, dẫn đến việc máy chủ mục tiêu bị ngập trong các gói ICMP không mong muốn. Kiểu tấn công này chỉ còn hiệu quả trên những hệ thống hoặc thiết bị mạng đời cũ không chặn broadcast mặc định.

Ngoài ICMP, các hình thức DDoS khác ở lớp mạng cũng tận dụng giao thức GRE hoặc UDP, cùng phương thức fragment và amplification để gây nghẽn và tắt dịch vụ hệ thống đích. Thông thường, các cuộc tấn công DDoS lớp mạng tập trung làm cạn kiệt băng thông, tài nguyên hệ thống và ngăn chặn truy cập của người dùng hợp lệ trong thời gian ngắn.

So sánh ICMP và TCP

Cả ICMP và TCP đều là thành phần quan trọng trong bộ giao thức mạng, góp phần duy trì hoạt động và ổn định của hệ thống truyền thông. Hai giao thức này đều giúp thiết bị trao đổi thông tin, hỗ trợ quá trình kiểm tra và khắc phục lỗi kết nối. Tuy nhiên, ICMP và TCP được thiết kế cho những mục đích và cách thức vận hành rất khác nhau, thể hiện rõ rệt qua bảng so sánh dưới đây:

Vietnix – Nhà cung cấp dịch vụ Firewall Anti DDoS và hạ tầng lưu trữ chất lượng cao

Vietnix cung cấp giải pháp Firewall Anti DDoS chuyên nghiệp, được thiết kế để phát hiện và ngăn chặn hiệu quả các cuộc tấn công ICMP Flood và nhiều hình thức tấn công Lớp 3/Lớp 4 khác. Khi sử dụng kết hợp với các dịch vụ Hosting, VPS và máy chủ vật lý của Vietnix, bạn sẽ có một hạ tầng không chỉ mạnh mẽ, ổn định mà còn được bảo vệ toàn diện, giúp doanh nghiệp yên tâm hoạt động. Liên hệ ngay để được tư vấn dịch vụ phù hợp!

Thông tin liên hệ:

• Website: https://vietnix.vn/
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Địa chỉ: 265 Hồng Lạc, Phường Bảy Hiền, Thành Phố Hồ Chí Minh

ICMP là một giao thức tuy đơn giản nhưng lại có vai trò vô cùng quan trọng trong việc chẩn đoán, kiểm soát và duy trì sự ổn định của mạng Internet. Từ những công cụ quen thuộc như ping và traceroute cho đến việc báo cáo các lỗi kết nối, nó là một phần không thể thiếu của mọi hệ thống mạng. Việc hiểu rõ cả hai mặt của ICMP sẽ giúp các quản trị viên không chỉ khắc phục sự cố hiệu quả mà còn xây dựng được những lớp phòng thủ vững chắc hơn cho hạ tầng của mình.