ICMP目标不可达数据包的伪造与分析

当网络中的路由器无法将IP数据包成功传递到预定目标地址时，它会向数据包的原始发送者发送一个ICMP（Internet Control Message Protocol）目标不可达的消息。这类消息的类型字段值为3，具体原因代码可能不同，常见的如代码1表示目标主机不可达。

使用netwox工具中的特定模块可以实现对ICMP目标不可达消息的伪造。例如，假设我们有三台主机A、B和C，它们的IP地址分别为192.168.59.134、192.168.59.135和192.168.59.136。下面是一个具体的伪造过程：

1. 在主机C上使用netwox工具的82号模块来伪造目标不可达的ICMP数据包，设定源IP地址为192.168.59.135（即主机B的地址）。执行命令如下：

root@hostC:~# netwox 82 -i 192.168.59.135

如果命令执行后没有显示任何错误或反馈信息，则表明伪造过程成功。

2. 接下来，在主机A上尝试ping主机B，以观察伪造效果。执行的命令及其输出结果如下：

root@hostA:~# ping 192.168.59.135

PING 192.168.59.135 (192.168.59.135) 56(84) bytes of data.

64 bytes from 192.168.59.135: icmp_seq=1 ttl=64 time=3.95 ms
From 192.168.59.135 icmp_seq=1 Destination Host Unreachable
64 bytes from 192.168.59.135: icmp_seq=2 ttl=64 time=0.608 ms
From 192.168.59.135 icmp_seq=2 Destination Host Unreachable
...

从以上输出可以看出，虽然主机A能够接收到一些来自192.168.59.135的回复，但同时也有多个请求收到了“目标主机不可达”的回应，这正是伪造的ICMP数据包所引起的效应。

3. 为了进一步确认伪造的ICMP数据包确实存在并有效，可以通过Wireshark等网络分析工具进行抓包检查。例如，捕获的数据包中，第5个数据包显示了从192.168.59.135发回给192.168.59.134的ICMP消息，其中Type字段为3，Code字段为1，明确指出了目标主机不可达的情况。

通过上述步骤，不仅展示了如何利用netwox工具伪造ICMP目标不可达数据包，还通过实际操作和分析验证了伪造数据包的效果，这对于网络安全测试和研究具有一定的参考价值。