tcptraceroute与traceroute

元景天
2023-12-01

1 traceroute

功能说明:显示数据包到主机间的路径。它默认发送的数据包大小是40字节。
通过traceroute我们可以知道信息从你的计算机到互联网另一端的主机是走的什么路径。当然每次数据包由某一同样的出发点(source)到达某一同样的目的地(destination)走的路径可能会不一样,但基本上来说大部分时候所走的路由是相同的。

工作原理

Traceroute程序的设计是利用ICMP及IP header的TTL(Time To Live)栏位(field)。首先,traceroute送出一个TTL是1的IP datagram(其实,每次送出的为3个40字节的包,包括源地址,目的地址和包发出的时间标签)到目的地,当路径上的第一个路由器(router)收到这个datagram时,它将TTL减1。此时,TTL变为0了,所以该路由器会将此datagram丢掉,并送回一个「ICMP time exceeded」消息(包括发IP包的源地址,IP包的所有内容及路由器的IP地址),traceroute 收到这个消息后,便知道这个路由器存在于这个路径上,接着traceroute 再送出另一个TTL是2 的datagram,发现第2 个路由器…… traceroute 每次将送出的datagram的TTL 加1来发现另一个路由器,这个重复的动作一直持续到某个datagram 抵达目的地。当datagram到达目的地后,该主机并不会送回ICMP time exceeded消息,因为它已是目的地了,那么traceroute如何得知目的地到达了呢?
Traceroute在送出UDP datagrams到目的地时,它所选择送达的port number 是一个一般应用程序都不会用的号码(30000 以上),所以当此UDP datagram 到达目的地后该主机会送回一个「ICMP port unreachable」的消息,而当traceroute 收到这个消息时,便知道目的地已经到达了。所以traceroute 在Server端也是没有所谓的Daemon 程式。
Traceroute提取发 ICMP TTL到期消息设备的IP地址并作域名解析。每次 ,Traceroute都打印出一系列数据,包括所经过的路由设备的域名及 IP地址,三个包每次来回所花时间

traceroute通过发送小的数据包到目的设备直到其返回,来测量其需要多长时间。一条路径上的每个设备traceroute要测3次。输出结果中包括每次测试的时间(ms)和设备的名称(如有的话)及其ip地址。
我们traceroute一台主机时,会看到有一些行是以星号*表示的。出现这样的情况,可能是防火墙封掉了ICMP的返回信息,所以我们得不到什么相关的数据包返回数据。每条后面有多个IP的,表示该节点有多个路由可供选择,三次测试中选择了不同的设备。

有时我们在某一网关处延时比较长,有可能是某台网关比较阻塞,也可能是物理设备本身的原因。当然如果某台DNS出现问题时,不能解析主机名、域名时,也会 有延时长的现象;您可以加-n参数来避免DNS解析,以IP格式输出数据。

[root@ABC captain]# traceroute baidu.com
traceroute to baidu.com (111.13.101.208), 30 hops max, 60 byte packets
 1  * * *
 2  11.220.136.41 (11.220.136.41)  6.635 ms 11.220.136.105 (11.220.136.105)  6.963 ms 11.220.136.41 (11.220.136.41)  6.875 ms
 3  11.220.136.122 (11.220.136.122)  1.706 ms  2.076 ms 11.220.137.122 (11.220.137.122)  1.707 ms
 4  116.251.116.30 (116.251.116.30)  3.723 ms  3.731 ms 116.251.116.42 (116.251.116.42)  3.959 ms
 5  116.251.112.165 (116.251.112.165)  2.622 ms 101.200.109.146 (101.200.109.146)  2.499 ms 101.200.109.130 (101.200.109.130)  2.675 ms
 6  * * *
 7  39.156.0.54 (39.156.0.54)  4.207 ms 39.156.0.58 (39.156.0.58)  3.440 ms 39.156.0.54 (39.156.0.54)  4.531 ms
 8  * * *
 9  * * *
10  * 111.13.108.26 (111.13.108.26)  10.944 ms *
11  * * *
12  * * *
13  * * *

2 tcptraceroute

现代网络广泛使用防火墙,导致传统路由跟踪工具发出的(ICMP应答(ICMP echo)或UDP)数据包都被过滤掉了,所以无法进行完整的路由跟踪。尽管如此,许多情况下,防火墙会准许反向(inbound)TCP数据包通过防火墙到达指定端口,这些端口是主机内防火墙背后的一些程序和外界连接用的。通过发送TCP SYN数据包来代替UDP或者ICMP应答数据包,tcptraceroute可以穿透大多数防火墙

[root@ABC captain]# tcptraceroute baidu.com
Selected device eth0, address 172.17.241.229, port 56787 for outgoing packets
Tracing the path to baidu.com (111.13.101.208) on TCP port 80 (http), 30 hops max
 1  * * *
 2  11.220.136.41  7.192 ms  3.992 ms  3.373 ms
 3  11.220.136.122  2.434 ms  2.097 ms  2.102 ms
 4  116.251.105.73  1.713 ms  2.526 ms  2.090 ms
 5  * * *
 6  * 39.156.1.222 3.521 ms *
 7  39.156.0.54  6.565 ms  4.703 ms  4.671 ms
 8  111.13.188.38  5.150 ms  5.056 ms  5.005 ms
 9  * * *
10  * 111.13.112.61 6.056 ms  5.295 ms
11  * * *
12  * * *
13  111.13.101.208 [open]  5.161 ms  5.110 ms  5.122 ms

对比 traceroute,tcptraceroute最终到达了目的地,而traceroute 没有到达目的地。并且tcptraceroute将最终响应的那个设备标记为open。

注意:标记为open,对于检测劫持非常有用,劫持设备在客户端与服务器之间的某个位置。用tcptraceroute的时候,路由检测只会到达第一个代理设备就会返回,标记为open。这样可以明显的看出来是哪里发生了劫持。

 类似资料: