實(shí)驗(yàn)1-Traceroute原理對比與分析

實(shí)驗(yàn)1Traceroute原理對比與分析拓?fù)鋱D圖1實(shí)驗(yàn)拓?fù)鋱D原理Tracert跟蹤路由：通過向目標(biāo)發(fā)送不同IP生存時間(TTL)值的“Internet控制消息協(xié)議(ICMP)”回應(yīng)數(shù)據(jù)包，Tracert診斷程序確定到目標(biāo)所采取的路由。要求路徑上的每個路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前至少將數(shù)據(jù)包上的TTL遞減1。數(shù)據(jù)包上的TTL減為0時，路由器應(yīng)該將“ICMP已超時”的消息發(fā)回源系統(tǒng)。Tracert先發(fā)送TTL為1的回應(yīng)數(shù)據(jù)包，并在隨后的每次發(fā)送過程將TTL遞增1，直到目標(biāo)響應(yīng)或TTL達(dá)到最大值，從而確定路由。通過檢查中間路由器發(fā)回的“ICMP已超時”的消息確定路由?？梢缘弥?，基本原理就是利用TTL=0時，ICMP返回超時來達(dá)到跟蹤路由的目的。但在具體的實(shí)現(xiàn)上有不同的做法。目前主流設(shè)備都提供一個traceroute和tracert的指令。下面將針對這兩條指令展開分析。思科路由器、SUN主機(jī)執(zhí)行traceroute指令，抓包分析?！癟raceroute程序發(fā)送一份UDP數(shù)據(jù)報給目的主機(jī)，但它選擇一個不可能的值作為UDP端口號（大于30000），使目的主機(jī)的任何一個應(yīng)用程序都不可能使用該端口。因?yàn)?，?dāng)該數(shù)據(jù)報到達(dá)時，將使目的主機(jī)的UDP模塊產(chǎn)生一份“端口不可達(dá)”錯誤（見6.5節(jié)）的ICMP報文。這樣，Traceroute程序所要做的就是區(qū)分接收到的ICMP報文是超時還是端口不可達(dá)，以判斷什么時候結(jié)束?！睆囊陨辖Y(jié)果來看路由器Traceroute命令默認(rèn)發(fā)出的包發(fā)到目的地址UDP端口從33434開始，每個包遞增1，TTL從1開始，每三個包（可以參數(shù)設(shè)置）后TTL加1。如果跟蹤路由的跳數(shù)在30跳以內(nèi)，到達(dá)目的地址后，因?yàn)槟繕?biāo)IP就是當(dāng)前設(shè)備，所以解開上層UDP分析，發(fā)現(xiàn)端口不可達(dá)（本來就是為了不可達(dá)返回錯誤），以上抓包明顯發(fā)現(xiàn)是“ICMP類型3代碼3的Destinationunreachable(portunreachable)”。如果超時，直接顯示星號，繼續(xù)下一個包的發(fā)送。直到默認(rèn)的30跳停止。普通windows主機(jī)執(zhí)行tracert指令，抓包分析。在windws主機(jī)里面的tracert：明顯的和TCP/IP詳解的Traceroute命令表述有點(diǎn)出入。windows主機(jī)的tracert是直接是用ping來實(shí)現(xiàn)的，但是這個ping的TTL值在3個包后增大1，如果目標(biāo)在30跳之內(nèi)，目的地址直接回應(yīng)“ping回顯ICMP類型0代碼0”不可達(dá)或者超時后返回星號，繼續(xù)下一個TTL的包的發(fā)送，一直到達(dá)默認(rèn)設(shè)置的30跳。以上返回結(jié)果結(jié)果。這里仔細(xì)講解一下每個輸出結(jié)果的含義。第一列：ttl的值，勉強(qiáng)可以理解為第幾跳（如果網(wǎng)絡(luò)中有ttl修改的話就不一定了）。一行中中連續(xù)2-4共三列一般都能看到3個連續(xù)的數(shù)字。比如：1ms1ms1ms，這三個分別是TTL相同但是順序不同的的三個IP包到達(dá)同一個發(fā)送到從設(shè)備返回的時間差。如果顯示星號說明返回超時，不再等待，直接下一個包的發(fā)送。最后一列是ttl超時返回ICMP錯誤的設(shè)備的接口IP地址。（注意：前面tracert帶了-d參數(shù)，說明不用域名解析，時間較快；如果不帶-d就需要做域名解析，較長時間）。結(jié)論：t