Chúng ta hãy nhìn vào những gì xảy ra, phải không?
8.8.8.8 là một ví dụ tốt, bởi vì ít nhất từ vị trí của tôi, tôi có thể tiếp cận nó cả với traceroute
và ping
.
Trước tiên hãy thử ping 8.8.8.8
và xem những gì sẽ xảy ra:
$ tcpdump -n host 8.8.8.8 or icmp
15:36:51.045994 IP 10.4.27.179 > 8.8.8.8: ICMP echo request, id 7215, seq 0, length 64
15:36:51.062458 IP 8.8.8.8 > 10.4.27.179: ICMP echo reply, id 7215, seq 0, length 64
15:36:52.048350 IP 10.4.27.179 > 8.8.8.8: ICMP echo request, id 7215, seq 1, length 64
15:36:52.073657 IP 8.8.8.8 > 10.4.27.179: ICMP echo reply, id 7215, seq 1, length 64
Vì vậy, ping
gửi một yêu cầu tiếng vang ICMP và mong đợi một phản hồi tiếng vang ICMP.
Bây giờ traceroute -n 8.8.8.8
:
15:41:31.803324 IP 10.4.27.179.44838 > 8.8.8.8.33435: UDP, length 24
15:41:31.815184 IP 10.250.32.2 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.815343 IP 10.4.27.179.44838 > 8.8.8.8.33436: UDP, length 24
15:41:31.819654 IP 10.250.32.2 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.819791 IP 10.4.27.179.44838 > 8.8.8.8.33437: UDP, length 24
15:41:31.824609 IP 10.250.32.2 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.824754 IP 10.4.27.179.44838 > 8.8.8.8.33438: UDP, length 24
15:41:31.830506 IP 64.124.23.161 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.830649 IP 10.4.27.179.44838 > 8.8.8.8.33439: UDP, length 24
15:41:31.834469 IP 64.124.23.161 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.834565 IP 10.4.27.179.44838 > 8.8.8.8.33440: UDP, length 24
15:41:31.840962 IP 64.124.23.161 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.841061 IP 10.4.27.179.44838 > 8.8.8.8.33441: UDP, length 24
15:41:31.847440 IP 64.125.26.21 > 10.4.27.179: ICMP time exceeded in-transit, length 148
15:41:31.847634 IP 10.4.27.179.44838 > 8.8.8.8.33442: UDP, length 24
15:41:31.853664 IP 64.125.26.21 > 10.4.27.179: ICMP time exceeded in-transit, length 148
15:41:31.853761 IP 10.4.27.179.44838 > 8.8.8.8.33443: UDP, length 24
15:41:31.859221 IP 64.125.26.21 > 10.4.27.179: ICMP time exceeded in-transit, length 148
15:41:31.859269 IP 10.4.27.179.44838 > 8.8.8.8.33444: UDP, length 24
15:41:31.864149 IP 64.125.31.15 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.864192 IP 10.4.27.179.44838 > 8.8.8.8.33445: UDP, length 24
15:41:31.870843 IP 64.125.31.15 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.870922 IP 10.4.27.179.44838 > 8.8.8.8.33446: UDP, length 24
15:41:31.876200 IP 64.125.31.15 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.876352 IP 10.4.27.179.44838 > 8.8.8.8.33447: UDP, length 24
15:41:31.882148 IP 64.125.13.111 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.882249 IP 10.4.27.179.44838 > 8.8.8.8.33448: UDP, length 24
15:41:31.890076 IP 64.125.13.111 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.890156 IP 10.4.27.179.44838 > 8.8.8.8.33449: UDP, length 24
15:41:31.896100 IP 64.125.13.111 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.896163 IP 10.4.27.179.44838 > 8.8.8.8.33450: UDP, length 24
15:41:31.905037 IP 108.170.242.225 > 10.4.27.179: ICMP time exceeded in-transit, length 60
15:41:31.905235 IP 10.4.27.179.44838 > 8.8.8.8.33451: UDP, length 24
15:41:31.913206 IP 108.170.242.225 > 10.4.27.179: ICMP time exceeded in-transit, length 60
15:41:31.913283 IP 10.4.27.179.44838 > 8.8.8.8.33452: UDP, length 24
15:41:31.923428 IP 108.170.242.241 > 10.4.27.179: ICMP time exceeded in-transit, length 76
15:41:31.923520 IP 10.4.27.179.44838 > 8.8.8.8.33453: UDP, length 24
15:41:31.932266 IP 108.170.237.9 > 10.4.27.179: ICMP time exceeded in-transit, length 60
15:41:31.932441 IP 10.4.27.179.44838 > 8.8.8.8.33454: UDP, length 24
15:41:31.939961 IP 209.85.251.9 > 10.4.27.179: ICMP time exceeded in-transit, length 76
15:41:31.940043 IP 10.4.27.179.44838 > 8.8.8.8.33455: UDP, length 24
15:41:31.947460 IP 108.170.237.21 > 10.4.27.179: ICMP time exceeded in-transit, length 60
15:41:31.947508 IP 10.4.27.179.44838 > 8.8.8.8.33456: UDP, length 24
15:41:31.954824 IP 8.8.8.8 > 10.4.27.179: ICMP 8.8.8.8 udp port 33456 unreachable, length 36
15:41:31.954888 IP 10.4.27.179.44838 > 8.8.8.8.33457: UDP, length 24
15:41:31.963601 IP 8.8.8.8 > 10.4.27.179: ICMP 8.8.8.8 udp port 33457 unreachable, length 36
15:41:31.963671 IP 10.4.27.179.44838 > 8.8.8.8.33458: UDP, length 24
15:41:31.972407 IP 8.8.8.8 > 10.4.27.179: ICMP 8.8.8.8 udp port 33458 unreachable, length 36
Vì vậy traceroute
, ít nhất là việc triển khai tôi đã cài đặt, không gửi ICMP. Thay vào đó, nó sẽ gửi các gói UDP.
Có gì không hiển thị trong dấu vết này (mặc dù nó sẽ là, nếu tôi đưa cho tcpdump
một -v
để tăng tính cách rườm rà) là tàu thăm dò đầu tiên có một ttl trong tổng số 1, và sau đó nó increments ttl cho tàu thăm dò sau đó. Điều này khiến các bộ định tuyến giữa tôi và 8.8.8.8 phản hồi với lỗi vượt quá ttl ICMP, đó là cách traceroute khám phá các bộ định tuyến giữa đây và đó.
Cuối cùng, ttl đủ dài để biến nó thành 8.8.8.8 và 8.8.8.8 phản hồi với lỗi không thể truy cập cổng ICMP, bởi vì nó không có quá trình lắng nghe trên cổng UDP 44838. Đây là cách traceroute biết nó đã đến đích cuối cùng .
Nếu một cái gì đó giữa đây và có chặn tất cả ICMP, thì cả ping và traceroute đều không hoạt động.
Nhưng thường thì không phải tất cả ICMP đều bị chặn, mặc dù nó cũng không phải là hiếm. Chặn tất cả ICMP là có vấn đề: ví dụ: nó phá vỡ đường dẫn phát hiện MTU , dựa trên lỗi yêu cầu phân mảnh ICMP. Các gói ICMP có một loại và một mã, và các nhà khai thác mạng có trách nhiệm sẽ chỉ chặn có chọn lọc một số loại hoặc mã, những loại có khả năng lạm dụng hoặc tiết lộ thông tin cụ thể.
Ví dụ: một số máy chủ sẽ không đáp ứng yêu cầu tiếng vang ICMP, và do đó ping sẽ không hoạt động. Ý tưởng là bằng cách không trả lời ping, kẻ tấn công sẽ khó phát hiện ra máy chủ nào tồn tại trên mạng. Trong thực tế điều này là nghi vấn, vì có nhiều cách khác để thăm dò máy chủ. Ví dụ: người ta có thể gửi TCP TCP đến cổng 80 để tìm máy chủ web.
Nhiều máy chủ cũng sẽ không gửi lỗi ICMP cổng không thể truy cập khi họ nhận được một datagram UDP hoặc TCP SYN đến một cổng mà họ không có quá trình lắng nghe và điều này phá vỡ traceroute. Một lần nữa ý tưởng là làm cho kẻ tấn công lập bản đồ mạng khó khăn hơn, nhưng một lần nữa, đây chỉ là một sự thất vọng nhỏ đối với kẻ tấn công.
Bởi vì traceroute là một chương trình và không phải bất kỳ giao thức cụ thể nào, nên nó có các cách thăm dò khác. Tất cả đều dựa vào việc tăng TTL để khám phá các bộ định tuyến, nhưng các loại đầu dò khác nhau có thể được gửi đi có thể có ít nhiều cơ hội để gợi ra phản hồi từ điểm cuối. Ví dụ, man tcpdump
danh sách của tôi là một -I
tùy chọn để sử dụng đầu dò echo ICMP, giống như ping. Nó cũng -T
phải sử dụng các đầu dò TCP SYN thay vì UDP. Nếu bạn biết một máy chủ sẽ phản hồi ping
sau đó -I
có rất nhiều ý nghĩa. Nếu bạn biết máy chủ đang lắng nghe trên một cổng TCP cụ thể, thì -T
có nghĩa là có thể kết hợp với -p
tùy chọn để chọn cổng.
Thật không may, các tùy chọn này có thể yêu cầu khả năng root hoặc đặc biệt, vì vậy UDP làm cho một mặc định công bằng. Trong thực tế, một công cụ tương tự tracepath
, có điều này để nói trong trang man của nó:
SỰ MIÊU TẢ
Nó theo dõi đường dẫn đến đích khám phá MTU dọc theo con đường này. Nó sử dụng cổng cổng UDP hoặc một số cổng ngẫu nhiên. Nó tương tự như traceroute, chỉ không yêu cầu đặc quyền siêu người dùng và không có tùy chọn ưa thích.