theo dõi và ping từ mạng trường học

Tôi có một máy chủ trong trường của tôi. Nếu tôi thực hiện một traceroutelệnh cho một số máy chủ trong mạng lưới trường học của chúng tôi, tôi có thể tiếp cận máy chủ. Ví dụ,

traceroute hostname.xxx.edu

traceroute to hostname.xxx.edu (xxx.xxx.xx.xx), 30 hops max, 40 byte packets
 1  reserved-xxx-2.xxx.edu (xxx.xxx.xxx.x)  0.858 ms  0.924 ms  0.980 ms
 2  hostname.xxx.edu (xxx.xxx.xx.xx)  0.446 ms !X  0.438 ms !X  0.423 ms !X

Tương tự, ping hostname.xxx.educũng hoạt động thành công.

Tuy nhiên, nếu tôi cố gắng,

traceroute to www.google.com (64.233.160.99), 30 hops max, 40 byte packets
 1  reserved-xxx-2.xxx.edu (xxx.xxx.xxx.x)  34.605 ms  34.658 ms  34.711 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  *

Vì vậy, khi tôi cố gắng ping www.google.com, nó đã thất bại như mong đợi.

CÂU HỎI

Vì vậy, theo sự hiểu biết của tôi, tường lửa của mạng trường học của tôi đang chặn máy chủ của tôi liên lạc với thế giới bên ngoài. Điều này có đúng không?

Tuy nhiên, nếu tôi thực hiện lệnh như curl www.google.comtôi nhận được đầu ra hoàn hảo. Trên thực tế, tôi đã trích xuất rất nhiều thông tin từ các trang web bằng cách sử dụng tập lệnh shell của mình trong máy chủ này. Tập lệnh shell hoạt động như thế nào nếu tường lửa chặn thế giới bên ngoài truy cập vào máy chủ của tôi?

Có, hoàn toàn có khả năng tường lửa của bạn đang chặn traceroute thành công. Để hiểu lý do tại sao điều này không thành công, tốt nhất là tham khảo traceroutetrang người đàn ông.

đoạn trích

Chương trình này cố gắng theo dõi lộ trình mà một gói IP sẽ đi theo một số máy chủ internet bằng cách khởi chạy các gói thăm dò với một ttl nhỏ (thời gian tồn tại) sau đó lắng nghe câu trả lời "vượt quá thời gian" của ICMP từ một cổng.

Chúng tôi bắt đầu các đầu dò của mình với một ttl một và tăng thêm một cho đến khi chúng tôi nhận được "cổng không thể truy cập" (hoặc thiết lập lại TCP), nghĩa là chúng tôi đã đến "máy chủ" hoặc đạt tối đa (mặc định là 30 bước).

Ba đầu dò (theo mặc định) được gửi ở mỗi cài đặt ttl và một dòng được in hiển thị ttl, địa chỉ của cổng và thời gian khứ hồi của mỗi đầu dò. Địa chỉ có thể được theo sau bởi thông tin bổ sung khi được yêu cầu. Nếu câu trả lời thăm dò đến từ các cổng khác nhau, địa chỉ của mỗi hệ thống phản hồi sẽ được in. Nếu không có phản hồi trong vòng 5,0 giây (mặc định), "*" (dấu hoa thị) sẽ được in cho đầu dò đó.

Vì vậy, các dấu sao bạn nhìn thấy là các máy chủ mà các gói của bạn đang được định tuyến thông qua thời gian chờ (5.0+ giây) và do đó traceroutemặc định để in *.

Một thứ khác sẽ hoạt tracerouteđộng, là khi một máy chủ / bộ định tuyến trên đường được cấu hình để không trả lời các gói ICMP (hay còn gọi là ping). Nếu không trả lời ping, thủ thuật tạo ra từng máy chủ bằng cách tăng TTL (Thời gian sống) cho mỗi gói mà nó gửi đến đích thực tế, sẽ thất bại.

LƯU Ý: Thậm chí có một cảnh báo về điều này trong traceroutetrang người đàn ông.

đoạn trích

Trong môi trường mạng hiện đại, các phương pháp theo dõi truyền thống không phải lúc nào cũng có thể áp dụng được, vì sử dụng rộng rãi tường lửa. Tường lửa như vậy lọc các cổng UDP "không chắc" hoặc thậm chí là tiếng vang ICMP. Để giải quyết vấn đề này, một số phương pháp theo dõi bổ sung được triển khai (bao gồm cả tcp), xem DANH MỤC CÁC PHƯƠNG PHÁP CÓ S under dưới đây. Các phương pháp như vậy cố gắng sử dụng giao thức cụ thể và cổng nguồn / cổng đích, để vượt qua tường lửa (được tường lửa nhìn thấy giống như một sự khởi đầu của loại phiên mạng được phép).

Vì vậy, tùy thuộc vào cách bạn định cấu hình traceroute, có thể sử dụng các gói ICMP, UDP hoặc thậm chí TCP để tạo ra phản hồi từ các hệ thống khác nhau đang chuyển việc định tuyến các gói của bạn từ điểm A đến điểm B.

Một lần nữa tham khảo traceroutetrang người đàn ông hãy lưu ý 3 tùy chọn sau:

   -I, --icmp
          Use ICMP ECHO for probes

   -T, --tcp
          Use TCP SYN for probes

   -U, --udp
          Use UDP to particular destination port for tracerouting (instead 
          of increasing the port per each probe). Default port is 53 (dns).

Tất nhiên còn nhiều hơn thế, xem DANH SÁCH CÁC PHƯƠNG PHÁP CÓ S forN để biết danh sách đầy đủ.

Vậy còn curl thì sao?

Như thường thấy với các tường lửa biên giới như tại một doanh nghiệp hoặc trường đại học, chỉ các cổng nhắm mục tiêu lưu lượng truy cập 80 (HTTP) và 443 (HTTPS) mới được phép đi ra. Hoàn toàn có khả năng các gói ICMP ECHO_REQUEST bị tường lửa của các trường đại học bỏ rơi, điều này sẽ giải thích tại sao bạn nhận được dấu sao khi bạn bắt đầu truy cập các máy chủ bên ngoài mạng của trường đại học.

Với sự xuất hiện của các gói qua cổng 80, bạn có thể tận dụng lợi thế này và yêu traceroutecầu sử dụng TCP qua một cổng cụ thể, 80 trong trường hợp này, để có được những gì bạn muốn.

Thí dụ

$ sudo traceroute -T -p 80 www.google.com
traceroute to www.google.com (173.194.46.81), 30 hops max, 60 byte packets
 1  byers.bubba.net (192.168.1.6)  3.265 ms  3.236 ms  3.213 ms
 2  * * *
 3  24.93.10.17 (24.93.10.17)  21.359 ms  35.414 ms  48.045 ms
 4  rdc-72-230-153-79.wny.east.twcable.com (72.230.153.79)  48.064 ms  48.044 ms  54.523 ms
 5  rdc-72-230-153-243.wny.east.twcable.com (72.230.153.243)  70.067 ms  70.013 ms  73.312 ms
 6  be35.cr0.chi10.tbone.rr.com (107.14.19.104)  73.201 ms be45.cr0.chi10.tbone.rr.com (107.14.19.106)  62.289 ms be35.cr0.chi10.tbone.rr.com (107.14.19.104)  65.485 ms
 7  ae0.pr1.chi10.tbone.rr.com (107.14.17.192)  62.056 ms  48.685 ms ae1.pr1.chi10.tbone.rr.com (107.14.17.194)  32.193 ms
 8  * * *
 9  209.85.254.130 (209.85.254.130)  42.624 ms  45.159 ms  42.777 ms
10  * * *
11  ord08s11-in-f17.1e100.net (173.194.46.81)  48.036 ms  42.543 ms  44.751 ms

Vì vậy, theo sự hiểu biết của tôi, tường lửa của mạng trường học của tôi đang chặn máy chủ của tôi liên lạc với thế giới bên ngoài. Điều này có đúng không?

Không, tôi đoán nó có thể chặn gần như tất cả lưu lượng nhưng ít nhất là cho phép TCP port 80. traceroutetrong sử dụng mặc định của Linux UDP, hãy pingsử dụng ICMP, do đầu ra của bạn, có vẻ như các lưu lượng đó đã bị chặn bởi tường lửa.

Tập lệnh shell hoạt động như thế nào nếu tường lửa chặn thế giới bên ngoài truy cập vào máy chủ của tôi?

Như trên, khi bạn có thể nhận được kết quả từ đó curl www.gooogle.com, tôi chắc chắn rằng tường lửa cho phép ít nhất TCP port 80và UDP port 53(đối với DNS hoạt động). Bạn có thể thực hiện một kiểm tra đơn giản, để khẳng định điều này, bằng cách sử dụng traceroutenhưng sử dụng TCP:

traceroute -T -p 80 www.google.com

Đây là kết quả của tôi:

$ sudo traceroute -T -p 80 www.google.com
[sudo] password for cuonglm: 
traceroute to www.google.com (74.125.128.103), 30 hops max, 60 byte packets
 1  172.16.50.253 (172.16.50.253)  0.133 ms  0.133 ms *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  XXX.XXX (Y.Y.Y.Y)  13.954 ms XXX.XXX (Y.Y.Y.Y)  14.198 ms X.X.X.X (123.29.10.110)  14.140 ms
 9  unknown.telstraglobal.net (134.159.208.165)  85.353 ms  85.349 ms  85.338 ms
10  i-0-2-0-3.hkth-core01.bi.telstraglobal.net (202.84.153.234)  85.780 ms  85.765 ms  85.748 ms
11  i-0-0-0-3.hkth12.bi.telstraglobal.net (202.84.153.182)  85.723 ms i-0-0-0-1.hkth12.bi.telstraglobal.net (202.84.153.150)  86.731 ms i-0-0-0-2.hkth12.bi.telstraglobal.net (202.84.153.178)  85.305 ms
12  72.14.221.126 (72.14.221.126)  51.635 ms  51.535 ms  51.177 ms
13  209.85.241.58 (209.85.241.58)  51.137 ms  51.372 ms  51.086 ms
14  209.85.253.71 (209.85.253.71)  51.601 ms 209.85.253.69 (209.85.253.69)  52.172 ms  51.888 ms
15  * * *
16  hg-in-f103.1e100.net (74.125.128.103)  51.639 ms  52.632 ms  51.670 ms

Một bài học để học

Khi tạo quy tắc cho tường lửa (hoặc các thiết bị bảo mật tương tự), quy tắc vàng là " Từ chối tất cả, cho phép chi tiết cụ thể "

Tường lửa trường học của bạn có thể đang chặn hầu hết lưu lượng truy cập ra ngoài trên các cổng khác với TCP / 80, là cổng IP mặc định cho lưu lượng truy cập web.

Cụ thể là ping và (hầu hết thời gian) theo dõi gửi gói ICMP ECHO_REQUEST và nhiều công ty và trường học chặn tất cả lưu lượng truy cập ICMP thông qua tường lửa của họ vì nó có thể được sử dụng để tìm hiểu thông tin của các thiết bị mạng phía sau tường lửa.