关于TRACERT和TTL

lion(lp) 2013-01-29 11:14:00

最近看了一些文章,比如利用TTL 判断GFW,或者一些奇怪设备的位置,特做一个实验,看一下TTL 及TRACERT 。 TRACERT 大概的原理,就是通过发送不断+1 的TTL(TIME TO LIVE)的ICMP REQUEST到达最终设备,最后由最终设备返回ICMP REPLY(中间经过的设备返回的都是ICMP超时---|||||ICMP TIME EX)实现。 先发一个TRACERT 图

首先看第一个包

TTL 为1,然后网关102.1 返回了一个超时如下图:

TTL+1

下一个设备返回TTL 超时,这样就能确定了两个设备,如图:

TTL再+1

再超时

最后一个设备(google服务器)TTL 已经是17

谷歌服务器返回ICMP REPLY

证明我和GOOGLE 服务器距离17跳。PING GOOGLE  (IP地址变了,但TTL 还是43)

基本上确定43+17=61  (google服务器的TTL 好像是61:从另一个国外linux PING 和tracert

54+7=61

评论

X

xsser 2013-01-29 11:16:07

哈哈,Google的服务器肯定不会是61,是不是可以说明在这个前面路由设备的后面实际上还有几层呢

L

lion(lp) 2013-01-29 11:31:59

@xsser 这个是有可能的,有些设备是可以不让TRACERT 的,通过这样的设备,TRACERT 是看不到的,比如CISCO 的ASA 就可以这么配置。 我也怀疑,GOOGLE 应该不会改成61的,应该是64

X

xsser 2013-01-29 11:41:42

一般不会更改ttl的

P

pentest 2013-01-29 12:24:39

应该是43+16=60/54+6=60 吧?

L

lion(lp) 2013-01-29 13:24:28

其实就是看算不算网关那跳了,不过GOOGLE 我觉得,不会改TTL 所以,应该还是 64

P

pentest 2013-01-29 14:02:06

关那跳肯定需要算

紫梦芊 2013-02-22 12:55:14

工具很熟悉 科来的.

R

rehd 2013-03-05 10:22:24

WildPackets OmniPeek你懂得

L

lion(lp)

本人菜。。。千年实习白帽子

twitter weibo github wechat

随机分类

逻辑漏洞 文章:15 篇
iOS安全 文章:36 篇
memcache安全 文章:1 篇
密码学 文章:13 篇
Windows安全 文章:88 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

D

Da22le

因为JdbcRowSetImpl是通过JNDI来实现rce的,191以后对JND

xiaokonglong

师傅我有个问题。1.2.24哪里有个问题,为什么什么是161-191?

C

CDxiaodong

0rz

U

Uesaka

说加入AD变简单的可能没遇到死亡题,2333~

Mas0n

附件: https://pan.baidu.com/s/1rbW_SQiRpv1

目录