traceroute 有使用两种:使用ICMP的和使用UDP的。Microsoft 使用ICMP,所以Windows系统上发出的traceRT应使用的是ICMP,而Unix系统使用ICMP和UDP结合方式的。
ICMP traceroute 方式
===========
使用ICMP Echo Request, Echo Reply and TTL-expired.
源发出 ICMP Equest,第一个request的TTL为1,第二个request的TTL为2,以后依此递增直至第30个;中间的router送回ICMP TTL-expired ( ICMP type 11) 通知source,(packet同时因TTL超时而被drop),由此source知晓一路上经过的每一个router;最后的destination送回ICMP Echo Reply。
所以中间任何一个router上如果封了ICMP Echo Request, traceroute就不能工作;如果封了type 11 (TTL-expired), 中间的router全看不到,但能看到packet 到达了最后的destination;如果封了ICMP Echo Reply,中间的全能看到,最后的destination看不到。
UDP traceroute:
==========
使用ICMP TTL-expired(type 11), ICMP port unreachable(type 3, code 3), UDP port >32768.
source发出UDP packet, source port使用随机的任何大于32768的高段port#, destination port # 从33434开始递增,直至33434+29,同时TTL从1开始依此递增,直至1+29=30(最多送30个)。中间的router送回 ICMP TTL-expired,使得source得知了中间的每一个router,最后的destination送回TTL-expired 和ICMP port unreachable。
本人在H3C交换机开放traceroute的acl如下:
rule permit udp source-port gt 32768 destination-port gt 33434
rule permit icmp
如果想禁止ping而打开traceroute只要添加如下acl条目:
deny ping icmp 8 0 echo request
阅读(1404) | 评论(0) | 转发(0) |