Wie jeder Admin benutzt auch Charly mehr oder weniger häufig den Klassiker Traceroute. Wenn ihm unfreundliche Eingeborene dabei mit einem ICMP-Filter dazwischenfunken, weicht er einfach auf eine clevere Alternative wie Lft aus.
Den Klassiker Traceroute benutzt praktisch jeder Netzwerker mehr oder weniger häufig. Um so irritierter bin ich, wenn ich mich mal wieder in einem Hotel-WLAN wiederfinde, in dem der zuständige Admin ICMP komplett abgeklemmt hat. Einmal abgesehen davon, dass diese Maßnahme in einem per se öffentlichen Netz mehr Ärger als Nutzen stiftet, lässt sie sich auch leicht umgehen.
Die erste Version von Traceroute schrieb 1988 ein gewisser Van Jacobsen – Van ist der Vorname, nicht der Furchenadelsindikator. Um den Weg von Paketen durchs Netz verfolgen zu können, dachte Jacobsen sich eine schlaue Methode aus: Er schickte Testpakete durchs Netz zu einem definierten Ziel und erhöhte bei jedem Paket den TTL-Wert (Time to live).
Das erste Paket bekommt eine TTL von 1. Jeder Router, der das Paket weitertransportiert, vermindert die TTL um 1. Erreicht die TTL dabei den Wert 0, schickt er es mit der ICMP-Meldung »TTL exceeded« zurück. Indem Jacobsen die TTL sukzessive erhöhte, bekam er die Pakete von immer weiter entfernten Routern zurück und konnte so den Weg des Pakets verfolgen, bis es schließlich zum Ziel gelangte.
Das funktioniert freilich nicht, wenn die Gegenstelle ICMP-Meldungen unterdrückt. Allerdings hat sich Traceroute im Lauf der Jahre weiterentwickelt: Es beherrscht schon recht lange auch eine TCP-basierte Methode, bei der TCP-SYN-Pakete zum Einsatz kommen. Abbildung 1 zeigt zwei Traceroutes zum gleichen Ziel, dem Webserver der BBC (http://bbc.co.uk). Der erste Aufruf bleibt irgendwann stecken, sicherlich aufgrund eines ICMP-Filters. Der zweite benutzt TCP-SYN-Pakete – er kommt unbehelligt ans Ziel.
Abbildung 1: Wo der klassische Traceroute-Aufruf scheitert, führt oft ein schlichtes »-T« (für TCP-SYN) zum Ziel.
Noch einen Schritt weiter gehen alternative Traceroute-Tools wie Mtr [1], das die Wegeverfolgung kontinuierlich wiederholt und damit hilft, gelegentliche Paketverluste aufzuspüren. Ebenfalls sehr interessant ist Lft (“Layer Four Traceroute” [2]). Es beherrscht noch weitere Transportmethoden und schafft es damit durch die allermeisten Firewalls. Darüber hinaus kann es ausgeben, wessen Netzblöcke das Paket durchläuft, samt der Nummer des zuständigen autonomen Systems (Abbildung 2).
Abbildung 2: Weiß, wo es langgeht: Lft schafft es durch die meisten Firewalls und gibt die durchlaufenen Netzblöcke an.
Es lohnt sich also, sich etwas intensiver mit den verschiedenen Traceroute-Varianten zu beschäftigen – und wenn es nur beim nächsten Hotelaufenthalt den Blutdruck niedrig hält.
Der Autor
Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein. Zu seinen Aufgaben gehören Sicherheit und Verfügbarkeit der Firewalls und der DMZ.
Infos
- My Traceroute: Charly Kühnast, “Schrittezähler”, LM 09/2010, S. 65, https://www.linux-magazin.de/21359
- Layer Four Traceroute: http://freshmeat.sourceforge.net/projects/lft
