traceroute跟踪是通过icmp协议进行的;traceroute程序完整过程:首先它发送一份TTL字段为1的IP数据包给目的主机,处理这个数据包的第一个路由器将TTL值减1,然后丢弃该数据报,并给源主机发送一个ICMP报文(“超时”信息,这个报文包含了路由器的IP地址,这样就得到了第一个路由器的地址),然后traceroute发送一个TTL为2的数据报来得到第二个路由器的IP地址,继续这个过程,直至这个数据报到达目的主机,如果中间的一个路由器禁止了icmp协议,那么之后的路由都是无法跟踪的,都是*显示;
root@huangxudong-X456UR:/home/huangxudong# traceroute -n x.x.x.x
traceroute to x.x.x.x (x.x.x.x), 30 hops max, 60 byte packets
1 192.168.1.1 30.117 ms 36.263 ms 37.291 ms
2 100.71.0.1 38.212 ms 40.364 ms 39.142 ms
3 218.104.96.61 43.452 ms 42.222 ms 40.989 ms
4 58.19.114.137 52.798 ms 58.19.114.133 57.870 ms 58.19.114.137 67.054 ms
5 219.158.7.73 64.375 ms 219.158.101.185 79.294 ms 80.861 ms
6 219.158.23.246 66.826 ms 34.078 ms 219.158.96.198 36.862 ms
7 202.97.16.13 46.273 ms 45.159 ms 43.963 ms
8 202.97.63.213 34.073 ms 38.560 ms 36.339 ms
9 183.58.10.166 39.535 ms 29.871 ms 31.144 ms
10 * * *
11 183.58.11.54 30.137 ms 32.850 ms 28.027 ms
12 61.142.101.198 34.646 ms 35.357 ms 36.244 ms
13 x.x.x.x 35.524 ms 28.595 ms 31.033 ms
上面的-n表示的是不进行域名解析直接已ip显示,这条路线是:1、本地路由网关,2、保留地址网关,3、湖北省武汉市 联通网关,4、湖北省武汉市 联通网关,5、北京市北京市 联通网关,6、北京市北京市 联通网关,7、广东省广州市 电信网关,8、广东省广州市 电信网关,9、广东省广州市 电信网关,10、没追踪到,可能是太卡了,11、广东省中山市 电信网关,12、广东省中山市 电信网关,13、最终路由;
上面就是一个人的上网路线,如果你做坏事,就算你把目标主机的日志都删了,但是机房里面的日志你删不了的,通过机房他也是可以查询到与目标路由通信的ip与mac的,然后他再倒着查询源,就知道是你干的坏事了;
还有一种就是你可能会进行跳板干坏事,但是人已经怀疑你了,你就是源头,他会在你的线路上查到你的,你连接的任何线路都表示你经过了那里;
所以说呢,在网络上千万不要干坏事,只怕你不做,做了就会查到,千万别做傻事;