traceroute经过防火墙不回显问题

最新推荐文章于 2024-03-29 10:21:29 发布
最新推荐文章于 2024-03-29 10:21:29 发布
阅读量1.4k 收藏 19
点赞数 21
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47119622/article/details/135547467
版权

背景

在linux服务器上traceroute某一IP,当到了防火墙后就不回显了,显示*号。防火墙策略已经是放通ICMP协议,并且在服务器上可以ping通该地址。

分析

对服务器tracerote发出的数据包抓包分析,发现服务器发出的包为UDP包,端口号大于30000

traceroute原理

  • IP协议

IP协议是TCP/IP协议族中最核心的部分,它的作用是在两台主机之间传输数据,所有上层协议的数据(HTTP、TCP、UDP等)都会被封装在一个个的IP数据包中被发送到网络上。

  • ICMP
    ICMP全称为互联网控制报文协议,它常用于传递错误信息,ICMP协议是IP层的一部分,它的报文也是通过IP数据包来传输的。
  • TTL
    TTL(time-to-live)是IP数据包中的一个字段,它指定了数据包最多能经过几次路由器。从我们源主机发出去的数据包在到达目的主机的路上要经过许多个路由器的转发,在发送数据包的时候源主机会设置一个TTL的值,每经过一个路由器TTL就会被减去一,当TTL为0的时候该数据包会被直接丢弃(不再继续转发),并发送一个超时ICMP报文给源主机。

具体到traceroute的实现细节上,有两种不同的方案:

基于UDP实现

在基于UDP的实现中,客户端发送的数据包是通过UDP协议来传输的,使用了一个大于30000的端口号,服务器在收到这个数据包的时候会返回一个端口不可达的ICMP错误信息,客户端通过判断收到的错误信息是TTL超时还是端口不可达来判断数据包是否到达目标主机,具体的流程如图:

  1. 客户端发送一个TTL为1,端口号大于30000的UDP数据包,到达第一站路由器之后TTL被减去1,返回了一个超时的ICMP数据包,客户端得到第一跳路由器的地址。
  2. 客户端发送一个TTL为2的数据包,在第二跳的路由器节点处超时,得到第二跳路由器的地址。
  3. 客户端发送一个TTL为3的数据包,数据包成功到达目标主机,返回一个端口不可达错误,traceroute结束。

目前在网上找到许多开源iOS traceroute实现大多都是基于UDP的方案,实际用起来并不能达到想要的效果,所以我们需要采用另一种方案来实现。

基于ICMP实现

上述方案失败的原因是由于服务器对于UDP数据包的处理,所以在这一种实现中我们不使用UDP协议,而是直接发送一个ICMP回显请求(echo request)数据包,服务器在收到回显请求的时候会向客户端发送一个ICMP回显应答(echo reply)数据包,在这之后的流程还是跟第一种方案一样。这样就避免了我们的traceroute数据包被服务器的防火墙策略墙掉。

采用这种方案的实现流程如下:

https://upload-images.jianshu.io/upload_images/5337919-d1900102224993c8.png

  1. 客户端发送一个TTL为1的ICMP请求回显数据包,在第一跳的时候超时并返回一个ICMP超时数据包,得到第一跳的地址。
  2. 客户端发送一个TTL为2的ICMP请求回显数据包,得到第二跳的地址。
  3. 客户端发送一个TTL为3的ICMP请求回显数据包,到达目标主机,目标主机返回一个ICMP回显应答,traceroute结束。

值得一提的是在Windows系统中也有traceroute程序,它的名字叫做tracert,tracert就是用采用这种方法来实现的。

验证

防火墙策略只开放ICMP协议,并没有开放UDP协议,所以traceroute数据包到达防火墙后被直接丢弃。

1、使用windows系统tracert测试,抓包分析,显示数据包协议为ICMP,并且测试路径回显正常。

2、在linux服务器上traceroute 带“-I”参数,即使用ICMP协议发送数据包,测试路径回显正常。

总结

linux系统traceroute默认使用UDP协议发送数据包,日常运维过程需要测试可能会忽略这一点,导致防火墙策略已经开放ICMP协议但是traceroute回显不正常。

weixin_47119622
关注
  • 21
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
H3C防火墙开启路由跟踪
weixin_33935777的博客
06-23 2502
有时为了排查网络的连通性需要用到Traceroute,然而有的设备默认并不开启路由跟踪,在排查故障的时候有时会要用到tracert来判断路由的正确性。 机房里有一台 H3C SecPath 和天融信防火墙相连,其他还有几台路由设备。在天融信上做了路由,访问的时候不通,由于路由设备较多,排查的时候使用tracert到H3C的设备就不通了,SecPath 没有ip ttl-...
计算机网络【验证性实验】
zhaozhaomumu123的博客
12-31 476
1.验证性实验 验证性实验总共分为八个部分,分别在命令行窗口以及浏览器上完成。 ipconfig 实作一 使用 ipconfig/all 查看自己计算机的网络配置,尽可能明白每行的意思,特别注意 IP 地址、子网掩码 Subnet Mask、网关 Gateway。 实作二 使用 ipconfig/all 查看旁边计算机的网络配置 发现两台计算机的IPv4地址不同、子网掩码相同、本地连接IPv6不同、默认网关相同。 ping ...
Linux多网卡Traceroute 无法回显具体地址,显示为*
网络工程师日常的博客
03-28 1523
linux 使用traceroute -I回显问题
配置华为防火墙允许对tracert路探测回显
杨奇的博客
08-07 6776
命令配置防火墙允许对tracert路探测回显: <R1>tracert 202.1.1.1 traceroute to 202.1.1.1(202.1.1.1), max hops: 30 ,packet length: 40,press CTRL _C to break 1 * * * 2 202.1.1.1 80 ms 30 ms 50 ms <R1> [FW1]icmp ttl-exceeded send //允许对tracert路探测回
解决tracert经过防火墙显示*号
友人A的博客
02-23 8974
存在问题tracert一台经过防火墙服务器IP地址,经过防火墙时显示*号。无法详细的显示出tracert的路径信息。 解决方法: 1、配置ICMP超时报文功能 [USG5500]ip ttl-expires enable 2、关闭Tracert报文攻击防范功能(危险操作) [USG5500]undo firewall defend tracert enable 查...
开启Windows server 2019 防火墙中的 回显请求 功能
wv118的博客
03-29 2570
1.开启防火墙中的回显请求功能,联网且设置好的虚拟系统才能互相ping 通,验证网络的连性。 打开 开始菜单 的 设置 图标 2.搜索栏键入 fire,单击 防火墙选项 3.进入高级选项 4.选中入站规则后,右键enable开启IPV4的回显请求功能 ...
允许Traceroute探测漏洞解决方法
萌兔兔MMQ!!
03-29 1265
允许Traceroute探测漏洞解决方法详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。解决办法 在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。1、关闭Traceroute探测的方法2、重新载入防火墙配置3、查看防火墙规则。
Linux traceroute命令使用详解
09-14
- 故障排查:当网络连接出现问题时,`traceroute`可以帮助识别在网络哪个部分出现了问题。 - 性能分析:通过观察数据包在不同节点间的延迟,可以评估网络性能。 - 路由分析:了解数据包从源到目的地的常规路径,以便...
traceroute
04-14
对于网络管理员和故障排查人员,这个非root版本的`traceroute`则提供了一种在受限环境中诊断网络问题的手段。 总而言之,这个压缩包中的`traceroute`源代码提供了一个独特的实现,让用户可以在不具有管理员权限的...
traceroute:在网络课程中进行简单的路由跟踪
04-05
3. **ICMP回显请求/应答**:traceroute最初使用ICMP回显请求(ping)来探测路径,但某些防火墙可能阻止这些请求,因此后来发展出使用UDP端口的方法。 4. **UDP端口扫描**:当ICMP被禁用时,traceroute会利用UDP协议...
traceroute命令——判断网络是否正常连接、路径可达性
weixin_53389944的博客
01-26 1709
traceroute是Unix和类Unix系统中的一个命令,用于诊断和跟踪网络数据包从源主机到目标主机的路由路径。它通过发送一系列的Internet控制消息协议(ICMP)回显请求(ping)数据包来实现。一条路径上的每个设备traceroute要测3次。输出结果中包括每次测试的时间(ms)和设备的名称(如有的话)及其IP地址。
无法traceroute出防火墙问题
corpse2010的专栏
05-16 4410
无法traceroute出防火墙:----如果从防火墙的高安全区到低安全区进行traceroute,则需要放行TTL超时的ICMP包和端口不可达的ICMP包----如果从防火墙的低安全区到高安全区进行traceroute,则只需要放行起始的UDP包,目标端口从UDP 33434~33523...
为什么我tracert经过H3C设备的时候,老是*号,不回包
weixin_34025051的博客
12-01 3284
两条命令搞定  ip unreachables  en   ip ttl-expires enable    
H3C交换机不能tracert 解决
weixin_33699914的博客
06-02 1687
问题描述: 用户反映由终端PC tracert 外网一个IP地址,每次到H3C 5500交换机时,均显示无响应,但到路由器下一跳可以正常响应,通行不受任何影响。 解决方法: ip ttl-expires enable ip unreachables enable (官方说法这两条命令默认开启,可能跟版本有关,有的默认未开启。) 官方对这两...
Network Note - H3C 设备开启tracert
HuangFei
06-28 1501
两条命令搞定H3C不回复tracert的响应报文 system-view ip unreachables enable ip ttl-expires enable
防火墙
weixin_43168303的博客
11-22 570
发展史: 包过滤阶段(1989年): 在遭受入侵时,做内外网的隔离的策略。 原始:ACL+nat(Pat)+静态nat(用于出去) 攻破:换地址+端口号(转换表存在时)—伪造包 防漏洞: 1.使用established ACL -&gt;利用tcp的flag字段(局限性较强,无法防止ack和RST以及UDP/ICMP等的攻击)。 查看tcp flag字段是否有ACK或RST,acl加estab...
允许Traceroute探测
热门推荐
weixin_45760327的博客
11-08 1万+
允许Traceroute探测 详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。 解决办法 在防火墙中禁用Time Exceeded类型的ICMP包 详细操作 注:13,14是ICMP timestamp 请求响应漏洞的规则,11是允许Traceroute探测 一、 windows系统 < ctrl > + < r > 打开cmd命令行,输入命令:netsh firewall set icmpsett
Tracert 命令穿越防火墙不显示星号*的方法
一直被模仿,从未被超越
04-07 4832
经过防火墙墙的流量可以ping通,但是tracert后显示的全是*, 配置让tracert命令穿越防火墙不显示星号的方法如下: 1. Tracert防火墙自身 需要放开到防火墙Local域的ICMP或者UDP报文包过滤/安全策略。如果Tracert使用ICMP报文,那么还需要执行命令 ipicmp host-unreachable send 开启ICMP目的站不可达报文的发送功能。 2. Tracert经过防火墙转发 a. 放开经过防火墙转发ICMP或者UDP报文包过滤/安全策略。 b. 配置ICMP超
traceroute识别不到IP地址
最新发布
08-09
traceroute是一个网络诊断工具,它通过发送一系列的数据包到目标IP地址,并跟踪每个数据包在网络中的路径,以便确定数据从源到目的地经过哪些路由器。如果traceroute无法识别到某个IP地址,可能存在以下几个原因: 1. **IP地址错误**:输入的IP地址可能是无效的,或者是网络范围之外的私有IP地址,traceroute通常不会跨越整个互联网去寻找未公开的地址。 2. **防火墙或安全组规则**:目标服务器配置了防火墙或安全组策略,阻止了traceroute请求,导致结果不可见。 3. **路由问题**:目标地址所在的网络可能没有配置正确的路由信息,traceroute无法到达。 4. **DNS解析失败**:如果域名无法转换成对应的IP,traceroute自然也无法找到它。 5. **服务器响应超时**:目标服务器可能因为忙碌、宕机或其他原因未对traceroute做出回应,会被认为是不可达的。 6. **网络连接问题**:如果用户的网络连接不稳定,也会影响traceroute的结果。 要解决这个问题,你可以检查输入的IP是否准确,尝试ping该地址确认可达性,或者联系网络管理员检查网络配置。同时,确保目标服务器允许traceroute流量进入。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值