Hi,

Ich habe letztens eine Spammer IP getraced mit dem seltsamen Ergebnis, dass ueber UDP alles normal laueft ueber Standard Traceroute aber ein Host 2x antwortet?! Ist das jetzt ein Konfigurationsfehler? Hat jemand eine schluessige Erklaerung?


%traceroute made-in-china.net
traceroute to made-in-china.net (221.130.6.182), 128 hops max, 40 byte packets
1 xdsl.ar2.dus.de.ncore.net (212.46.98.29) 80.751 ms 62.089 ms 60.919 ms
2 g2-5.br3.dus.de.ncore.net (212.46.118.1) 70.174 ms 72.070 ms 66.314 ms
3 g1-1.br1.dus.de.ncore.net (212.46.96.13) 65.556 ms 70.148 ms 96.795 ms
4 ddf-b1-link.telia.net (213.248.68.141) 61.307 ms 60.391 ms 59.831 ms
5 ffm-bb1-link.telia.net (80.91.249.234) 65.925 ms 67.874 ms
ffm-bb2-link.telia.net (80.91.251.195) 65.069 ms
6 ffm-b6-link.telia.net (80.91.251.149) 64.655 ms
ffm-b6-link.telia.net (80.91.249.86) 67.877 ms 66.012 ms
7 f-ea5.f.de.net.dtag.de (62.156.138.93) 69.308 ms 67.638 ms 98.673 ms
8 217.239.41.102 (217.239.41.102) 364.766 ms 367.842 ms 367.137 ms
9 217.6.24.138 (217.6.24.138) 425.846 ms 428.310 ms 421.481 ms
10 218.200.255.133 (218.200.255.133) 432.713 ms 428.659 ms 434.213 ms
11 211.136.3.125 (211.136.3.125) 431.724 ms * 531.010 ms
12 211.136.1.254 (211.136.1.254) 590.250 ms 480.633 ms 460.194 ms
13 218.200.252.150 (218.200.252.150) 471.937 ms 472.288 ms 472.568 ms
14 218.200.254.102 (218.200.254.102) 459.328 ms 460.745 ms 574.017 ms
15 221.130.2.113 (221.130.2.113) 471.744 ms
221.130.2.117 (221.130.2.117) 525.010 ms
221.130.2.113 (221.130.2.113) 468.295 ms
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
31 * * *
32 * * *


Gruss 403

Ich finde es generell ziemlich seltsam, dass da fuer einige Hops mehr als ein Server antwortet.

'cuda

ich finde es nicht seltsam, ist sogar logisch
für jeden hop wird ein eigenes paket geschickt. es ist nicht gesagt, dass jedes paket die gleiche route nimmt.

greetz

Richtig. *Ein* Paket.

'cuda

was meinst du mit *ein*?
hier ein auszug aus wiki:


Traceroute sendet dazu mehrfach Pakete mit einer veränderten
und jeweils um 1 erhöhten Time-to-live (TTL),
beginnend mit 1, an das Zielsystem. Jeder Host, der das Datenpaket
in Folge empfängt, zählt den Wert der TTL um eins herunter. Empfängt
ein Router ein Paket mit TTL=1 und müsste es vermitteln, verwirft er
es und sendet die ICMP-Antwort Typ 11: Time-to-live exceeded und
Code 0: Time to live exceeded in transit an den Absender mit seiner Adresse
zurück.

greetz

edit:
dieser absatz sagt es doch eindeutig aus...


Das Ergebnis von Traceroute zeigt nicht immer den tatsächlichen Weg.
Es wird beeinflusst von Firewalls, fehlerhaften Implementierungen des IP-Stacks,
Network Address Translation, IP-Tunneln oder der Wahl eines anderen Pfades
bei Netzwerküberlastung und anderen Faktoren.


edit2:
ahh jetzt verstehe ich was du meinst *gg* naja, warum da mehr als ein server pro hop antwortet verstehe ich auch nicht... vielleicht multicast? *gg*

Vielleicht ist das einfach die Große Chinesische Mauer(tm) mit der die chinesische Regierung ihr Volk vor kapitalistischer Propaganda schützt? An dem riesen Firewall könnte alles mögliche passieren.

Ab Hop 10 sind deine Pakete im Netz von China Mobile. Vielleicht machen die ein Load-Balancing auf ihrer Firewall, so dass unterschiedliche Firewallmaschinen deine Pakete bekommen und dann zurückweisen. Die Pakete werden zwar mit jeweils erhöhter TTL geschickt, wenn der Firewall aber Tracerouteversuche verhindern soll würde er die nachfolgenden Pakete trotzdem blocken.

Weiss nicht, ob ich es unbedingt auf die GFW schieben wuerde. Hop 5 und 6 kommen ja auch schon doppelt zurueck, und die sind noch in D.

'cuda

Ein Router, mehrere Interfaces, ein Hostname?

mehrere Interfaces ist sicher kein Problem. Aber in dem Beispiel gehts ja quasi wieder zurueck zum ersten Interface. (IPTABLES mit RETURN??)


Hier noch ein Link:

http://www.imconf.net/imc-2006/papers/p15-augustin.pdf