为什么 amazon.com、yahoo.com 和 ebay.com 的 traceroute 会失败?

tag-icon tag-icon security networking
为什么 amazon.com、yahoo.com 和 ebay.com 的 traceroute 会失败?

在解决我们网络的性能问题时,我运行了traceroute各种网站。以下网站反复无法完成traceroute

  • 雅虎
  • 亚马逊
  • 易趣网

问题

  • 这些站点是否在保护他们的网络以致于traceroute无法完成?
  • 我认为这是基于这些网站的网络,与我们的网络性能问题无关。这是一个安全的假设吗?

ebay.com 的跟踪路由示例

$ traceroute ebay.com
traceroute: Warning: ebay.com has multiple addresses; using 66.135.205.13
traceroute to ebay.com (66.135.205.13), 64 hops max, 52 byte packets
 1  10.10.100.1 (10.10.100.1)  56.518 ms  2.390 ms  2.082 ms
 2  mo-69-34-118-1.sta.embarqhsd.net (69.34.118.1)  9.943 ms  10.007 ms  10.177 ms
 3  mo-69-68-209-249.dyn.embarqhsd.net (69.68.209.249)  10.976 ms  21.159 ms  10.015 ms
 4  ge-6-20.car1.stlouis1.level3.net (4.53.160.13)  26.562 ms  26.278 ms  25.818 ms
 5  ae-11-11.car2.stlouis1.level3.net (4.69.132.186)  26.393 ms  26.519 ms  79.884 ms
 6  ae-4-4.ebr2.chicago1.level3.net (4.69.132.190)  32.965 ms  26.123 ms  48.123 ms
 7  ae-5-5.ebr2.chicago2.level3.net (4.69.140.194)  27.308 ms  26.784 ms  26.693 ms
 8  ae-2-52.edge4.chicago3.level3.net (4.69.138.166)  27.137 ms  26.473 ms  27.047 ms
 9  chp-brdr-03.inet.qwest.net (63.146.27.17)  26.315 ms  26.329 ms  26.449 ms
10  dvr-edge-13.inet.qwest.net (67.14.24.89)  51.270 ms  51.355 ms  51.134 ms
11  * * *
12  * * *
. . . . .
33  * * *
34  * *^C

答案1

如果您出于防火墙或其他原因阻止某些 ICMP 流量,则跟踪路由无法完全发挥作用。它们通常是 UDP(DNS 查找)和 ICMP 的混合体。

如果您运行traceroute -I yahoo.com或,则traceroute -T yahoo.com应该会看到不同的结果(yahoo.com 对我来说已完成)。这使用 ICMP echo 和 TCP SYN。

traceroute命令的手册页在 Linux 上:

In the modern network environment the traditional traceroute methods can not be always applicable, because of widespread use of firewalls. Such firewalls filter the "unlikely" UDP ports, or even ICMP echoes. To solve this, some additional tracerouting methods are implemented (including tcp), see LIST OF AVAILABLE METHODS below. Such methods try to use particular protocol and source/destination port, in order to bypass firewalls (to be seen by firewalls just as a start of allowed type of a network session).

答案2

Traceroute 使用 ICMP 消息组。每组有 3 个 ICMP 消息。(每组消息中的 HOP 计数增加一)。

通常管理员会阻止 ICMP 数据包来“保护”他们的网络。(主要是为了掩盖网络结构和 DoS)。

这就是你获得星星的原因。

答案3

Tracert 不是用于分析性能问题的工具,而是用于发现特定主机路径的工具。对外部主机运行 tracert 不会透露任何有关您自己网络的信息。

首先通过测量两个内部主机之间的延迟和数据包丢失来查看内部网络。然后在工作站上运行数据包捕获并查找网络拥塞的证据,例如 ARP 泛洪、广播风暴、TCP 重传和重复确认。

相关内容