tcptraceroute: Hop antwortet nicht

tcptraceroute: Hop antwortet nicht

Soweit ich weiß, ist dies tcptraceroutedas beste Tool, um zu prüfen, ob eine Firewall die TCP-Verbindung zu einem Dienst blockiert. (Wenn Sie ein besseres Tool kennen, hinterlassen Sie bitte einen Kommentar.)

Einige Hops antworten nicht. Siehe* * *

remotehost:~ # tcptraceroute ftp.example.com ftp
Selected device eth0, address 10.172.19.11, port 40768 for outgoing packets
Tracing the path to ftp.example.com (10.101.7.124) on TCP port 21 (ftp), 30 hops max
 1  * * *
 2  172.18.56.12  0.407 ms  0.222 ms  0.230 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  10.102.1.1  32.017 ms  31.728 ms  31.486 ms
 8  * * *
 9  10.101.7.124 [open]  31.728 ms  32.391 ms  33.549 ms

Gibt es einBegrifffür das Verhalten dieses Hopfens?

Wie rufe ich dies auf, wenn der Hop nicht antwortet und ich dies * * *in der Ausgabe sehe?

(Leider habe ich keine 300 Reputationen und kann den neuen Tag "tcptraceroute" nicht erstellen)

Hintergrund: Ich möchte den Leuten, die für das Netzwerk verantwortlich sind, sagen, dass sie Router verwenden sollten, die JETZT-FEHLER-MIR-DER-ZAUBERBEGRIFF erfüllen.

Antwort1

Es gibt dafür kein genaues Wort, aber um Ihnen den Dialog mit den Netzwerkverwaltern zu erleichtern, könnten Sie sich CoPP (Control Plane Policing) ansehen.

Beachten Sie, dass das Gerät möglicherweise nicht so eingestellt ist, dass diese Pakete abgelehnt werden, sondern nur eine Ratenbegrenzung aufweist. Wenn Sie also eine Antwort wünschen, können Sie das Gerät bitten, bestimmte IPs von der Ratenbegrenzung auszuschließen oder die Begrenzung für alles zu erhöhen, falls dies gewünscht wird.

Ich möchte Sie warnen, dass es schwierig werden könnte, das Netzwerkteam dazu zu bringen, diese Änderungen vorzunehmen, da sie dazu dienen, das Gerät vor DoS-Angriffen oder einer Überlastung der Steuerebene durch normalen Gebrauch zu schützen.

AusCisco-DokumenteIm Folgenden sind einige der Auswirkungen aufgeführt, die bei einer Überlastung der Steuerebene auftreten können:

  • Reduzierte Servicequalität (z. B. schlechter Sprach-, Video- oder kritischer Anwendungsverkehr)
  • Hohe CPU-Auslastung des Route-Prozessors oder Switch-Prozessors
  • Routen-Flaps aufgrund des Verlusts von Routing-Protokoll-Updates oder Keepalives
  • Instabile Layer-2-Topologie
  • Langsame oder nicht reagierende interaktive Sitzungen mit der CLI
  • Erschöpfung der Prozessorressourcen, wie Speicher und Puffer
  • Wahlloses Verwerfen eingehender Pakete

Antwort2

Wie bereits in den Kommentaren erwähnt, gibt es darauf keine wirkliche Antwort (ich fühle mich also ein bisschen albern, wenn ich das hier schreibe, aber es würde zu lang für einen Kommentar werden). Was Sie sehen, ist lediglich, dass tcptraceroutekeine Antwort vom Hop zurückgekommen ist. Dafür gibt es keinen Begriff, es ist einfach die Art und Weise, wie Traceroute konzipiert wurde. Wenn der Hop nicht auf die ICMP-Anforderung antwortet, erhalten Sie eine *Antwort, was bedeutet, dass nichts zurückgegeben wurde, sodass eine Antwort in Form einer Ping-Antwortzeit nicht ermittelt werden konnte.

Kommen wir also zu Ihrem Hintergrund:

Den Leuten, die für das Netzwerk verantwortlich sind, möchte ich sagen, dass sie Router verwenden sollten, die JETZT-FEHLER-MIR-DER-ZAUBERBEGRIFF erfüllen.

Sagen Sie ihnen einfach, dass ihre Router ICMP-Anfragen blockieren sollen, und voilà, sie werden mit wenigen Worten verstehen, was Sie meinen. Auch, weil es nicht so sehr eine Funktion, sondern eine Einstellung ist. Sie „verwenden also keine Router, die ICMP-Anfragen blockieren“, sondern weisen sie an, dies zu tun (es mag zwar die Standardeinstellung sein, aber es ist trotzdem eine Einstellung). Die für das Netzwerk Verantwortlichen sollten das wissen.

verwandte Informationen