Почему traceroute не работает для amazon.com, yahoo.com и ebay.com?

13

Устраняя проблемы с производительностью в нашей сети, я работал tracerouteна разных сайтах. Следующие сайты будут неоднократно не завершены traceroute:

  • yahoo.com
  • amazon.com
  • ebay.com

Вопросов

  • Эти сайты защищают свою сеть так, что tracerouteне могут завершить?
  • Я предполагаю, что это основано на сетях этих веб-сайтов и не связано с проблемами производительности нашей сети. Это безопасное предположение?

Пример трассировки для ebay.com

$ traceroute ebay.com
traceroute: Warning: ebay.com has multiple addresses; using 66.135.205.13
traceroute to ebay.com (66.135.205.13), 64 hops max, 52 byte packets
 1  10.10.100.1 (10.10.100.1)  56.518 ms  2.390 ms  2.082 ms
 2  mo-69-34-118-1.sta.embarqhsd.net (69.34.118.1)  9.943 ms  10.007 ms  10.177 ms
 3  mo-69-68-209-249.dyn.embarqhsd.net (69.68.209.249)  10.976 ms  21.159 ms  10.015 ms
 4  ge-6-20.car1.stlouis1.level3.net (4.53.160.13)  26.562 ms  26.278 ms  25.818 ms
 5  ae-11-11.car2.stlouis1.level3.net (4.69.132.186)  26.393 ms  26.519 ms  79.884 ms
 6  ae-4-4.ebr2.chicago1.level3.net (4.69.132.190)  32.965 ms  26.123 ms  48.123 ms
 7  ae-5-5.ebr2.chicago2.level3.net (4.69.140.194)  27.308 ms  26.784 ms  26.693 ms
 8  ae-2-52.edge4.chicago3.level3.net (4.69.138.166)  27.137 ms  26.473 ms  27.047 ms
 9  chp-brdr-03.inet.qwest.net (63.146.27.17)  26.315 ms  26.329 ms  26.449 ms
10  dvr-edge-13.inet.qwest.net (67.14.24.89)  51.270 ms  51.355 ms  51.134 ms
11  * * *
12  * * *
. . . . .
33  * * *
34  * *^C
security networking Мэтью Ранкин
источник

Ответы:

16

Если вы блокируете некоторый трафик ICMP по брандмауэру или по любой другой причине, то трассировки маршрута не будут работать полностью. Обычно это смесь UDP (поиск DNS) и ICMP.

Если вы запустите traceroute -I yahoo.comили traceroute -T yahoo.comвы должны увидеть другие результаты (yahoo.com завершает для меня). Это использует эхо ICMP и SYN TCP.

От tracerouteкомандования страницы человека на Linux:

In the modern network environment the traditional traceroute methods can not be always applicable, because of widespread use of firewalls. Such firewalls filter the "unlikely" UDP ports, or even ICMP echoes. To solve this, some additional tracerouting methods are implemented (including tcp), see LIST OF AVAILABLE METHODS below. Such methods try to use particular protocol and source/destination port, in order to bypass firewalls (to be seen by firewalls just as a start of allowed type of a network session).

Джонатан Росс
источник
Некоторые версии traceroute могут не поддерживать -Tфлаг, однако многие поддерживают -P [protocol]флаг. На FreeBSD 8 трассировку понимает UDP, TCP, GREдрам ICMP(и может установить поле протокола для любого действительного протокола IP, хотя содержимое пакета не может быть полезным / нормальными.)
voretaq7
15

Traceroute использует группы сообщений ICMP. у каждого есть 3 сообщения ICMP. (Увеличение числа HOP на единицу в каждой группе сообщений).

Обычно администраторы блокируют пакеты ICMP, чтобы «защитить» свою сеть. (в основном, чтобы скрыть структуру сети и DoS).

Вот почему вы получаете звезды.

Амирали Санатиния
источник
0

Tracert - это не инструмент для анализа проблем с производительностью, а инструмент для определения пути к конкретному хосту. Запуск tracert для внешнего хоста ничего не говорит о вашей собственной сети.

Начните с просмотра внутренней сети, измеряя задержку и потерю пакетов между двумя внутренними хостами. Затем запустите захват пакетов на своей рабочей станции и найдите свидетельства перегрузки сети, такие как затопление ARP, широковещательные штормы, повторные передачи TCP и дублированные подтверждения.

joeqwerty
источник
Спасибо за информацию. Я должен был уточнить, что наши проблемы с производительностью в основном связаны с доступом к внешним веб-сайтам. Я говорю «в основном», потому что у нас много проблем, связанных с сетью. Я исключил наш один большой домен коллизий из-за использования концентраторов, заменив 3 или 4 концентратора коммутаторами. Наш DSL-провайдер признал, что в нашем регионе недостаточно меди, учитывая потребности клиентов (мы находимся в маленьком городке, и у нас есть единственная возможность использовать ISP). Поэтому я пытаюсь улучшить нашу внутреннюю сеть, а также собираю данные, чтобы доказать провайдеру, что у них есть проблема.
Мэтью Ранкин
Хорошо, но опять же, tracert не является правильным инструментом и отслеживанием для Google, и это не очень поможет, потому что, как только трафик уходит от вашего интернет-провайдера, они ничего не могут с этим поделать. Вы должны быть обеспокоены связью между вами и провайдером. Войдите в свой DSL модем, выясните, что это за DG, и запустите pathping от вас туда. Затем запустите tracert для Google, чтобы определить последний прыжок в вашей сети Интернет-провайдера, и запустите путь от вас к нему. Предоставьте эти результаты своему провайдеру и посмотрите, что они скажут.
Joeqwerty