ADMIN-Tipp: Traceroute mit TCP

Jede Woche erscheint in unserem Newsletter ein neuer ADMIN-Tipp. Eine Sammlung aller Tipps finden Sie im Archiv der ADMIN-Tipps.

Dank um sich greifender Paranoia werden viele Kontrollpakete im Internet heute weggefiltert. Im TCP-Modus funktioniert Traceroute trotzdem. 

Gelegentlich liest man in Anleitungen zum sicheren Betrieb von Servern, es sei ratsam, etwa die ICMP-Antworten auszuschalten, um den Rechner nicht per Ping auffindbar zu machen. Das ist nur scheinbare Security, denn zielstrebige Hacker würden ihn in jedem Fall auch so entdecken.

Das Abschalten von Kontrollpaketen an Rechnern und Routern führt aber dazu, dass gewohnte Tools auf einmal nicht mehr funktionieren wie erwartet. Neben Ping betrifft das beispielsweise Traceroute, das den Netzwerkpfad zwischen zwei Rechnern ermittelt und ausgibt. Das Ergebnis sieht dann so aus:

$ traceroute zbigz.com
traceroute to zbigz.com (78.46.79.201), 30 hops max, 60 byte packets
...
 7 gw-hetzner.init7.net (77.109.135.102) 12.395 ms 12.395 ms 12.474 ms
 8 hos-bb2.juniper2.rz12.hetzner.de (213.239.240.156) 15.325 ms 15.330 ms 15.352 ms
 9 hos-tr3.ex3k3.rz12.hetzner.de (213.239.228.196) 16.568 ms hos-tr4.ex3k3.rz12.hetzner.de (213.239.228.228) 18.166 ms 17.972 ms
10 * * *
11 * * *
12 * * *

Beim zehnten "Hop" ist also Schluss und die weitere Strecke bleibt im Dunkeln. Abhilfe schafft unter Linux die Option "-T" des Traceroute-Kommandos. Statt ICMP-ECHO- schickt der Befehl nun TCP-SYN-Pakete, die im Normalfall selbst von restriktiven Firewalls durchgelassen werden müssen. Traceroute muss nun allerdings mit Root-Rechten aufgerufen werden:

# traceroute -T zbigz.com
...
 7 gw-hetzner.init7.net (77.109.135.102) 13.033 ms 12.316 ms 12.371 ms
 8 hos-bb2.juniper2.rz12.hetzner.de (213.239.240.156) 15.013 ms 15.032 ms 14.934 ms
 9 hos-tr4.ex3k3.rz12.hetzner.de (213.239.228.228) 17.116 ms 17.129 ms hos-tr3.ex3k3.rz12.hetzner.de (213.239.228.196) 17.258 ms
10 static.201.79.46.78.clients.your-server.de (78.46.79.201) 15.120 ms 15.182 ms 15.048 ms

Auf BSD-Systemen und Mac OS X lautet der passende Aufruf "traceroute -P TCP". Alternativ gibt es auch ein eigenständiges Programm namens "tcptraceroute", das sich auf die Aufgabe spezialisiert hat. 

26.03.2013

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018