Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 2:

Средства уровня операционной системы

traceroute (UNIX) или tracert (Windows): средства диагностики сети

traceroute (UNIX) или tracert (Windows)

Автор/основной контакт: Неизвестен

Web-сайты: http://www.traceroute.org; http://www.tracert.com

Платформы: Большинство платформ UNIX и все платформы Windows

Лицензии: Различные

Справочная информация в UNIX:

Наберите man traceroute в командной строке

Эта команда аналогична ping, но предоставляет намного больше информации об удаленном хосте. По сути, traceroute эхо-тестирует хост, но при отсылке первого пакета устанавливает поле TTL (Time To Live - время жизни) пакета, равным единице. Этот параметр управляет количеством межсетевых переходов, которые может претерпеть пакет, прежде чем прекратить свое существование. Следовательно, первый пакет дойдет только до первого маршрутизатора или машины дальше вашей в Интернет, а затем вернется сообщение о том, что время жизни пакета истекло. Затем посылается следующий пакет с TTL, равным 2 и так далее, пока не будет достигнута цель. Это показывает виртуальный путь (маршрут), которым идут пакеты. Выясняется также имя каждого хоста на пути следования, поэтому можно видеть, как ваш трафик пересекает Интернет. Очень интересно видеть, как пакет, направленный из Хьюстона в Даллас, скачет от восточного до западного побережья, покрывая тысячи миль, чтобы за доли секунды достичь цели.

Это средство полезно, когда вы пытаетесь проследить источник или расположение злоумышленника, следы которого вы обнаружили в своих регистрационных файлах или тревожных сообщениях. Можно проследить маршрут до IP-адреса и кое-что узнать о нем. Результаты могут показать, имеете ли вы дело с домашним пользователем или сотрудником компании, кто является поставщиком Интернет-услуг (которому вы можете подать жалобу на ненадлежащее поведение), какой тип подключения используется и каковы его скоростные характеристики, где территориально он находится (иногда, в зависимости от содержательности промежуточных точек). Листинги 2.1 и 2.2 содержат примеры использования traceroute.

Tracing route to www.example.com (Трассировка маршрута к www.example.com)
over a maximum of 30 hops: (не более чем за 30 переходов)
1 <10 ms <10 ms <10 ms 192.168.200.1
2 40 ms 60 ms 160 ms 10.200.40.1
3 30ms 40ms 100ms gateway.smallisp.net
4 100 ms 120ms 100ms iah-core-03.inet.genericisp.net [10.1.1.1]
5 70 ms 100 ms 70 ms dal-core-03.inet. genericisp.net [10.1.1.2]
6 61 ms 140 ms 70 ms dal-core-02.inet. genericisp.net [10.1.1.3]
7 70 ms 71 ms 150 ms dal-brdr-02. inet. genericisp.net [10.1.1.4]
8 60 ms 60 ms 91 ms 192.168.1.1
9 70 ms 140 ms 100 ms sprintdslcust123.hou-pop.sprint.com [192.168.1.2]
10 101 ms 130 ms 200 ms core-cr7500.example.com [192.168.1.2]
11 180 ms 190 ms 70 ms acmefirewall-hou.example.com [216.32.132.149]
12 110 ms 110 ms 100 ms www.example.com [64.58.76.229]
Trace complete. (Трассировка завершена)
Листинг 2.1. traceroute, пример 1

На листинге 2.1 имена реальных поставщиков Интернет-услуг изменены на вымышленные, но общая идея сохранена. Выполнив эту простую команду, можно понять, что исследуемый IP-адрес принадлежит компании с именем Acme, что это, вероятно, web-сервер, что он установлен в защищаемой межсетевым экраном сети или в демилитаризованной зоне, что в роли поставщика Интернет-услуг выступает Sprint и что он расположен в Хьюстоне. Многие сетевые администраторы и крупные поставщики Интернет-услуг используют географические сокращения или инициалы для именования своих маршрутизаторов, поэтому, глядя на DNS-имена и следуя по цепочке маршрутизаторов, можно прийти к выводу, что hou-pop.sprint.com является маршрутизатором компании Sprint в Хьюстоне.

Tracing route to resnet169-136.plymouth.edu [158.136.169.136] 
(Трассировка маршрута к resnet169-136.plymouth.edu)
Over a maximum of 30 hops: (не более чем за 30 переходов)
1 <1 ms <1 ms 192.168.200.1
2 12 ms 7 ms 8 ms 10.200.40.1
3 26 ms 28 ms 11 ms iah-edge-04.inet.qwest.net [63.237.97.81]
4 37 ms 15 ms 12 ms iah-core-01.inet.qwest.net [205.171.31.21]
5 51 ms 49 ms 47 ms dca-core-03.inet.qwest.net [205.171.5.185]
6 52 ms 55 ms 65 ms jfk-core-03.inet.qwest.net [205.171.8.217]
7 73 ms 63 ms 58 ms jfk-core-01.inet.qwest.net [205.171.230.5]
8 94 ms 67 ms 55 ms bos-core-02.inet.qwest.net [205.171.8.17]
9 56 ms 56 ms 60 ms bos-brdr-01.ip.qwest.net [205.171.28.14]
10 64 ms 63 ms 61 ms 63.239.32.230
10 67 ms 59 ms 55 ms so-7-0-0-0.core-rtr1.bos.verizon-gni.net [130.81.4.181]
11 56 ms 61 ms 62 ms so-0-0-1-0.core-rtr1.man.verizon-gni.net [130.81.4.198]
12 58 ms 59 ms 57 ms so-0-0-0-0.core-rtr2.man.verizon-gni.net [130.81.4.206]
13 59 ms 57 ms 64 ms a5-0-0-732.g-rtr1.man.verizon-gni.net [130.81.5.126]
15 74 ms 62 ms 61 ms 64.223.133.166
16 68 ms 67 ms 68 ms usnh-atm.inet.plymouth.edu [158.136.12.2]
17 80 ms 2968 ms 222 ms xhyd04-3.plymouth.edu [158.136.3.1]
18 75 ms 2337 ms 227 ms xspe04-2.plymouth.edu [158.136.2.2]
19 74 ms 65 ms 72 ms resnet169-136.plymouth.edu [158.136.169.136]
Trace complete. (Трассировка завершена)
Листинг 2.2. traceroute, пример 2

Из примера трассировки на листинге 2.2 можно заключить, что рассматриваемый IP-адрес, вероятно, используется студентом Плимутского государственного университета (Плимут, Нью-Хемпшир). Как это можно узнать? Прежде всего, завершающее доменное имя обозначает шлюз. Если проследить маршрут, то он идет от bos (Boston) до man (Manchester), затем к plymouth.edu.; .edu означает, что это университет. Это была догадка на основе опыта, но ее можно проверить, посетив web-сайт plymouth.edu. Далее, выясненным именем хоста является resnet169-136. Имя подсказывает, что это сеть студенческого общежития (студенческих резиденций).

Можно видеть, что иногда толкование результатов трассировки напоминает расследование, являясь скорее искусством, чем наукой, но со временем вы узнаете больше и станете лучше понимать, что означает каждое сокращение.

Трассировка дает много информации для преследования лица, использовавшего данный IP-адрес как исходную точку вторжения или атаки. В примере на листинге 2.1 можно пойти на web-сайт компании, чтобы найти основной контактный адрес. Можно подать жалобу поставщику Интернет-услуг. Крупные поставщики Интернет-услуг обычно предоставляют специальный адрес электронной почты или контактный телефон для жалоб и контролируют соблюдение клиентами условий договора на обслуживание. Альтернативный вариант - воспользоваться следующей командой, whois, чтобы выяснить технические контактные координаты организации.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Гончик Цымжитов
Гончик Цымжитов
Россия, Санкт-Петербург
Александр Косенко
Александр Косенко
Украина, Днепропетровск