Traceroute是一种常规的网络分析工具,用来定位到目标主机之间的所有路由器。基本的原理是IP路由过程中对数据包TTL(Time to Live,存活时间)的处理。当路由器收到一个IP包时,会改动IP包的TTL(头部检验和checksum变化)。每收到一个包,检查这个 的TTL是否是0或非0,为0时即进行丢弃,不再进行转发。
Traceroute目前有两种实现方法,即基于UDP和ICMP。基于UDP的实现一般是在linux环境下,即网络设备;而基于ICMP的一般为windows环境,大多是终端设备。
在客户端输入 traceroute ip, 客户端就发起一个UDP报文,使用一个大于30000的端口号(选这么端口号,目的端一般都是未使用,到达目标主机后就收到一个端口不可达信息。),一般从33434端口开始。目标主机收到这个UDP报文后就会返回ICMP端口不可达的错误信息。同时,第一个数据包,TTL=1,这样第一跳路由器收到后,要转发出去时,会将TTL减一,即TTL=0, 就丢弃,然后第一跳路由器就返回一个ICMP超时的错误信息,所以,客户端通过判断收到ICMP端口不可达报文来确定数据包已到达目的地,如果是收到ICMP超时错误信息报文,说明还没到达目的地,就会将TTL加1,继续发送UDP报文,以此类推。
ICMP报文类型
ICMP端口不可达报文
ICMP超时报文
下面根据一个例子介绍基于UDP的traceroute原理
如上图所示,traceroute 10.20.25.142经过一个路由(网关)便找到了目标主机,下面对报文进行分析。
刚开始会发送以33434为目的端口的UDP报文,且连续发送多个,每三个UDP报文的TTL值相同,即前三个UDP报文的TTL值为1,后面三个的UDP报文的TTL依次加1,以此类推。
在10.20.73.254路由收到TTL值为1后,会将TTL值减去1,此时10.20.73.254不是目标主机,因此会发送三个ICMP超时报文给客户端,且ICMP携带的UDP报文中的目的端口依次为33434/33435/33436。
因此,客户端会进行记录10.20.73.254为到达目标主机的其中一条路由。
由于刚开始客户端发送多个UDP报文,所以TTL=2的UDP报文会继续进行探测,寻找目标主机。
在10.20.73.254收到TTL=2的报文后,会将TTL减1,此时TTL值为非0,因此会继续转发,此时10.20.73.254可以找到目标主机10.20.25.142,因此目标主机会收到三个TTL值为1的UDP报文,但此时端口没有在使用,因此会回三个端口不可达的报文。此时端口为33437/33438/33439。
此时客户端收到端口不可达报文,即确认找到了目标主机。
由于路由和目标主机回复报文的延时误差,因此会出现目标主机回复客户端比路由回复的ICMP报文快。且由于发送多个UDP报文,因此可能会出现目标主机二次回复ICMP端口不可达的报文,但不会出现太多。可根据接收ICMP超时报文和端口不可达报文的目的端口号来判断相关路由的具体位置。
由此确认10.20.73.166到目标主机10.20.25.142的路径为
ICMP实现traceroute是根据回显请求和回显应答这两种报文。原理跟前面介绍UDP差不多,换汤不换药。都是根据TTL值来判断是否进行转发,TTL值为0不再转发,进行丢弃,非0即进行转发,继续寻找目标主机。找不到目标主机时,路由会发送ICMP超时报文给客户端;在确认找到目标主机后,目标主机会回复Echo reply回显应答报文。和UDP报文原理类似,客户端发送和接收的ICMP报文也是以3个报文共同一个TTL值来处理的。
下面使用一个简单的例子进行介绍基于ICMP的traceroute原理
windows环境下的traceroute命令为tracert,即tracert ip。
客户端会发送3个回显请求报文(Echo request),此时携带的TTL值为1。
20.20.55.254收到TTL为1的ICMP报文后,会将TTL值减1。此时TTL值为0,即不再转发,进行丢弃,并回复客户端一个ICMP超时报文。
ICMP是发送一个接收一个报文,不是连续的发送3个接收3个报文。
客户端在收到ICMP超时报文后,发现目标主机并未发现,于是将TTL值加1,继续发送ICMP回显请求报文。
此时20.20.55.254收到TTL为2的报文,将TTL减1后,TTL值非0,于是继续转发。20.20.136.49收到了客户端的回显请求报文,则回复回显应答报文(Echo reply)。由于ICMP还是继续以3个报文为单位发送和接收的,因此目标主机回复3个回显应答报文给客户端。客户端收到后,则发现已经找到了目标主机,因此不再发送回显请求报文。
因此,在接收到回显应答报文对应的请求报文中,根据TTL值即可判断经过了多少个路由,便可绘制出客户端到目标主机的相关路径。
有些数据包已经到达目标服务器了,但是因为安全问题大部分的应用服务器都不提供UDP服务(或者被防火墙挡掉),所以我们拿不到服务器的任何返回,因此中间路径会丢失,traceroute理所当然的认为还没有结束,一直尝试增加数据包的TTL,但增加到一定值后便不再增加,默认为30。
目录0专栏介绍1平面2R机器人概述2运动学建模2.1正运动学模型2.2逆运动学模型2.3机器人运动学仿真3动力学建模3.1计算动能3.2势能计算与动力学方程3.3动力学仿真0专栏介绍?附C++/Python/Matlab全套代码?课程设计、毕业设计、创新竞赛必备!详细介绍全局规划(图搜索、采样法、智能算法等);局部规划(DWA、APF等);曲线优化(贝塞尔曲线、B样条曲线等)。?详情:图解自动驾驶中的运动规划(MotionPlanning),附几十种规划算法1平面2R机器人概述如图1所示为本文的研究本体——平面2R机器人。对参数进行如下定义:机器人广义坐标
网站的日志分析,是seo优化不可忽视的一门功课,但网站越大,每天产生的日志就越大,大站一天都可以产生几个G的网站日志,如果光靠肉眼去分析,那可能看到猴年马月都看不完,因此借助网站日志分析工具去分析网站日志,那将会使网站日志分析工作变得更简单。下面推荐两款网站日志分析软件。第一款:逆火网站日志分析器逆火网站日志分析器是一款功能全面的网站服务器日志分析软件。通过分析网站的日志文件,不仅能够精准的知道网站的访问量、网站的访问来源,网站的广告点击,访客的地区统计,搜索引擎关键字查询等,还能够一次性分析多个网站的日志文件,让你轻松管理网站。逆火网站日志分析器下载地址:https://pan.baidu.
一、机器人介绍 此处是基于MATLABRVC工具箱,对ABB-IRB-1200型号的微型机械臂进行正逆向运动学分析,并利Simulink工具实现对机械臂进行具有动力学参数的末端轨迹规划仿真,最后根据机械模型设计Simulink-Adams联合仿真。 图1.ABBIRB 1200尺寸参数示意图ABBIRB 1200提供的两种型号广泛适用于各作业,且两者间零部件通用,两种型号的工作范围分别为700 mm 和 900 mm,大有效负载分别为 7 kg 和5 kg。 IRB 1200 能够在狭小空间内能发挥其工作范围与性能优势,具有全新的设计、小型化的体积、高效的性能、易于集成、便捷的接
目录一.大致如下常见问题:(1)找不到程序所依赖的Qt库version`Qt_5'notfound(requiredby(2)CouldnotLoadtheQtplatformplugin"xcb"in""eventhoughitwasfound(3)打包到在不同的linux系统下,或者打包到高版本的相同系统下,运行程序时,直接提示段错误即segmentationfault,或者Illegalinstruction(coredumped)非法指令(4)ldd应用程序或者库,查看运行所依赖的库时,直接报段错误二.问题逐个分析,得出解决方法:(1)找不到程序所依赖的Qt库version`Qt_5'
我想使用ruby-prof和JMeter分析Rails应用程序。我对分析特定Controller/操作/或模型方法的建议方法不感兴趣,我想分析完整堆栈,从上到下。所以我运行这样的东西:RAILS_ENV=productionruby-prof-fprof.outscript/server>/dev/null然后我在上面运行我的JMeter测试计划。然而,问题是使用CTRL+C或SIGKILL中断它也会在ruby-prof可以写入任何输出之前杀死它。如何在不中断ruby-prof的情况下停止mongrel服务器? 最佳答案
文章目录认识unity打包目录结构游戏逆向流程Unity游戏攻击面可被攻击原因mono的打包建议方案锁血飞天无限金币攻击力翻倍以上统称内存挂透视自瞄压枪瞬移内购破解Unity游戏防御开发时注意数据安全接入第三方反作弊系统外挂检测思路狠人自爆实战查看目录结构用il2cppdumper例子2-森林whoishe后记认识unity打包目录结构dll一般很大,因为里面是所有的游戏功能编译成的二进制码游戏逆向流程开发人员代码被编译打包到GameAssembly.dll中使用il2ppDumper工具,并借助游戏名_Data\il2cpp_data\Metadata\global-metadata.dat
在笔者前面有一篇文章《驱动开发:断链隐藏驱动程序自身》通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到MiProcessLoaderEntry的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。MiProcessLoaderEntry(pDriverObject->DriverSection,1)添加MiProcessLoaderEntry(pDriverObject->DriverSection,
目录1. 研究范围定义2. 流程中台市场分析3. 厂商评估:微宏科技4. 入选证书 1. 研究范围定义近年来,随着外部市场环境快速变化、客户需求愈发多样,企业逐渐意识到,自身业务需要更加敏捷、高效,具备根据市场需求快速迭代的能力。业务流程的自动化能够帮助企业实现业务的敏捷高效,因此受到越来越多企业的关注。企业的“自动化武器库”品类丰富,包括低/零代码平台、RPA、BPM、AI等。企业可以使用多项自动化工具,但结果往往是各项自动化工具处于各自的“自动化烟囱”之中,仅能实现碎片式自动化。例如,某企业的IT团队可能在使用低代码平台、财务团队可能在使用RPA、呼叫中心则可能在使用聊天机器人。自动
前言 Slowloris攻击是我在李华峰老师的书——《MetasploitWeb 渗透测试实战》里面看的,感觉既简单又使用,现在这种攻击是很容易被防护的啦。不过我也不敢真刀实战的去试,只是拿个靶机玩玩罢了。 废话还是写在结语里面吧。(划掉)结语可以不看(划掉)Slowloris攻击的原理 Slowloris是一种资源消耗类DoS攻击,它利用部分HTTP请求进行操作。也叫做慢速攻击,这里的慢速并不是说发动攻击慢,而是访问一条链接的速度慢。Slowloris攻击的功能是打开与目标Web服务器的连接,然后尽可能长时间的保持这些连接打开。如果由多台电脑同时发起Slo
我可以使用什么来分析1.9.2中的代码?我发现所有版本的ruby-prof都针对1.9.2存在段错误。例如,当我添加gem"ruby-prof"到我的Rails项目的Gemfile并运行bundlebundleexecruby-profconfig/environment.rb我遇到段错误。城里有新的分析gem吗?有没有办法让ruby-prof玩得很好? 最佳答案 不确定它是否有帮助,但我偶然发现了这一点,它可能会增加一点清晰度或引导您走上不同的道路:http://www.devheads.net/development/r
