tracert和traceroute介绍

一、tracert和traceroute简介

相同点：都是用来跟踪路由，帮助排查问题，关注的是过程，而ping关注的是结果

不同点：tracert请求是icmp echo报文

　　　　traceroute请求是UDP的报文，目标端口是30000以上随机端口

二、tracert使用到三种报文

icmp echo request    #icmp Type0,客户端发起报文,traceroute使用udp报文发起
icmp echo replay    #icmp Type 8到了目标地址，未禁ping，回复此报文
icmp time-exceeded  #icmp Type11,经过的路由回复报文(到此路由ttl=1或0回复给客户端)

三、traceroute使用的三种报文

UDP随机端口发起请求    #icmp Type0,客户端发起报文,traceroute使用udp报文发起
icmp time-exceeded  #icmp Type11,经过的路由回复报文(到此路由ttl=1或0回复给客户端) 
icmp unreachable  #icmp Type3(Destination unreachable),到了目标地址，未禁ping，回复此报文

四、tracert原理

1.tracert送出一个TTL是1的ICMP echo request数据包a到目的地
2.当路径上的第一个路由器收到这个数据包a时，它将TTL减1
3.TTL变为0，该路由器会将此数据包丢掉，并送回一个「ICMP time exceeded」消息
4.tracert 收到这个消息后,再送出另一个TTL是2 的数据包，发现第2 个路由器
5.当数据包到达目的地后,目标会送回一个icmp echo reply(前提是目标未禁ping)

ps:tracert 有一个固定的时间等待响应(ICMP TTL到期消息)。如果这个时间过了，它将打印出一系列的*号,表明在这个路径上，这个设备不能在给定的时间内发出ICMP TTL到期消息的响应。

有些时候tracert都是打星号，但是抓包显示icmp time-exceeded（即可知所经路由器），所以以抓包结果为准

五、tracert工具使用

　　用法:

　　tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name

-d                #不将地址解析成主机名。
-h maximum_hops   #设置目标的最大跃点数。
-j host-list      #与主机列表一起的松散源路由(仅适用于 IPv4)。
-w timeout        #等待每个回复的超时时间(以毫秒为单位)。
-R                #跟踪往返行程路径(仅适用于 IPv6)。
-S srcaddr        #要使用的源地址(仅适用于 IPv6)。
-4                #强制使用 IPv4。
-6                #强制使用 IPv6。

六、traceroute工具参数使用

　　用法：

　　traceroute [ -46dFITnreAUDV ] [ -f first_ttl ] [ -g gate,... ] [ -i device ] [ -m max_ttl ] [ -N squeries ] [ -p port ] [ -t tos ] [ -l flow_label ] [ -w waittime ] [ -q nqueries ] [ -s src_addr ] [ -z sendwait ] [ --fwmark=num ] host [ packetlen ]

-d #使用Socket层级的排错功能。

-f first_ttl    #设置第一个检测数据包的存活数值TTL的大小。

-F #设置勿离断位。

-g gate,... #设置来源路由网关，最多可设置8个。

-i device   #使用指定的网络接口送出数据包。

-I #使用ICMP echo request取代UDP请求,即类似使用tracert工具

-T #使用TCP SYN取代UDP请求

-m max_ttl  #设置检测数据包的最大存活数值TTL的大小。

-n  #直接使用IP地址而非主机名称。

-p port #设置UDP传输协议的通信端口,默认33434

-r #忽略普通的Routing Table，直接将数据包送到远端主机上。

-s src_addr #设置本地主机送出数据包的IP地址。

-t tos  #设置检测数据包的TOS数值。

-w waittime #设置等待远端主机回应的时间，默认5s

七、示例演示

　　7.1 禁止设备被tracert，希望对方tracert时打星号

　　以一台思科3850为例，根据上面tracert原理，跟踪到路径的地址是根据回复icmp time-exceeded的源地址得到，因此只要禁止指定的icmp time-exceeded的报文即可达到设备禁止tracert的效果

路径图：PC1-->G2/0/16_A_G2/0/17-->G2/0/16_B_G2/0/17-->G2/0/16_C_G2/0/17-->目标server
假设A设备为CISCO 3850纯当二层设备使用，B设备地址192.168.6.1
(A)#ip access-lists extent test
    10 deny icmp host 192.168.6.1 host 192.168.60.244 ttl-exceeded
    20 permit ip any any
QJ-W-3850-2F#
interface GigabitEthernet2/0/16
 switchport access vlan 60
 switchport mode access
 ip access-group test out


#注意：二层设备也可以应用acl过滤三层地址