cutimage - Fotolia

Mit Traceroute Netzwerkprobleme lösen

Traceroute beziehungsweise Tracert kann mehr als Sie vielleicht denken. Erfahren Sie, wie Sie das Tool bei der Fehlersuche im Netzwerk verwenden.

Die meisten Netzwerkprofis haben gelernt, wie man Traceroute einsetzt. Viele Netzwerk-Administratoren haben aber noch nicht die volle Leistungsfähigkeit von Traceroute als eines der wichtigsten Tools zur Fehlerbehebung erkannt. Traceroute ist ein Paketverfolgungswerkzeug, das für die meisten Betriebssysteme verfügbar ist. Es kann wesentlich mehr als viele Anwender vermuten. Netzwerk-Administratoren können es etwa verwenden, um falsche Routen oder Traffic Redirects zu erkennen. Angreifer mögen Traceroute auch dazu einsetzen, um einen Pfad aufzulisten und um Firewalls zu erkennen.

Wenn Sie verstehen, wie man Traceroute verwendet, kann Ihnen das helfen, die Anzahl der Netzwerke, Hops (Abschnitte), Geräte und Standorte zwischen der Quelle und dem Zielgerät zu identifizieren. Traceroute funktioniert mithilfe des TTL-Felds (Time-to-Live) im IP-Header. Jeder Router, der ein IP-Paket verarbeitet, reduziert den TTL-Wert um Eins. Wenn der TTL-Wert von Null erreicht ist, wird das Paket verworfen und eine Zeitüberschreitung vom Nachrichtentyp 11 gemäß Internet Control Message Protocol (ICMP) erstellt, um die Quelle über den Fehler zu informieren. Linux traceroute nutzt das User Datagram Protocol (UDP). Windows verwendet ICMP und den Befehl tracert.

So arbeitet Traceroute für Sie

Nehmen wir als Beispiel an, dass es normalerweise sieben Hops aus einem Büro in Houston zur Zentrale in New York gibt. Aber eines Tages beschweren sich die Anwender in der Firma über den extrem langsamen Netzwerkverkehr. Nachdem Sie Traceroute ausführen, stellen Sie fest, dass es jetzt 14 Hops sind und Ihre Netzwerkpakete nach New York über China gehen. Das kann auf irgendeine Art von Problem hinweisen. Ihre Pakete nehmen einen anderen Weg als üblich, was eventuell auf ein normales Netzwerkproblem hinweist. Es könnte aber auch ein Angreifer den BGP-Routing-Standard (Border Gateway Protocol) manipuliert haben und den Traffic möglicherweise umleiten. Schauen wir uns ein Beispiel für eine einfache Windows-Traceroute mit dem Ziel www.example.com an, beginnend mit dem dritten Hop.

C:\Users\user>tracert www.example.com

Routenverfolgung zu www.example.com [93.184.216.34] über maximal 30 Abschnitte:

  3    14 ms    15 ms    16 ms  cr.den.twtelecom.net [64.129.248.110]

  4    18 ms    19 ms    29 ms  dllstxrnds1 [12.122.85.233]

  5    18 ms    17 ms    17 ms  ae-2-52.dllstx04.us.bb.gin.ntt.net [129.250.8.237]

  6    44 ms    18 ms    17 ms  ae-0.edgecast.dllstx04.us.bb.gin.ntt.net [129.250.196.130]

  7    18 ms    17 ms   114 ms  93.184.216.34

Ablaufverfolgung beendet.

Jede nummerierte Zeile im vorhergehenden Traceroute-Beispiel repräsentiert einen Hop. Standardmäßig geht Traceroute bis zu 30 Hops, kann jedoch mit der Option -h anders konfiguriert werden. Traceroute verwendet ein Standard-Zielport, der bei 33434 beginnt. Windows-tracert sendet eine Serie von drei Probes pro Hop. Bei Erreichen des ersten Routers (hier eine Firewall) wird der TTL-Wert des Pakets auf 0 heruntergezählt, was eine Zeitüberschreitung-Fehlermeldung vom Typ 11 hervorruft. Diese Nachricht wird an den Sender zurückgegeben, um anzuzeigen, dass das Paket nicht den Remote-Host erreicht hat. Als nächstes erhöht Windows den TTL-Wert auf 2. Dieser Prozess wird fortgesetzt, bis wir das in Zeile 7 dargestellte Ziel erreicht haben. Da es sich hier um den letzten Hop handelt, gibt das Ziel entweder eine normale ICMP-Ping-Antwort (unter Windows) oder eine ICMP-Typ-3-Nachricht Ziel nicht erreichbar (falls Linux verwendet wird).

Mit Traceroute den physischen Standort von Routern bestimmen

Was können wir noch mit Traceroute erkennen, das seine Rolle als eines der vielseitigsten Netzwerk-Tools zur Fehlerbehebung belegt? Es ist der physische Standort der Router, die die Pakete auf der Durchreise passieren. Die beiden am häufigsten verwendeten Ortskennungen (Location Identifier) sind IATA-Codes (International Air Transport Association) und CLLI-Codes (Common Language Location Identifier). Das ist eine standardisierte Methode, die die physischen Standorte der wichtigsten Hardware von Telko- und Carrier-Switching-Einrichtungen lokalisiert. Sie werden IATA-Codes sicher leicht erkennen, wenn Sie schon einmal geflogen sind. Zeile 3 zeigt den, was der IATA-Code für Denver (DEN) ist. Ein Beispiel für eine CLLI Code erscheint in Zeile 4 der Traceroute. Es gibt einen Ort von Dallas an.

Dieser besondere Hop zeigt folgendes: dlls = Dallas, tx = Texas, rn = ein Büro in Richardson und ds1 = der zweite digitale Telefonswitch am Richardson-Standort.

Eine letzte Information, die Sie aus einer Traceroute bestimmen können, sind der Gerätetyp und -Port, die Ihre Verbindung durchläuft. Zum Beispiel liefert Zeile 5 der Traceroute die folgenden Informationen:

ae-2-52.dllstx04.us.bb.gin.ntt.net

Das Namensformat ae-#-# kennzeichnet wahrscheinlich ein Juniper-Gerät, Ethernet Bundle in Slot 2, Port 52.

Hoffentlich haben diese Beispiele Ihnen einige der nützlichen Informationen gezeigt, die von einer einfachen Traceroute gewonnen werden können. Nicht jeder folgt einer exakten Namenskonvention, aber mit ein wenig Arbeit können Sie so viele nützliche Informationen sammeln. Diese Daten können für die Verteidigung des Netzwerks wertvoll sein. Aber auch Angreifern ermöglicht es, Ihre Infrastruktur aufschlüsseln.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksoftware

ComputerWeekly.de
Close