Почему не работает ping -j
?
Свободная маршрутизация от источника, указанная с помощью ping -j
, tracert -j
или pathping -g
, может использоваться для указания системы, через которую должны пройти пакеты, прежде чем перейти к месту назначения.
Однако исходная маршрутизация имеет большой потенциал для злоупотреблений (см. Далее), и поэтому большинство сетевых администраторов блокируют все пакеты с маршрутизацией от источника на своих пограничных маршрутизаторах.
Таким образом, на практике Loose Source Routes не будут работать.
Это вызывает сожаление, так как возможность увидеть обратный маршрут (что можно сделать с помощью маршрутизации по источнику) была бы очень полезна при использовании tracert
и pathping
для диагностики сетевых проблем.
- Нормальный и обратный маршруты могут быть (и часто) совершенно разными ("асимметричными").
- Если они различаются, проблема в соединении может быть проблемой либо с маршрутом к цели, либо с маршрутом обратно от цели.
- Проблема, отраженная в выходных данных Traceroute, на самом деле может не относиться к очевидной системе в трассировке; скорее это может быть с какой-то другой системой на обратном пути назад от системы, которая, судя по трассировке, является причиной проблемы.
Сам обратный путь полностью невидим в обычном выводе Traceroute.
В «Опасностях исходной маршрутизации» есть интересная статья, объясняющая риски, связанные с «свободной маршрутизацией».
Что такое исходная маршрутизация?
Маршрутизация источника - это метод, с помощью которого отправитель пакета может указать маршрут, который пакет должен пройти через сеть.
Помните, что при прохождении пакета через сеть каждый маршрутизатор проверяет «IP-адрес назначения» и выбирает следующий прыжок для пересылки пакета. При маршрутизации от источника "источник" (т.е. отправитель) принимает некоторые или все эти решения
При строгой маршрутизации от источника отправитель указывает точный маршрут, по которому должен пройти пакет. Это практически никогда не используется.
Более распространенной формой является свободный маршрут записи источника (LSRR), в котором отправитель дает один или несколько переходов, через которые должен пройти пакет.
LSRR может использоваться многими способами для взлома. Иногда машины будут в Интернете, но не будут доступны. (Это может быть частный адрес, например 10.0.0.1). Однако может быть какая-то другая машина, доступная для обеих сторон, которая пересылает пакеты.
Затем кто-то может получить доступ к этой частной машине из Интернета, перенаправив источник через эту промежуточную машину.
Маршрутизация источника
Следует ли отключить маршрутизацию источника?
Маршрутизаторы Cisco обычно принимают и обрабатывают исходные маршруты. Если сеть не зависит от этого, маршрутизация источника должна быть отключена.
Исходная маршрутизация - это метод, с помощью которого отправитель пакета может указать маршрут, по которому пакет должен пройти через сеть. Когда пакет проходит через сеть, каждый маршрутизатор проверяет IP-адрес назначения и выбирает следующий прыжок для пересылки пакета. При маршрутизации от источника "источник" (т. Е. Отправитель) принимает некоторые или все эти решения.
Злоумышленники могут использовать исходную маршрутизацию для проверки сети, форсируя пакеты в определенные части сети. Используя исходную маршрутизацию, злоумышленник может собирать информацию о топологии сети или другую информацию, которая может быть полезна при выполнении атаки. Во время атаки злоумышленник может использовать исходную маршрутизацию для направления пакетов в обход существующих ограничений безопасности.
Маршрутизация IP-источника источника включена для маршрутизатора (CiscoIpsourceRoutingEnabled)
Что такое обратный маршрут?
Любое соединение через Интернет на самом деле зависит от двух маршрутов: маршрута от вашей системы до сервера и маршрута от этого сервера обратно к вашей системе. Эти маршруты могут быть (и часто) совершенно разные (асимметричные). Если они различаются, проблема в соединении может быть связана либо с маршрутом на сервер, либо с маршрутом обратно с сервера. Проблема, отраженная в выводе traceroute, может на самом деле не относиться к очевидной системе в вашей трассировке; скорее это может быть с какой-то другой системой на обратном пути назад от системы, которая, судя по трассировке, является причиной проблемы.
Таким образом, трассировка от вас до сервера показывает только половину изображения. Другая половина - обратный или обратный маршрут. Так как вы можете увидеть этот маршрут?
В старые добрые времена вы могли использовать исходную маршрутизацию с traceroute, чтобы увидеть обратную трассировку от хоста. Идея состоит в том, чтобы указать так называемый свободный исходный маршрут, который определяет систему, через которую должны пройти ваши пакеты, прежде чем перейти к месту назначения.
Возможность использования свободной исходной маршрутизации для просмотра обратного маршрута может быть очень удобной. К сожалению, исходная маршрутизация имеет большой потенциал для злоупотреблений, и поэтому большинство сетевых администраторов блокируют все пакеты с исходной маршрутизацией на своих пограничных маршрутизаторах. Таким образом, на практике свободные исходные маршруты не будут работать.
В настоящее время единственная надежда на то, что вы, скорее всего, будете иметь обратную трассировку, будет в том случае, если у системы, которую вы хотите отследить, есть средство трассировки на их веб-сайте. Многие системы, в частности, провайдеры Usenet, имеют веб-страницу, на которой вы можете запустить трассировку от их системы до вашей. В сочетании с вашим следом к их системе, это может дать вам другую половину изображения. У меня есть список страниц трассировки провайдера Usenet здесь.
Источник Использование Tracert