为什么amazon.com，yahoo.com和ebay.com的traceroute失败？

13

在排除我们网络上的性能问题时，我跑遍traceroute了各种网站。以下网站将一再无法完成traceroute：

yahoo.com
amazon.com
ebay.com

问题

这些站点是否在保护自己的网络，使其traceroute无法完成？
我认为这是基于这些网站的网络，与我们的网络性能问题无关。这是一个安全的假设吗？

ebay.com的示例Traceroute

$ traceroute ebay.com
traceroute: Warning: ebay.com has multiple addresses; using 66.135.205.13
traceroute to ebay.com (66.135.205.13), 64 hops max, 52 byte packets
 1  10.10.100.1 (10.10.100.1)  56.518 ms  2.390 ms  2.082 ms
 2  mo-69-34-118-1.sta.embarqhsd.net (69.34.118.1)  9.943 ms  10.007 ms  10.177 ms
 3  mo-69-68-209-249.dyn.embarqhsd.net (69.68.209.249)  10.976 ms  21.159 ms  10.015 ms
 4  ge-6-20.car1.stlouis1.level3.net (4.53.160.13)  26.562 ms  26.278 ms  25.818 ms
 5  ae-11-11.car2.stlouis1.level3.net (4.69.132.186)  26.393 ms  26.519 ms  79.884 ms
 6  ae-4-4.ebr2.chicago1.level3.net (4.69.132.190)  32.965 ms  26.123 ms  48.123 ms
 7  ae-5-5.ebr2.chicago2.level3.net (4.69.140.194)  27.308 ms  26.784 ms  26.693 ms
 8  ae-2-52.edge4.chicago3.level3.net (4.69.138.166)  27.137 ms  26.473 ms  27.047 ms
 9  chp-brdr-03.inet.qwest.net (63.146.27.17)  26.315 ms  26.329 ms  26.449 ms
10  dvr-edge-13.inet.qwest.net (67.14.24.89)  51.270 ms  51.355 ms  51.134 ms
11  * * *
12  * * *
. . . . .
33  * * *
34  * *^C

security networking

— 马修·兰金
source

16

如果出于防火墙或其他原因阻止了某些ICMP通信，则跟踪路由将无法完全正常工作。它们通常是UDP（DNS查找）和ICMP的混合。

如果您运行traceroute -I yahoo.com还是traceroute -T yahoo.com会看到不同的结果（yahoo.com已为我完成）。这使用ICMP回显和TCP SYN。

在Linux上的traceroute命令手册页中：

In the modern network environment the traditional traceroute methods can not be always applicable, because of widespread use of firewalls. Such firewalls filter the "unlikely" UDP ports, or even ICMP echoes. To solve this, some additional tracerouting methods are implemented (including tcp), see LIST OF AVAILABLE METHODS below. Such methods try to use particular protocol and source/destination port, in order to bypass firewalls (to be seen by firewalls just as a start of allowed type of a network session).

— 乔纳森·罗斯
source

某些版本的traceroute可能不支持该-T标志，但是许多版本都支持该-P [protocol]标志。在FreeBSD 8的traceroute理解UDP，TCP，GREAMD ICMP（并且可以设置协议字段对于任何有效的IP协议，虽然数据包的内容可能没有用/清醒。）

— voretaq7

15

Traceroute使用ICMP消息组。每个都有3个ICMP消息。（HOP计数在每组消息中增加一个）。

通常，管理员会阻止ICMP数据包以“保护”其网络。（主要是为了掩盖网络和DoS的结构）。

那就是为什么你得到星星。

— 阿米拉利·萨纳蒂尼亚（Amirali Sanatinia）
source

0

Tracert不是用于分析性能问题的工具，而是用于发现特定主机的路径的工具。对外部主机运行tracert不会告诉您有关您自己的网络的任何信息。

首先通过测量两个内部主机之间的延迟和数据包丢失来查看内部网络。然后在您的工作站上运行数据包捕获，查找网络拥塞的证据，例如ARP泛洪，广播风暴，TCP重传和重复的确认。

— 乔伊维蒂
source

谢谢（你的）信息。我应该澄清，我们的性能问题主要与访问外部网站有关。我说“主要”是因为我们有多个与网络相关的问题。由于通过使用交换机交换3或4个集线器而使用了集线器，因此我消除了一个较大的冲突域。我们的DSL供应商承认，鉴于客户需求（我们在一个小镇上，这是我们唯一可行的ISP选择），我们地区的铜线不足。因此，我正在努力改善我们的内部网络，同时还收集数据以向ISP证明他们有问题。

— 马修·兰金

是的，但是再次，tracert不是正确的工具，无法跟踪到Google，这不会有太大帮助，因为一旦流量离开您的ISP，他们将无能为力。您应该关心您和ISP之间的连接。登录您的DSL调制解调器，找出它的DG，然后运行从您到那里的路径。然后，运行tracert到Google以确定您ISP网络中的最后一跳，并运行从您到那里的路径。将这些结果提供给您的ISP，然后看看他们怎么说。

— joeqwerty 2011年