Funktionsweise von TraceRoute - Paules-PC-Forum.de

**Paule** · 14.11.2008, 14:37

Autor: GrayGhost

Funktionsweise von TraceRoute

Trace Route ist ein Tool, mit dessen Hilfe ermittelt werden kann, wer sich hinter einer URL oder IP Adresse verbirgt. Es gibt eine Reihe von Tools die diese Funktion beinhalten (z.B. WS-PPP) teilweise sogar mit einer grafischen Ausgabe der geografischen Lage des Rechners. Natürlich ist es nicht möglich eine dynamische IP bis hin zum aktuellen Benutzer zurück zu verfolgen, aber oft liefert TraceRoute wertvolle Informationen. In diesem Artikel werde ich erklären, wie mit Hilfe der TCP-Suite Protokolle eine URL bis zum Server zurück verfolgt werden kann.

Eigentlich basiert TraceRoute auf einem Exploit (Ausnutzung) des ICMP (Internet Control Message Protocol). Dieses Protokoll dient unter anderem dazu, Fehler die bei der Datenübertragung auftreten, an den Sender zurück zu melden.

Ein typischer Fehler ist zum Beispiel das Ablaufen des TTL-Zählers. TTL bedeutet "Time-to-Live". Jedes TCP Paket geht mit einem solchen Zählerwert (typischerweise 64) im Header auf die Reise. Jeder Router, den dieses Paket passiert, setzt diesen Zähler um Eins herunter. Hat das Paket sein Ziel nach dem passieren von 64 Routern nicht erreicht, so löscht der Router, der den Zähler auf Null setzt, das Paket und sendet eine ICMP-Fehlermeldung an den Sender zurück. Diese Fehlermeldung beinhaltet die Adresse des Routers. Da Router feste IP Adressen besitzen, kann diese Adresse nach Zugehörigkeit und Standort ausgewertet werden. Dies erfolgt über eine sogennante "Whois" Abfrage, die in einem anderen Artikel behandelt wird.

Wie kann TraceRoute nun den gesamten Weg des Datenpakets ermitteln? Das wird durch das kontinuierliche Senden von Paketen erreicht, wobei das erste Paket mit einem Zählerstand von Z=1 auf die Reise geschickt wird. Schon der erste Router wird das Paket löschen und die ICMP Meldung mit seiner eigenen Adresse zurück senden. Das zweite Paket geht mit Z=2 auf den Weg. Nun wird der erste Router passiert und der zweite Router löscht das Paket und sendet die Fehlermeldung. Dies geht so weiter, bis das Paket schließlich den Empfänger erreicht.

Aber der Empfänger hat nun keinen Grund eine Fehlermeldung mit seiner eigenen Kennung zurück zu senden. Wie bewegt man nun diesen Zielrechner dazu, sich zu identififieren? Dies wird ganz einfach dadurch erreicht, dass das Paket an einen nicht existierenden Port adressiert ist. Die auf dem Weg liegenden Router interessieren sich noch nicht für den Port und entdecken den Fehler nicht, da sie das Paket nur weiterleiten sollen. Erst der Empfänger bemerkt den Fehler, da er keinen entsprechenden Port hat. Also sendet dieser eine entsprechende Fehlermeldung, die somit TraceRoute signalisiert, dass das Paket sein Ziel erreicht hat.

Nun möchtest du es sicherlich einmal ausprobieren:
Öffne die Eingabekonsole: Start -> Ausführen -> cmd
Am prompt gibst du z.B. ein tracert Eddy's Home -> Enter

Das Ergebnis sieht dann so aus:

C:\>tracert Eddy's Home

Routenverfolgung zu home.solo.de.uu.net [194.175.173.6] über maximal 30 Abschnitte:

Code:

  1    1 ms    1 ms    1 ms  fritz.box [192.168.178.1]
  2    55 ms    58 ms    57 ms  L0.hnv2-lns.mcbone.net [62.104.190.35]
  3    56 ms    55 ms    53 ms  ae1-200.hnv2-j2.mcbone.net [62.104.195.199]
  4    58 ms    57 ms    59 ms  lo0-0.dus2-j2.mcbone.net [62.104.191.202]
  5    59 ms    59 ms    57 ms  lo0-0.dus2-j.mcbone.net [62.104.191.201]
  6    62 ms    61 ms    63 ms  lo0-0.ffm4-j.mcbone.net [62.104.191.203]
  7    68 ms    68 ms    67 ms  lo0-0.ffm4-j2.mcbone.net [62.104.191.204]
  8    66 ms    67 ms    67 ms  L0.ffm4-g2.mcbone.net [62.104.191.129]
  9    69 ms    67 ms    67 ms  br1.Frankfurt2.de.alter.net [80.81.192.1]
 10    68 ms    67 ms    69 ms  so-6-2-0.cr2.fft3.alter.net [149.227.30.65]
 11    72 ms    73 ms    71 ms  so-0-1-0.CR2.DTM1.ALTER.NET [149.227.30.38]
 12    72 ms    74 ms    71 ms  412.atm-12-0-0.dtm1eusodhr2.dtm.ops.eu.uu.net [149.227.48.117]
 13    72 ms    73 ms    74 ms  webpoint.de.uu.net [194.175.173.6]

Ablaufverfolgung beendet.

C:\

Was lernst du daraus? Nun, erstens habe ich einen fritz!box Router mit der internen IP: 192.168.178.1, und mein ISP ist UUNet. Du wirst natürlich an erster Stelle die IP deines Routers sehen, oder wenn du keinen hast, die IP deines Providors. Traceroute ist damit auch geeignet die IP des Routers herauszufinden, wenn du diese vergessen haben solltest.

Mit dem letzten Eintrag hast du das Ziel und hättest bei eventuellen Beschwerden meinen Hoster gefunden, über den du, bei entsprechender Schwere meines Vergehens, meine Identität ermitteln könntest.

Anmerkung:
Ich bin inzwischen zum Providor "Silverline-Server" umgezogen. Ein Trace wird dich also dahin führen.

14.11.2008, 14:37	#1 (Direktlink)
Paule Moderator Registriert seit: 27.10.2008 Beiträge: 3.485	Funktionsweise von TraceRoute Autor: GrayGhost Funktionsweise von TraceRoute Trace Route ist ein Tool, mit dessen Hilfe ermittelt werden kann, wer sich hinter einer URL oder IP Adresse verbirgt. Es gibt eine Reihe von Tools die diese Funktion beinhalten (z.B. WS-PPP) teilweise sogar mit einer grafischen Ausgabe der geografischen Lage des Rechners. Natürlich ist es nicht möglich eine dynamische IP bis hin zum aktuellen Benutzer zurück zu verfolgen, aber oft liefert TraceRoute wertvolle Informationen. In diesem Artikel werde ich erklären, wie mit Hilfe der TCP-Suite Protokolle eine URL bis zum Server zurück verfolgt werden kann. Eigentlich basiert TraceRoute auf einem Exploit (Ausnutzung) des ICMP (Internet Control Message Protocol). Dieses Protokoll dient unter anderem dazu, Fehler die bei der Datenübertragung auftreten, an den Sender zurück zu melden. Ein typischer Fehler ist zum Beispiel das Ablaufen des TTL-Zählers. TTL bedeutet "Time-to-Live". Jedes TCP Paket geht mit einem solchen Zählerwert (typischerweise 64) im Header auf die Reise. Jeder Router, den dieses Paket passiert, setzt diesen Zähler um Eins herunter. Hat das Paket sein Ziel nach dem passieren von 64 Routern nicht erreicht, so löscht der Router, der den Zähler auf Null setzt, das Paket und sendet eine ICMP-Fehlermeldung an den Sender zurück. Diese Fehlermeldung beinhaltet die Adresse des Routers. Da Router feste IP Adressen besitzen, kann diese Adresse nach Zugehörigkeit und Standort ausgewertet werden. Dies erfolgt über eine sogennante "Whois" Abfrage, die in einem anderen Artikel behandelt wird. Wie kann TraceRoute nun den gesamten Weg des Datenpakets ermitteln? Das wird durch das kontinuierliche Senden von Paketen erreicht, wobei das erste Paket mit einem Zählerstand von Z=1 auf die Reise geschickt wird. Schon der erste Router wird das Paket löschen und die ICMP Meldung mit seiner eigenen Adresse zurück senden. Das zweite Paket geht mit Z=2 auf den Weg. Nun wird der erste Router passiert und der zweite Router löscht das Paket und sendet die Fehlermeldung. Dies geht so weiter, bis das Paket schließlich den Empfänger erreicht. Aber der Empfänger hat nun keinen Grund eine Fehlermeldung mit seiner eigenen Kennung zurück zu senden. Wie bewegt man nun diesen Zielrechner dazu, sich zu identififieren? Dies wird ganz einfach dadurch erreicht, dass das Paket an einen nicht existierenden Port adressiert ist. Die auf dem Weg liegenden Router interessieren sich noch nicht für den Port und entdecken den Fehler nicht, da sie das Paket nur weiterleiten sollen. Erst der Empfänger bemerkt den Fehler, da er keinen entsprechenden Port hat. Also sendet dieser eine entsprechende Fehlermeldung, die somit TraceRoute signalisiert, dass das Paket sein Ziel erreicht hat. Nun möchtest du es sicherlich einmal ausprobieren: Öffne die Eingabekonsole: Start -> Ausführen -> cmd Am prompt gibst du z.B. ein tracert Eddy's Home -> Enter Das Ergebnis sieht dann so aus: C:\>tracert Eddy's Home Routenverfolgung zu home.solo.de.uu.net [194.175.173.6] über maximal 30 Abschnitte: Code: 1 1 ms 1 ms 1 ms fritz.box [192.168.178.1] 2 55 ms 58 ms 57 ms L0.hnv2-lns.mcbone.net [62.104.190.35] 3 56 ms 55 ms 53 ms ae1-200.hnv2-j2.mcbone.net [62.104.195.199] 4 58 ms 57 ms 59 ms lo0-0.dus2-j2.mcbone.net [62.104.191.202] 5 59 ms 59 ms 57 ms lo0-0.dus2-j.mcbone.net [62.104.191.201] 6 62 ms 61 ms 63 ms lo0-0.ffm4-j.mcbone.net [62.104.191.203] 7 68 ms 68 ms 67 ms lo0-0.ffm4-j2.mcbone.net [62.104.191.204] 8 66 ms 67 ms 67 ms L0.ffm4-g2.mcbone.net [62.104.191.129] 9 69 ms 67 ms 67 ms br1.Frankfurt2.de.alter.net [80.81.192.1] 10 68 ms 67 ms 69 ms so-6-2-0.cr2.fft3.alter.net [149.227.30.65] 11 72 ms 73 ms 71 ms so-0-1-0.CR2.DTM1.ALTER.NET [149.227.30.38] 12 72 ms 74 ms 71 ms 412.atm-12-0-0.dtm1eusodhr2.dtm.ops.eu.uu.net [149.227.48.117] 13 72 ms 73 ms 74 ms webpoint.de.uu.net [194.175.173.6] Ablaufverfolgung beendet. C:\ Was lernst du daraus? Nun, erstens habe ich einen fritz!box Router mit der internen IP: 192.168.178.1, und mein ISP ist UUNet. Du wirst natürlich an erster Stelle die IP deines Routers sehen, oder wenn du keinen hast, die IP deines Providors. Traceroute ist damit auch geeignet die IP des Routers herauszufinden, wenn du diese vergessen haben solltest. Mit dem letzten Eintrag hast du das Ziel und hättest bei eventuellen Beschwerden meinen Hoster gefunden, über den du, bei entsprechender Schwere meines Vergehens, meine Identität ermitteln könntest. Anmerkung: Ich bin inzwischen zum Providor "Silverline-Server" umgezogen. Ein Trace wird dich also dahin führen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Frage zur Funktionsweise eines Proxys bzw. Tor	Marikus	Viren-Forum	0	11.01.2008 16:35
Funktionsweise einer Schaltung ?! Hilfe !!!	Hilfe	Allgemein	2	04.07.2005 16:22
Funktionsweise eines CRT Monitors	Die Macht	Hardware - Problemlösungen	2	23.03.2004 20:10
Traceroute Befehl	Klaus	Netzwerke	1	16.09.2003 00:42