Citizen M(artina)edia |
Mittwoch, 22. Juni 2005
Einsatz der IP-Werkzeuge PING, TRACE ROUTE und Portscan
Martina.Augl.uni-linz, 14:28h
Windows Bordmittel PING PING ist die Abkürzung von Packet Inter Groper und ist ein Programm zum Testen der Netzwerkverbindung zu einer anderen Station. Dabei wird der Befehl "ping ... (Domain-Name oder IP-Adresse)" in die Kommandozeile einegetragen. Wenn nötig übernimmt das Programm die Auflösung des Namens. Interessant ist, dass bei Windows der Befehl "ping" vier mal ausgeführt ist und dann automatisch stoppt, während er bei Unix oder Linux so oft ausgeführt wird, bis er durch den Befehl "CTRL+C" manuell abgebrochen wird. Der ping-Befehl wird folgendermaßen ausgeführt: Ein ICMP-Paket des Typs ICMP Echo Request wird an die angesprochene Netzwerkstation geschickt, welche daraufhin ein Paket des Typs ICMP Echo Reply zurücksendet, wenn sie das Paket empfangen hat. Der Befehl ping liefert vier verschiedene Antworten:
Der ping auf die Seite von ORF ergab an einem Wochentag folgendes Ergebnis:
Es ist ersichtlich, dass der Zielhost nicht erreibar ist. Dies kann zwei Gründe haben: Entweder der Host existiert nicht, oder er ist so konfiguriert, dass er das Paket ignoriert bzw. verwirft. Um Aufschluss darüber zu bekommen, führen wir als nächstes den Befehl "tracert" durch. Ein Ping am Wochenende führte ebenfalls zum gleichen Ergebnis: Windows Bordmittel Trace Routing Der tracert-Befehl meint das so genannte Trace Routing. Damit lässt sich ermittlen, über welche Router (Rechner) die Verbindung zu einem bestimmten Host (in unserem Beipsiel der ORF-Server) läuft, wobei hier nicht die geografische Nähe oder Ferne von Bedeutung ist, sondern die Qualität der Netzwerkinfrastruktur. Das Prinzip: Alle IP-Datenpakete führen ein TTL (Time-To-Life) in ihrem Header mit sich, der anfamgs im Normalfall den Wert 225 aufweist. Der Inhalt des TTL wird beim Passieren eines Routers jeweils um 1 reduziert. Sollte der Wert 0 erreicht sein, wird das Datenpaket nicht mehr weitergeschickt und "stirbt". Der betreffende Router meldet einen solchen Vorfall mittels ICMP-Paket in Folge dem Sender. Das Trace Routing benutzt diesen Vorgang, indem der Rechner zuerst ein Paket mit TTL 1 versendet. Der erste Router, den das Paket passiert, reduziert den Wert auf 0 und meldet das "Sterben" des Pakets. Das Programm registriert IP-Adresse und Domain-Name des Routers sowie die Zeit zwischen Versenden des Pakets und Eingang der Meldung (Angabe in ms= Millisekunden), welche von der verfügbaren Bandbreite, der Kapazitäten der Rechner und der aktuellen Belastung des Netzwerks durch andere User abhängen. Wie man im Beispiel unten sieht, wird dieser Vorgang por Router dreimal wiederholt. Die Zahl ganz links im Bild stellt immer den TTL Wert dar. Nach TTL 1 versendet das Programm ein Datenpaket mit TTL 2 usw. bis der Zielhost (ORF) erreicht ist.(Quelle: Höller/Pils/Zlabinger: Internet und Intranet. 2004, s. 153ff.) Hier das Ergebnis des Trace Routings der ORF-Seite an einem Wochentag zur Mittagszeit: Solch eine Überprüfung stellt jedoch immer nur eine Momentaufnahme dar. Um eine objektivere Aussage über die Qualität von Providern treffen zu können, müssen mehrere Test zu unterschieldichen Zeiten durchgeführt werden. Deshalb hier auch eine Überprüfung vom Wochenende: Sonntag Mittags erhalte ich ein ähnliches Ergebnis; lediglich die Zeiten in Mikrosekunden sind etwas (wenn auch nur geringfügig) höher. Dies mag daran liegen, dass das Netzwerk am Wochenende stärker belastet ist als unter der Woche. Besondere Ausreißer gab es jedoch keine. Wir sehen aus der Trace Route, dass der Server sehr wohl vorhanden ist, jedoch nicht erreichbar. Somit liegt die Vermutung nache, dass der Host unser Paket ignoriert/verwirft.. Trace Routing mittels UTA Um den Befehl tracert durchzuführen, kann man aber auch so genannte Webtools wie das Trace-Routing-Programm von UTA einsetzen: Wie man sieht, verläuft der Weg vom UTA-Server zu ORF über andere Router. Außerdem benötigt UTA um einen "hosp" mehr als der Windows-Befehl. Dass das Ergebnis aber mitunter unbefriedigend sein kann, da die Trace Route ja nicht von meinem eigenen Rechner startet und weitere zusätzliche Inforamtionen wie z.B. über den Befehl pathping stellt Stefan Höpltseder in seinem Weblog dar. Im Vergleich zum Windows Befehl, der von meinem privaten PC ausgeht, verwirft ORF das Datenpaket von UTA nicht, da es vermutlich erkennt, von welchem Router es kommt und dass es sich um keinen Angriffsversuch handelt. Das Ergebnis vom Wochenende weicht nicht merklich von dem unter der Woche ab: Ergebnis des Port-Scans mittels Sygate Ich habe abschließend noch einen Port-Scan mit dem Webtool Sygate Online Services durchgeführt, der zu folgendem Ergebnis kam: "You have blocked all of our probes! We still recommend running this test both with and without Sygate Personal Firewall enabled... so turn it off and try the test again." Aus dem Ergebnis ziehe ich den Schluss, dass alle von Sygate durchgeführten Angriffe durch meine und die Firewall von Sygate geblockt wurden. Laut Sygate sind meine Ports also nicht nur geschlossen, sondern auch komplett unsichtbar für Angreifer. Gefährliche Ports wie jene von ICQ, MS Messenger oder Skype (laut Richard Ackermann) sollte ich jedoch meiden. Findige Hacker werden mit meiner Firewall darüber hinaus kein allzu großes Probelm haben... ... comment |
Online for 7189 days
Last update: 2006.06.19, 16:14 status
You're not logged in ... login
menu
search
calendar
recent updates
der blogserver antville
protokolliert die Votes derart mit, sodass ein mehrmaliges... by Hans.Mittendorfer.Uni-Linz (2006.06.19, 16:14) 50% nichts 50% feiern
find ich interessant, dass so ziemlich genau jeweils... by kim.schaller.Uni-Linz (2006.01.24, 00:43) Formatierung2
Wie wird sich unsere Zukunft gestalten? Werden wir... by Martina.Augl.uni-linz (2006.01.10, 14:14) Formatierung
html> 03 03 - 11 2005: Diplomarbeit Titel:... by Martina.Augl.uni-linz (2006.01.06, 01:17) ultimate couch potatoes?
deine (rethorische?) frage am textanfang finde ich... by kim.schaller.Uni-Linz (2005.12.18, 14:38) |