Citizen M(artina)edia
Mittwoch, 22. Juni 2005
Einsatz der IP-Werkzeuge PING, TRACE ROUTE und Portscan

Windows Bordmittel PING

PING ist die Abkürzung von Packet Inter Groper und ist ein Programm zum Testen der Netzwerkverbindung zu einer anderen Station. Dabei wird der Befehl "ping ... (Domain-Name oder IP-Adresse)" in die Kommandozeile einegetragen. Wenn nötig übernimmt das Programm die Auflösung des Namens. Interessant ist, dass bei Windows der Befehl "ping" vier mal ausgeführt ist und dann automatisch stoppt, während er bei Unix oder Linux so oft ausgeführt wird, bis er durch den Befehl "CTRL+C" manuell abgebrochen wird.

Der ping-Befehl wird folgendermaßen ausgeführt: Ein ICMP-Paket des Typs ICMP Echo Request wird an die angesprochene Netzwerkstation geschickt, welche daraufhin ein Paket des Typs ICMP Echo Reply zurücksendet, wenn sie das Paket empfangen hat.

Der Befehl ping liefert vier verschiedene Antworten:

  1. Er ermittelt die Laufzeit eines Paketes vom Sender zum Empfänger, wobei man die Zeit bis zum Eintreffen des Echo Reply Pakets halbiert.
  2. Es kann überprüft werden, ob eine Station mit dem Netzwerk in Kontakt steht.
  3. Mittels ping 127.0.0.1 (auf den localhost) lässt sich überprüfen, ob der TCP/IP-Stack auf der lokalen Host installiert ist.
  4. Es kann getestet werden, ob wichtige Stationen wie Server verfügbar sind, wobei hier aber nur die Verfügbarkeit des TCP/IP-Stack überprüft wird und nicht die der Server-Dienste. (Quelle: Das Elektronik Kompendium)

Der ping auf die Seite von ORF ergab an einem Wochentag folgendes Ergebnis:

Ping vom 22. Juni 2005 - Mittwoch

Es ist ersichtlich, dass der Zielhost nicht erreibar ist. Dies kann zwei Gründe haben: Entweder der Host existiert nicht, oder er ist so konfiguriert, dass er das Paket ignoriert bzw. verwirft. Um Aufschluss darüber zu bekommen, führen wir als nächstes den Befehl "tracert" durch.

Ein Ping am Wochenende führte ebenfalls zum gleichen Ergebnis:

Ping auf orf.at vom 26. Juni 2005

Windows Bordmittel Trace Routing

Der tracert-Befehl meint das so genannte Trace Routing. Damit lässt sich ermittlen, über welche Router (Rechner) die Verbindung zu einem bestimmten Host (in unserem Beipsiel der ORF-Server) läuft, wobei hier nicht die geografische Nähe oder Ferne von Bedeutung ist, sondern die Qualität der Netzwerkinfrastruktur.

Das Prinzip: Alle IP-Datenpakete führen ein TTL (Time-To-Life) in ihrem Header mit sich, der anfamgs im Normalfall den Wert 225 aufweist. Der Inhalt des TTL wird beim Passieren eines Routers jeweils um 1 reduziert. Sollte der Wert 0 erreicht sein, wird das Datenpaket nicht mehr weitergeschickt und "stirbt". Der betreffende Router meldet einen solchen Vorfall mittels ICMP-Paket in Folge dem Sender. Das Trace Routing benutzt diesen Vorgang, indem der Rechner zuerst ein Paket mit TTL 1 versendet. Der erste Router, den das Paket passiert, reduziert den Wert auf 0 und meldet das "Sterben" des Pakets. Das Programm registriert IP-Adresse und Domain-Name des Routers sowie die Zeit zwischen Versenden des Pakets und Eingang der Meldung (Angabe in ms= Millisekunden), welche von der verfügbaren Bandbreite, der Kapazitäten der Rechner und der aktuellen Belastung des Netzwerks durch andere User abhängen. Wie man im Beispiel unten sieht, wird dieser Vorgang por Router dreimal wiederholt. Die Zahl ganz links im Bild stellt immer den TTL Wert dar. Nach TTL 1 versendet das Programm ein Datenpaket mit TTL 2 usw. bis der Zielhost (ORF) erreicht ist.(Quelle: Höller/Pils/Zlabinger: Internet und Intranet. 2004, s. 153ff.)

Hier das Ergebnis des Trace Routings der ORF-Seite an einem Wochentag zur Mittagszeit:

Tracet vom 22. Juni 2005

Solch eine Überprüfung stellt jedoch immer nur eine Momentaufnahme dar. Um eine objektivere Aussage über die Qualität von Providern treffen zu können, müssen mehrere Test zu unterschieldichen Zeiten durchgeführt werden. Deshalb hier auch eine Überprüfung vom Wochenende: Sonntag Mittags erhalte ich ein ähnliches Ergebnis; lediglich die Zeiten in Mikrosekunden sind etwas (wenn auch nur geringfügig) höher. Dies mag daran liegen, dass das Netzwerk am Wochenende stärker belastet ist als unter der Woche. Besondere Ausreißer gab es jedoch keine.

Tracert auf orf.at vom 26. Juni 2005 - Sonntag

Wir sehen aus der Trace Route, dass der Server sehr wohl vorhanden ist, jedoch nicht erreichbar. Somit liegt die Vermutung nache, dass der Host unser Paket ignoriert/verwirft..

Trace Routing mittels UTA

Um den Befehl tracert durchzuführen, kann man aber auch so genannte Webtools wie das Trace-Routing-Programm von UTA einsetzen:

Trace Routing des orf Servers mittels UTA Webtool

Wie man sieht, verläuft der Weg vom UTA-Server zu ORF über andere Router. Außerdem benötigt UTA um einen "hosp" mehr als der Windows-Befehl. Dass das Ergebnis aber mitunter unbefriedigend sein kann, da die Trace Route ja nicht von meinem eigenen Rechner startet und weitere zusätzliche Inforamtionen wie z.B. über den Befehl pathping stellt Stefan Höpltseder in seinem Weblog dar. Im Vergleich zum Windows Befehl, der von meinem privaten PC ausgeht, verwirft ORF das Datenpaket von UTA nicht, da es vermutlich erkennt, von welchem Router es kommt und dass es sich um keinen Angriffsversuch handelt.

Das Ergebnis vom Wochenende weicht nicht merklich von dem unter der Woche ab:

Trace Routing ?ber UTA vom 26. Juni 2005 - Sonntag

Ergebnis des Port-Scans mittels Sygate

Ich habe abschließend noch einen Port-Scan mit dem Webtool Sygate Online Services durchgeführt, der zu folgendem Ergebnis kam: "You have blocked all of our probes! We still recommend running this test both with and without Sygate Personal Firewall enabled... so turn it off and try the test again."

Aus dem Ergebnis ziehe ich den Schluss, dass alle von Sygate durchgeführten Angriffe durch meine und die Firewall von Sygate geblockt wurden. Laut Sygate sind meine Ports also nicht nur geschlossen, sondern auch komplett unsichtbar für Angreifer. Gefährliche Ports wie jene von ICQ, MS Messenger oder Skype (laut Richard Ackermann) sollte ich jedoch meiden. Findige Hacker werden mit meiner Firewall darüber hinaus kein allzu großes Probelm haben...


... comment


To prevent spam abuse referrers and backlinks are displayed using client-side JavaScript code. Thus, you should enable the option to execute JavaScript code in your browser. Otherwise you will only see this information.

Online for 7158 days
Last update: 2006.06.19, 16:14
status
You're not logged in ... login
menu
... home
... topics
... galleries

... ::collabor:: home
search
 
calendar
Juni 2005
Mo
Di
Mi
Do
Fr
Sa
So
 
 
 1 
 2 
 3 
 4 
 5 
 6 
 7 
 8 
 9 
10
11
12
13
15
16
17
18
19
20
21
23
24
25
26
27
28
29
30
 
 
 
 
recent updates
der blogserver antville
protokolliert die Votes derart mit, sodass ein mehrmaliges...
by Hans.Mittendorfer.Uni-Linz (2006.06.19, 16:14)
50% nichts 50% feiern
find ich interessant, dass so ziemlich genau jeweils...
by kim.schaller.Uni-Linz (2006.01.24, 00:43)
Formatierung2
Wie wird sich unsere Zukunft gestalten? Werden wir...
by Martina.Augl.uni-linz (2006.01.10, 14:14)
Formatierung
html> 03 03 - 11 2005: Diplomarbeit Titel:...
by Martina.Augl.uni-linz (2006.01.06, 01:17)
ultimate couch potatoes?
deine (rethorische?) frage am textanfang finde ich...
by kim.schaller.Uni-Linz (2005.12.18, 14:38)

xml version of this page

made with antville