dbg: TTL spotting

Daniel Ginsburg (

dbg) wrote,
@ 2008-04-05 23:17:00

TTL spotting
Сегодня решил саморазвлечься и проделать эксперимент, до которого все никак не доходили руки. Эксперимент без всякой практической ценности, но тем он и хорош. Полезными делами можно заниматься на работе, а развлекаться надо всякими глупостями. Continue Reading »

(Post a new comment)

Дэн, не знаю где "правильно" комментировать твои записи

poige
2008-04-06 04:10 am UTC (link)

... (поэтому попробую тут):

> А вот http://ibm.com ведет себя крайне интересно.
> Вот pcap-файл: ibm.com.pcap. За одну сессию TTL пакетов, которые
> идут оттуда, поменялся 19 раз! Похоже, что это какой-то жутко
> умный load-balancer. Который как-то раскидывает разные запросы одной
> keepalive'нутой HTTP-сессии. Но я никак не пойму, по какому принципу
> он это делает, и, как он потом это собирает и почему он прокидывает
> эти запросы "прозрачно". Идеи?

Если путь меняется так, что кол-во роутеров между 2-я точками соединения "плавает", то и TTL будет "плавать". А путь может меняться по куче разных причин, и совершенно прозрачно для TCP/IP-пакетов.

(Reply to this) (Thread)

+= ...

poige
2008-04-06 06:19 am UTC (link)

Посмотрел pcap-файл :) Что могу сказать — слишком большая разница между этими TTL, чтобы моя версия по-прежнему имела какую-либо состоятельность.

Второй вариант, может быть у них какой-то "obfuscator" используется; у pf есть всякие scrub'ы и "модуляции", так что, быть может, что-нибудь в таком-же духе.

(Reply to this) (Parent)(Thread)

	Re: += ... dbg 2008-04-06 07:09 am UTC (link)
	Если это obfuscator, то почему он obfuscate'ит только TTL? Почему он это делает только двумя значениями? (Reply to this) (Parent)(Thread)

Re: += ...
poige
2008-04-06 02:15 pm UTC (link)

Вот тож интересно:

arch# hping2 www.ibm.com -s 4400 -p 80 -d 200 -V -SA -c 5|grep ttl --- www.ibm.com hping statistic --- 5 packets tramitted, 4 packets received, 20% packet loss round-trip min/avg/max = 202.9/203.3/203.5 ms len=40 ip=129.42.56.212 ttl=232 id=25271 tos=60 iplen=40 len=40 ip=129.42.56.212 ttl=232 DF id=51263 tos=60 iplen=40 len=40 ip=129.42.56.212 ttl=232 id=26630 tos=60 iplen=40 len=40 ip=129.42.56.212 ttl=232 DF id=847 tos=60 iplen=40 arch# hping2 www.ibm.com -s 4400 -p 80 -d 200 -V -F -c 5|grep ttl --- www.ibm.com hping statistic --- 5 packets tramitted, 4 packets received, 20% packet loss round-trip min/avg/max = 202.7/205.2/209.3 ms len=40 ip=129.42.56.212 ttl=176 DF id=47269 tos=0 iplen=40 len=40 ip=129.42.56.212 ttl=232 DF id=33672 tos=60 iplen=40 len=40 ip=129.42.56.212 ttl=232 id=4666 tos=60 iplen=40 len=40 ip=129.42.56.212 ttl=232 DF id=28313 tos=60 iplen=40

"Плавают" DF, TTL, TOS.

(Reply to this) (Parent)(Thread)

	Re: += ... dbg 2008-04-06 02:25 pm UTC (link)
	Да, наличие/отсутствие DF я заметил, а вот TOS у меня все время одинаковый (Reply to this) (Parent)

Re: Дэн, не знаю где "правильно" комментировать твои запи

dbg
2008-04-06 07:07 am UTC (link)

> Если путь меняется так, что кол-во роутеров между 2-я точками соединения "плавает"

Ну, это очевидная причина. Но reroute происходит случайно и редко. А описанные явления происходят каждый раз. Поэтому изменения пути можно исключить.

(Reply to this) (Parent)

	Думаю, тебе будет интересно: poige 2008-04-25 01:51 pm UTC (link)
	http://dragon.linux-vs.org/~dragonfly/htm/tcpha.htm ;-) (Reply to this) (Thread)

	Re: Думаю, тебе будет интересно: dbg 2008-04-25 01:56 pm UTC (link)
	Прикольно. (Reply to this) (Parent)(Thread)

	> Прикольно. poige 2008-04-25 02:26 pm UTC (link)
	Ага, не какой-нибудь там http://w16.odnoklassniki.ru … :-) (Reply to this) (Parent)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…

About

Help

Get Involved

Legal

Store

LJ Labs