ping et TTL
Le
Kevin Denis
Bonjour,
lorsque je fais un ping, j'ai un TTL qui s'affiche:
$ ping -c 2 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttlT time7.6 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttlT time6.1 ms
8.8.8.8 ping statistics
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 36.107/36.900/37.693/0.793 ms
Ce TTL correspond précisément à quoi?
-Au TTL des paquets envoyés par ma machine vers 8.8.8.8?
-Au TTL des paquets envoyés par 8.8.8.8 vers ma machine?
J'ai en fait un état assez surprenant avec trois routeurs:
Poste - routeur A - routeur B - routeur C - gateway.
Si je ping routeur A, j'ai un TTL de 128
Si je ping routeur B, j'ai un TTL de 255
Si je ping routeur C, j'ai un TTL de 61
Si je ping gateway, j'ai un TTL de 127
Je sais que les routeurs ont une liberté totale quant à la modification
de ce champ, mais on peut s'attendre à ce que chaque routeur ne fasse
que décrémenter de 1 sa valeur?
Merci
--
Kevin
lorsque je fais un ping, j'ai un TTL qui s'affiche:
$ ping -c 2 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttlT time7.6 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttlT time6.1 ms
8.8.8.8 ping statistics
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 36.107/36.900/37.693/0.793 ms
Ce TTL correspond précisément à quoi?
-Au TTL des paquets envoyés par ma machine vers 8.8.8.8?
-Au TTL des paquets envoyés par 8.8.8.8 vers ma machine?
J'ai en fait un état assez surprenant avec trois routeurs:
Poste - routeur A - routeur B - routeur C - gateway.
Si je ping routeur A, j'ai un TTL de 128
Si je ping routeur B, j'ai un TTL de 255
Si je ping routeur C, j'ai un TTL de 61
Si je ping gateway, j'ai un TTL de 127
Je sais que les routeurs ont une liberté totale quant à la modification
de ce champ, mais on peut s'attendre à ce que chaque routeur ne fasse
que décrémenter de 1 sa valeur?
Merci
--
Kevin
Poser une question
Bonjour,
2ème réponse... Il s'agit du TTL des paquets qui reviennent. Un simple
test sur différentes machines montrera d'ailleurs que ça varie en
fonction de la pile IP qui est en face et du nombre de "hops" sur le
trajet, test comme celui que vous faites d'ailleurs dans la suite du
message.
A priori normal jusque là, le routeur doit être un machin sous Windows
ou assimilé ? Le TTL par défaut de Windows est 128.
Ca, en revanche, c'est beaucoup plus curieux. Un TTL de 255 correspond
typiquement à une machine Solaris ou qqchose du genre, mais en toute
rigueur, avec un autre routeur devant, ça aurait dû être 254, sauf si le
roureur a est une espèce de firewall avec une config particulière
destinée à le rendre plus ou moins "invisible" ? Le TTL étant sur un
octet, il est impossible qu'il ait été à 256 avant le passage de A ! :-)
Encore plus bizarre. ;-) On peut imaginer que le TTL initial soit de 64,
typique d'une machine sous Linux, mais pourquoi -3 ? En toute rigueur
les routeurs sont censés décrémenter un TTL de 1 juste après avoir routé
un paquet (en sortie, donc), et encore -1 à chaque seconde qui passe,
mais ça m'étonnerait quand-même que vous ayez des délais si importants,
sauf si A et B sont des satellites géostationnaires (Inmarsat, VSAT ?),
ou qqchose du même acabit.
De plus en plus fort. ;-) Vous êtes sûr du chemin pris par vos paquets
quand vous pinguez les routeurs qui ne sont pas directement sur le même
brin réseau que votre machine ?
Je ne sais plus où j'avais lu qu'il y avait décrémentation de 1
également à chaque seconde, mais je ne suis pas certain que tous les
routeurs implémentent cela.
Vous savez quels sont les machines qui se "cachent" derrière A, B et C ?
Là j'ai fait des suppositions, mais bien entendu, le TTL par défaut peut
être modifié simplement sur pas mal de piles IP, à commencer par Linux,
donc vous avez peut-être aussi affaire à des gens qui se sont amusés à
ça. Le seul cas qui reste curieux est quand-même le TTL de 255 de B,
difficilement explicable en dehors de l'hypothèse d'un routage par un
firewall qui veut rester discret...
Cordialement,
--
Bruno Tréguier
Ok
Justement, je ne suis sur de rien pour le coup. Le réseau des routeurs
m'est inaccessible. J'ai la main sur la gateway et le poste final, le
reste non.
j'avais lu que c'était une légende urbaine :-)
J'en arrive à cette hypothèse. J'ai l'impression qu'il y a des
équipements qui "trafiquent" les flux réseaux, mais comme je n'y ai
pas accès, il est difficile de conclure.
J'ai aussi des comportements plus que suspects liés à la MTU ce qui
me conforte dans l'hypothèse de l'existence d'un équipement particulier
(sonde IDS/IPS? firewall? bridge filtrant?)
--
Kevin
Vous avez essayé un traceroute juste pour voir ? Si le routeur B se
comporte en firewall "invisible", vous ne devriez pas le voir apparaître
dans la suite des routeurs traversés (c'est un peu le but ;-) ).
C'est tout à fait possible, personnellement je ne vois pas l'intérêt de
cette double décrémentation...
Très possible, voire probable en effet... Quels sont les effets observés
en matière de MTU ?
Cordialement,
--
Bruno Tréguier
Oui, et c'est encore plus surprenant. La machine a une IP
172.16.c.d avec une gateway en 172.16.c.254
le traceroute me montre en first hop une IP en 192.168 (!!)
Avec le ping et l'option -s et -M.
De 0 à 1450: le ping passe
de 1450 à 1500-1600(variable): j'ai le message frag needed et flag don't
fragment set
Au delà: aucun ping passe et aucun message.
Quoi qu'il en soit, avec une MTU de 1400 tout fonctionne, donc bon.
--
Kevin
Ah oui, marrant... Si A est effectivement un équipement ne décrémentant
pas le TTL, ça doit donc correspondre à une IP de l'équipement B ? Quand
vous parlez de la "gateway", ça correspond à la gateway positionnée dans
la table de routage de votre poste, ou s'agit-il de l'équipement dénommé
"gateway" sur le schéma ?
Ping de la machine dénommée gateway sur le schéma j'imagine ?
Hmmm. Là, j'ai beau retourner le problème dans tous les sens, je ne vois
pas ce qui peut provoquer ça... :-( J'ai bien essayé en faisant quelques
hypothèses sur des MTU différents sur les équipements A, B et C, et des
configurations de filtrage ICMP plus ou moins cassées (ou pas), ce qui
donne assez classiquement ce genre de symptôme, mais là, je sèche.
J'arriverais à expliquer un truc genre:
0-1450: ok
1450-1600: aucun message
+ de 1600: message fragmentation needed
Mais que les deux derniers soient inversés, là... Après un gros dodo
peut-être ? ;-)
Y'a des fois, on est obligés de faire comme ça. Pour un lien satellite,
récemment, j'ai dû fixer arbitrairement le MTU à 1300 sur une petite
appliance à bord d'un bateau, sur conseil de l'opérateur qui ne savait
pas bien me dire si le MTU Path Discovery fonctionnerait (1300 ça paraît
bas, mais on a un certain nombre de tunnels et d'encapsulations dans
l'affaire ;-) )...
Cordialement,
--
Bruno Tréguier