如何藏回程路由:
路由追踪(mtr/traceroute)的原理是发送TTL不等的包(icmp/tcp/udp都可以),数据包每经过一跳路由,其TTL就会减一,在TTL=0时如果未能达到目的地,中间路由器在未配置特殊策略的情况下,会将其丢弃并返回ICMP type 11 (ICMP time exceeded in-transit)的包给源地址
所以最简单的办法就是不要让低TTL的包发出去,比如如果从下游出去的数据包TTL小于某个阈值,直接丢弃不转发
还有一种办法在上级路由器把入向符合某个TTL范围以内的 ICMP type 11 code 0 包丢掉也可以,但是为什么不直接丢出向呢,没发出去就是没有(
基于TTL判断还有一种低级骚操作是欺骗测评脚本,比如,如果发现是低TTL的数据包(比如TTL<=8),将其丢去CN2端口,否则丢去其他廉价端口,这样一来可以做到8跳以内出现CN2的路由,8跳以后走廉价线路进入国内,看起来就像走了CN2回国了一样,实际上的大流量几乎都会走廉价端口所以CN2端口几乎不会有多少成本
路由追踪(mtr/traceroute)的原理是发送TTL不等的包(icmp/tcp/udp都可以),数据包每经过一跳路由,其TTL就会减一,在TTL=0时如果未能达到目的地,中间路由器在未配置特殊策略的情况下,会将其丢弃并返回ICMP type 11 (ICMP time exceeded in-transit)的包给源地址
所以最简单的办法就是不要让低TTL的包发出去,比如如果从下游出去的数据包TTL小于某个阈值,直接丢弃不转发
还有一种办法在上级路由器把入向符合某个TTL范围以内的 ICMP type 11 code 0 包丢掉也可以,但是为什么不直接丢出向呢,没发出去就是没有(
基于TTL判断还有一种低级骚操作是欺骗测评脚本,比如,如果发现是低TTL的数据包(比如TTL<=8),将其丢去CN2端口,否则丢去其他廉价端口,这样一来可以做到8跳以内出现CN2的路由,8跳以后走廉价线路进入国内,看起来就像走了CN2回国了一样,实际上的大流量几乎都会走廉价端口所以CN2端口几乎不会有多少成本