Sergey Nivens - stock.adobe.com

Netzwerkanalyse: Grundsätzliche Schwächen von Traceroute

Traceroute oder Tracert sind Netzwerkadministratoren ein Begriff. Doch die Tools der Betriebssysteme haben einige grundsätzliche Schwächen, die die Netzwerkanalyse erschweren.

Für viele IT-Experten ist Traceroute das Mittel der Wahl, um Datenverkehr im Netzwerk zu untersuchen – jedoch ist es nicht frei von Schwächen. Diese Artikelserie zeigt auf, welche Einschränkungen Traceroute hat.

Das Analyse-Tool Traceroute ermittelt den Weg eines IP-Datenpakets von seiner Quelle bis zu einem definierten Ziel und untersucht dabei, welche Router und Internet-Knoten die IP-Datenpakete auf ihrem Weg dorthin übermitteln. Hierzu sendet das Programm drei Datenpakete auf einen spezifizierten Rechner und belegt die Variable Time-to-live (TTL) mit einem Wert vor. Gleichzeitig sendet es die Rückmeldung TTL expired mit.

Erhält nun einer der Rechner auf diesem Übertragungsweg das Datenpaket, so subtrahiert er Eins von dem Wert, den die Variable TTL enthält, und sendet dieses Paket an den nächsten Rechner weiter. Erreicht TTL bei einem Rechner den Wert Null, sendet dieser das Paket mit seiner eigenen IP-Adresse an den Quellrechner zurück. Der Weg dieses Datenpakets ist beendet und ein Versand an einen weiteren Rechner findet nicht mehr statt.

Schrittweise Pfadbestimmung

Im ersten Paket belegt Traceroute TTL mit Eins. Demzufolge meldet der erste Rechner seine IP-Adresse. Beim zweiten Paket nimmt Traceroute zwei Hops durch, wobei der Zweite seine IP-Adresse zurückmeldet. Im Ergebnis erhält man einen Übermittlungsweg, der schrittweise durch mehrere Datenpakete erfasst wurde.

Nicht immer nutzt Traceroute jedoch ICMP (Internet Control Message Protocol) für den Transport seiner Testpakete (obwohl es prinzipiell möglich wäre und bei Windows-Computern auch angewandt wird): Unix-Rechner und -Router verwenden bei temporär geöffneten Ports jedoch UDP-Messages (User Datagram Protocol), die über jeweils 1024 Bytes groß sind und DNS-, SMTP- oder Webdienste nutzen.

Kein Weg zurück

Diese Vorgehensweise zeigt zwar die Netzknoten an, welche die IP-Datenpakete auf ihrem Weg zum Ziel passieren, abhängig vom Hashing-Algorithmus kann jedoch ein anderer Pfad für die Antwort genommen werden, der von Traceroute nicht gemeldet wird.

Um den Rückweg zu dokumentieren, muss Traceroute vom Zielrechner aus in Richtung Quellrechner ausgeführt werden. Bei Leistungseinbrüchen auf dem Transportweg ist nicht immer offensichtlich, ob diese auf dem Hin- oder Rückweg auftreten. Die einfache Ausführung von Traceroute bringt hier keine Erkenntnisse.

Abbildung 1: Kommerzielle Programme bieten mehr und zuverlässigere Informationen als Traceroute. Das Bild zeigt die Pfadanalyse von einer SDN-Fabric.
Abbildung 1: Kommerzielle Programme bieten mehr und zuverlässigere Informationen als Traceroute. Das Bild zeigt die Pfadanalyse von einer SDN-Fabric.

Keine Information über Schnittstellen

Traceroute liefert im Prinzip nur zwei Informationen: den Host-Namen/die IP-Adresse und die Verzögerungszeit. Möchte man einen Hop jedoch näher betrachten, so benötigt man eine Telnet-/SSH-Verbindung, mit der die Schnittstelle einer IP-Adresse zu sehen ist.

Traceroute hingegen gibt lediglich Hop-Informationen aus, wodurch wichtige Informationen zum eigentlichen Kommunikationspfad nicht vorhanden sind. Bei komplexeren Netzwerkinfrastrukturen gibt es allerdings mehrere Möglichkeiten, wie Daten von einem Netzwerk-Hop zum nächsten gelangen. Um diese zu erkennen, müssen mehrere Traceroutes durchgeführt und die daraus ermittelten Ergebnisse konsolidiert werden. Kommerzielle Tools ordnen diese Informationen automatisch zu und sparen so viel Zeit.

Der langsame Weg

Manchmal nutzt Traceroute das ICMP-Messaging, was zu einer langsameren Übermittlung der Testpakete führen kann. Das Ergebnis weist dann eine Verfälschung auf, denn der tatsächliche Traffic würde in diesem Fall möglicherweise schneller erfolgen.

Zu dieser Zeitdifferenz kommt es, da ICMP den langsameren Weg über die Geräte nimmt, anstatt den schnelleren durch den Router, der für die Weiterleitung der Daten bestimmt ist.

Ein weiterer Grund für mögliche Verzögerungen bei der Übermittlung des Testpakets ist, dass Router den Inhalt nicht nur weiterleiten, sondern auch verarbeiten. Insbesondere bei neueren Routern kann es daher aufgrund interner Mechanismen zu Leistungseinbußen kommen. Beispielsweise priorisieren diese die Protokoll-Updates gegenüber ICMP-Messages. Bei den häufiger verwendeten UDP-Messages ist das zwar nicht der Fall, jedoch besitzt die Traceroute-Rückmeldung TTL expired ebenfalls keine hohe Priorität.

Verzögerung aufgrund der Rückmeldung

Dadurch lässt sich auch erklären, warum Daten länger zum entsprechenden Hop gebraucht haben, als normalerweise. Die Verzögerung liegt hier nicht an der Übermittlung selbst, sondern an der Rückmeldung: Liegen bei einer Traceroute-Analyse die Werte nach einem Hop unter denen davor, kann eine verzögerte Verarbeitung in einem Router die Ursache sein. Vollends unbrauchbar wird Traceroute, wenn eine ACL/Policy (Access Control List, Zugriffssteuerungsliste) die Verwendung von ICMP verhindert.

Christian Köckert, NetBrain Technologies

„Die durch Traceroute gewonnenen Erkenntnisse können lediglich als grober Anhaltspunkt dienen. Möchte man jedoch fundiertere Schlüsse ziehen, sind kommerzielle Werkzeuge unerlässlich.“

Christian Köckert, NetBrain Technologies

Da Traceroute seine Informationen unter Zuhilfenahme von Datenpaketen ermittelt, die es durch die Netzwerkinfrastruktur schickt, geht dies nur, wenn Traceroute aktiv ist. Während das Analyse-Tool ausgeführt wird, erhält man lediglich den aktuellen Stand und denselben Weg, den die Datenpakete der Nutzer zurücklegen.

Traceroute als grober Anhaltspunkt

In den meisten Fällen erhält Traceroute jedoch eine niedrigere Priorisierung als andere Übertragungen, wodurch sich ein potenziell inkorrektes Bild ergibt. Die durch Traceroute gewonnenen Erkenntnisse können daher lediglich als grober Anhaltspunkt dienen. Möchte man jedoch fundiertere Schlüsse ziehen, sind kommerzielle Werkzeuge unerlässlich.

Über den Autor:
Christian Köckert ist Technical Lead Pre-Sales bei NetBrain, einem Anbieter von Produkten für Netzwerkautomatisierung. NetBrains adaptive Netzwerkautomatisierungsplattform bietet den Netzwerkexperten Transparenz über ihre hybriden Netzwerke und ermöglicht die Automatisierung von Schlüsselaufgaben in den IT-Workflows. Mit dem Dynamic Path (A/B Path) Calculator hat Netbrain auch eine Alternative zu Traceroute im Programm. A-B Path ist eine Funktion, die vor allem in Plattformen zur Netzwerkautomatisierung enthalten ist und dort den gesuchten Pfad visuell in einer dynamischen Netzwerkkarte abbilden kann.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Nächste Schritte

Automatische und dynamische Netzwerkdokumentation

Drei Hauptzenarien für Netzwerkanalysen

Mit Ping und Traceroute Paketverluste erfassen

Erfahren Sie mehr über Netzwerk-Monitoring und -Analyse