NeoTrace - Was ist das ?

Computer: Software & Programmierung
1

Hallo zusammen !

Ich hoffe, ich bin im richtigen Brett gelandet !?
Vor einiger Zeit unterhielten wir uns im kleinen Kreis über Internet-Security. Unter anderem wurde in diesem Zusammenhang das Programm NeoTrace erwähnt. Es scheint sich um eine Art Lokalisierungssoftware für IP-Nummern zu händeln, o.ä.
Ich bin zwar regelmäßiger Netznutzer, außer Firewalls kenne ich aber nichts Weitergehendes in dieser Richtung.
Hier also meine kurze Frage: Was ist NeoTrace, wozu dient es genau und wie funktioniert es (also „theoretisch“) ? Wenn es nützlich ist - was kostet es ?
Ich denke, das Thema der Sicherheit im Netz ist ein wichtiges und eines, das in Zukunft wohl noch an Bedeutung zunehmen wird.
Erwarte eure Antworten mit Interesse !

Gruß
Markus

2

Ich hoffe, ich bin im richtigen Brett gelandet !?

Ja. Hier oder in „Nerzwerk“

Unter anderem wurde in diesem Zusammenhang

das Programm NeoTrace erwähnt. Es scheint sich um eine Art

Lokalisierungssoftware für IP-Nummern zu händeln, o.ä.

Ich bin zwar regelmäßiger Netznutzer, außer Firewalls kenne

ich aber nichts Weitergehendes in dieser Richtung.

Also, wenn ich das richtig erinnere: Das ist ein traceroute Programm mit graphischem Aufsatz.

traceroute ermittelt, über welche Rechner Internet-Verbindungen gehen. Von mir (Arcor-DIal-in) zur Uni Karksruhe sieht das so aus:

**niehaus@corrosive:~ \>** /usr/sbin/traceroute www.uni-karlsruhe.de

traceroute to www-uka.rz.uni-karlsruhe.de (129.13.64.69), 30 hops max, 40 byte packets

 1 bln-145-253-1-90.arcor-ip.net (145.253.1.90) 170 ms 149 ms 140 ms

 2 bln-145-253-16-49.arcor-ip.net (145.253.16.49) 150 ms 129 ms 140 ms

 3 bln-145-253-0-86.arcor-ip.net (145.253.0.86) 130 ms 129 ms 130 ms

 4 bln-145-253-0-84.arcor-ip.net (145.253.0.84) 130 ms 129 ms 270 ms

 5 bln-145-253-0-80.arcor-ip.net (145.253.0.80) 260 ms 229 ms 220 ms

 6 ffm-145-253-0-128.arcor-ip.net (145.253.0.128) 161 ms 139 ms 180 ms

 7 ffm-145-253-0-140.arcor-ip.net (145.253.0.140) 240 ms 229 ms 150 ms

 8 ffm-145-253-0-4.arcor-ip.net (145.253.0.4) 140 ms 129 ms 159 ms

 9 DeCIX.core.xlink.net (194.31.232.22) 151 ms 147 ms 150 ms

10 r1-erp1.f.de.kpnqwest.net (194.122.242.137) 150 ms 169 ms 150 ms

11 r7-erp1.f.de.kpnqwest.net (194.122.243.62) 140 ms 139 ms 140 ms

12 Frankfurt1.BelWue.DE (195.73.34.62) 210 ms 139 ms 140 ms

13 Stuttgart8.BelWue.DE (129.143.1.25) 150 ms 149 ms 151 ms

14 Stuttgart9.BelWue.DE (129.143.1.29) 139 ms 149 ms 170 ms

15 Karlsruhe1-neu.BelWue.de (129.143.1.4) 140 ms 139 ms 150 ms

16 129.143.166.130 (129.143.166.130) 150 ms 149 ms 150 ms

17 www-uka.rz.uni-karlsruhe.de (129.13.64.69) 160 ms 159 ms 160 ms

**niehaus@corrosive:~ \>**

Hier also meine kurze Frage: Was ist NeoTrace, wozu dient es

genau und wie funktioniert es (also „theoretisch“) ? Wenn es

nützlich ist - was kostet es ?

Wenn Neotrace das tut, was ich von einem entsprechenden Programm unter Linux kenne macht es mit dem traceroute Ergebnis folgendes:

Von wichtigen Internetrechnern kennt es deren geographischen Standpunkt, man kann selber neue Standorte eingeben und das Programm nimmt dann für allr Rechner, deren Namen beispielsweise „Stuttgart“ vorkommt an, daß sie tatsächlich in Stuttgart stehen.

Auf einer Landkarte zeichnet es dann den Weg der Daten ein.

Ich denke, das Thema der Sicherheit im Netz ist ein wichtiges

und eines, das in Zukunft wohl noch an Bedeutung zunehmen

wird.

Sicher. Die Vorteil von Neotrace oder anderen derartigen Visualisierungsprogrammen hinsichtlich der Sicherheit gegenüber dem normalen traceroute ist Null. Aber eine nete Spielerei ist es schon.

Preise? Hersteller fragen.

Sebastian

3

Das Progr. zeigt dir den Weg an, den deine Daten beim surfen zurücklegen. Immer wenn ein Router passiert wird, bekommst Du angezeigt wo er ist ( Frankfurt, Hamburg, …) und welche IP-Adresse er hat. Das ganze wird auf einer Landkarte dargestellt. Im Prizip ist es „Autoroute“ fürs Internet. Ganz interessant, du siehst auch wie lange die daten von einem zum anderen Router unterwegs sind.

Sieh mal in div. Shareware-Foren nach oder such einfachmal danach mit einer Suchmaschine.

Cordula

4

Dummerweise hat Neotrace spyware dabei und sammelt Informationen, die ins Internet geschickt werden, so was mag ich nicht.
Das gute alte tracert in der MS-DOS-Einabeaufforderung tuts ja auch.
Gruß
Rainer

1 „Gefällt mir“
5

Danke für die umgehenden Antworten !
Vielen Dank für die erschöpfenden Informationen an euch alle !
Ich werde wohl mal tracert ausprobieren ! Irgendwie sind solche Dinge schon recht spannend. Werde mich in dieser Richtung noch weiter informieren !

Gruß
Markus

6

Spyware mag ich auch nicht ! Nehme an, dass das kleine Ad-Aware-Programm wohl kaum gegen NeoTrace-Datenversendung schützt ? Danke für den Hinweis !

Markus

7

tracert
Wie wertet man die Ausgaben in Dos (Befehl: tracert) aus?

dome

8

Hallo !

Wie man die auswertet, weiß ich auch nicht. Nehme an, dass das alles IPs sind.
Eventuell könnte ZoneAlarm so was verfolgen, ist aber glaube ich eine schlechte Idee.
Frag mal Sebastian, der hat tracert genannt.

Gruß
Markus

9

Befehl tracert
Wie wertet man das Ergebnis von dem Befehl tracert aus?

dome

10

Wie wertet man das Ergebnis von dem Befehl tracert aus?

Was willst Du da auswertern? Was NeoTrace damit macht, habe ich ja etwa beschrieben.

Ich verstehe nicht, was Du darüberhinaus mit „Auswertern“ meinst. Nach welchen Gesichtspunkten?

Sebastian

11

Hi Sebastian,

17 www-uka.rz.uni-karlsruhe.de (129.13.64.69) 160 ms 159 ms 160 ms

Diese Zeile habe ich aus einem Beitrag von dir. Was bedeutet „ms“ und für was stehen die drei Zahlen (160, 159, 160). Und was bedeutet das hier:

www-uka.rz.uni-karlsruhe.de (129.13.64.69)

Ist das der Provider, über den der Benutzer mit der IP 129.13.64.69 ins Internet geht. Wenn ja, was bringt mir das, wenn ich das weiß?

dome

12

17 www-uka.rz.uni-karlsruhe.de (129.13.64.69) 160 ms 159 ms 160 ms

Diese Zeile habe ich aus einem Beitrag von dir. Was bedeutet
„ms“

Millisekunden. Also Tausendstel.

und für was stehen die drei Zahlen (160, 159, 160).

Es wurden drei Testpakete an den Server gesendet und die Zeit (in ms) gemessen, bis sie wieder da waren.

Und
was bedeutet das hier:
www-uka.rz.uni-karlsruhe.de (129.13.64.69)

www.uni-karlsruhe.de ergibt - im „Internet-Telefonbuch“ (DNS)nachgefragt, die Nummer 129.13.64.69. Wenn man fragt, welcher Name zur nummer gehört, bekommt man www-uka.rz.uni-karlsruhe.de als Antwort. Widerspruch? Nein. Wenn jemand Dienen Sohn fragt, welche Nummer er hat, wird er die Nummer von zuhause nenne. Die Telekom sagt jedoch, es sei Dein Anschluss…

Ist das der Provider, über den der Benutzer mit der IP
129.13.64.69 ins Internet geht.

Umm. Naja. So etwa. Obwohl: die Unir-Karlsruge ist gewissermassen ihr eigener Provider. Du kannst vielleicht erahnen, daß das andere Ende der Beispielsverbindung, das war ichg - zu dem Teitpunkt mit Arcor im Netzwar.

Wenn ja, was bringt mir das,
wenn ich das weiß?

Gute Frage. traceroute ist ein Netzwerkdiagnoseprogramm, was man auch zum Spielen oder Providerraten nutzen kann. Sieh es so…

Doku?

TRACEROUTE(8) System Manager's Manual TRACEROUTE(8)

NAME
 traceroute - print the route packets take to network host

SYNOPSIS
 traceroute [-l] [-m max\_ttl] [-n] [-p port] [-q nqueries] [-r]
 [-s src\_addr] [-t tos] [-w waittime] host [packetsize]

DESCRIPTION
 The Internet is a large and complex aggregation of network hardware, con­
 nected together by gateways. Tracking the route one's packets follow (or
 finding the miscreant gateway that's discarding your packets) can be dif­
 ficult. Traceroute utilizes the IP protocol `time to live' field and at­
 tempts to elicit an ICMP TIME\_EXCEEDED response from each gateway along
 the path to some host.

 The only mandatory parameter is the destination host name or IP number.
 The default probe datagram length is 38 bytes, but this may be increased
 by specifying a packet size (in bytes) after the destination host name.

 Other options are:

 -l Display the ttl value of the returned packet. This is useful for
 checking for assymetric routing.

 -m max\_ttl
 Set the max time-to-live (max number of hops) used in outgoing
 probe packets. The default is 30 hops (the same default used for
 TCP connections).

 -n Print hop addresses numerically rather than symbolically and nu­
 merically (saves a nameserver address-to-name lookup for each
 gateway found on the path).

 -p port
 Set the base UDP port number used in probes (default is 33434).
 Traceroute hopes that nothing is listening on UDP ports base to
 base+nhops-1 at the destination host (so an ICMP PORT\_UNREACHABLE
 message will be returned to terminate the route tracing). If
 something is listening on a port in the default range, this op­
 tion can be used to pick an unused port range.

 -q nqueries
 Set the number of probes per ``ttl'' to nqueries (default is
 three probes).

 -r Bypass the normal routing tables and send directly to a host on
 an attached network. If the host is not on a directly-attached
 network, an error is returned. This option can be used to ping a 

 local host through an interface that has no route through it
 (e.g., after the interface was dropped by routed(8)).

 -s src\_addr
 Use the following IP address (which must be given as an IP num­
 ber, not a hostname) as the source address in outgoing probe
 packets. On hosts with more than one IP address, this option can
 be used to force the source address to be something other than
 the IP address of the interface the probe packet is sent on. If
 the IP address is not one of this machine's interface addresses,
 an error is returned and nothing is sent.

 -t tos Set the type-of-service in probe packets to the following value
 (default zero). The value must be a decimal integer in the range
 0 to 255. This option can be used to see if different types-of-
 service result in different paths. (If you are not running a
 4.3BSD-Tahoe or later system, this may be academic since the nor­
 mal network services like telnet and ftp don't let you control
 the TOS). Not all values of TOS are legal or meaningful - see the
 IP spec for definitions. Useful values are probably `-t 16' (low
 delay) and `-t 8' (high throughput).

 -v Verbose output. Received ICMP packets other than TIME\_EXCEEDED
 and UNREACHABLEs are listed.

 -w Set the time (in seconds) to wait for a response to a probe (de­
 fault 3 sec.).

 This program attempts to trace the route an IP packet would follow to
 some internet host by launching UDP probe packets with a small ttl (time
 to live) then listening for an ICMP "time exceeded" reply from a gateway.
 We start our probes with a ttl of one and increase by one until we get an
 ICMP "port unreachable" (which means we got to "host") or hit a max
 (which defaults to 30 hops & can be changed with the -m flag). Three
 probes (changed with -q flag) are sent at each ttl setting and a line is
 printed showing the ttl, address of the gateway and round trip time of
 each probe. If the probe answers come from different gateways, the ad­
 dress of each responding system will be printed. If there is no response
 within a 3 sec. timeout interval (changed with the -w flag), a "\*" is
 printed for that probe.

 We don't want the destination host to process the UDP probe packets so
 the destination port is set to an unlikely value (if some clod on the
 destination is using that value, it can be changed with the -p flag).

 A sample use and output might be:

 [yak 71]% traceroute nis.nsf.net.
 traceroute to nis.nsf.net (35.1.1.48), 30 hops max, 56 byte packet
 1 helios.ee.lbl.gov (128.3.112.1) 19 ms 19 ms 0 ms
 2 lilac-dmc.Berkeley.EDU (128.32.216.1) 39 ms 39 ms 19 ms
 3 lilac-dmc.Berkeley.EDU (128.32.216.1) 39 ms 39 ms 19 ms
 4 ccngw-ner-cc.Berkeley.EDU (128.32.136.23) 39 ms 40 ms 39 ms
 5 ccn-nerif22.Berkeley.EDU (128.32.168.22) 39 ms 39 ms 39 ms
 6 128.32.197.4 (128.32.197.4) 40 ms 59 ms 59 ms
 7 131.119.2.5 (131.119.2.5) 59 ms 59 ms 59 ms
 8 129.140.70.13 (129.140.70.13) 99 ms 99 ms 80 ms
 9 129.140.71.6 (129.140.71.6) 139 ms 239 ms 319 ms
 10 129.140.81.7 (129.140.81.7) 220 ms 199 ms 199 ms
 11 nic.merit.edu (35.1.1.48) 239 ms 239 ms 239 ms

 Note that lines 2 & 3 are the same. This is due to a buggy kernel on the
 2nd hop system - lbl-csam.arpa - that forwards packets with a zero ttl (a
 bug in the distributed version of 4.3 BSD). Note that you have to guess
 what path the packets are taking cross-country since the NSFNet (129.140)
 doesn't supply address-to-name translations for its NSSes.

 A more interesting example is:

 [yak 72]% traceroute allspice.lcs.mit.edu.
 traceroute to allspice.lcs.mit.edu (18.26.0.115), 30 hops max
 1 helios.ee.lbl.gov (128.3.112.1) 0 ms 0 ms 0 ms
 2 lilac-dmc.Berkeley.EDU (128.32.216.1) 19 ms 19 ms 19 ms
 3 lilac-dmc.Berkeley.EDU (128.32.216.1) 39 ms 19 ms 19 ms
 4 ccngw-ner-cc.Berkeley.EDU (128.32.136.23) 19 ms 39 ms 39 ms
 5 ccn-nerif22.Berkeley.EDU (128.32.168.22) 20 ms 39 ms 39 ms
 6 128.32.197.4 (128.32.197.4) 59 ms 119 ms 39 ms
 7 131.119.2.5 (131.119.2.5) 59 ms 59 ms 39 ms
 8 129.140.70.13 (129.140.70.13) 80 ms 79 ms 99 ms
 9 129.140.71.6 (129.140.71.6) 139 ms 139 ms 159 ms
 10 129.140.81.7 (129.140.81.7) 199 ms 180 ms 300 ms
 11 129.140.72.17 (129.140.72.17) 300 ms 239 ms 239 ms
 12 \* \* \*
 13 128.121.54.72 (128.121.54.72) 259 ms 499 ms 279 ms
 14 \* \* \*
 15 \* \* \*
 16 \* \* \*
 17 \* \* \*
 18 ALLSPICE.LCS.MIT.EDU (18.26.0.115) 339 ms 279 ms 279 ms

 Note that the gateways 12, 14, 15, 16 & 17 hops away either don't send
 ICMP "time exceeded" messages or send them with a ttl too small to reach
 us. 14 - 17 are running the MIT C Gateway code that doesn't send "time
 exceeded"s. God only knows what's going on with 12.

 The silent gateway 12 in the above may be the result of a bug in the
 4.[23] BSD network code (and its derivatives): 4.x (x