一次性付费进群，长期免费索取教程，没有付费教程。

进微信群回复公众号：微信群；QQ群：460500587

 教程列表 见微信公众号底部菜单 |  本文底部有推荐书籍 

微信公众号：计算机与网络安全

ID：Computer-network

除了使用TCP包来进行路由跟踪，还可以UDP包实现。它会向目标主机发送UDP包，当到达经过的路由器时，TTL值为0，还没有找到目标主机，经过的路由器将返回超时消息的ICMP数据包，如果成功到达主机，将不会返回任何响应信息。netwox工具提供了编号为61和62的模块，用来构造UDP包进行路由跟踪。

主机192.168.12.106向主机125.39.52.26发送UDP包，进行路由跟踪，判断经过哪些路由。

1)构造UDP包进行路由跟踪，执行命令如下：

root@kali:~# netwox 61 -i 125.39.52.26

输出信息如下：

1 : 192.168.12.1

2 : 192.168.0.1

3 : 183.185.164.1

4 : 218.26.28.157

5 : 218.26.29.217

6 : 219.158.15.214

8 : 125.39.79.166

输出信息显示了经过的所有路由器的IP地址信息。例如，经过的第三个路由器地址为171.117.240.1。

2)为了验证构建的UDP包和得到的响应信息，进行抓包查看，如图1所示。其中，第1个数据包的源IP地址为192.168.12.106，目标IP地址为125.39.52.26，是构造的UDP包；第2个数据包源IP地址为192.168.12.1，目标IP地址为192.168.12.106，该数据包是第一个网关返回的超时消息的ICMP数据包，表示还没有达到目标主机125.39.52.26。第3个数据包为主机192.168.12.106继续向目标主机125.39.52.26发送的UDP包，第4个数据包为第二个网关返回的超时消息的ICMP数据包。以此类推，直到第16个数据包向目标主机125.39.52.26发送的UDP包以后，并且一直向目标主机发送UDP包都不再得到任何响应包，说明此时成功到达了目标主机。

图1  捕获的数据包

3)在进行路由跟踪时为了防止被发现，可以伪造源IP地址和MAC地址。设置源IP地址为192.168.12.150，MAC地址为aa：bb：cc：dd：11：22，进行路由跟踪，执行命令如下：

root@kali:~# netwox 62 -i 125.39.52.26 -E aa:bb:cc:dd:11:22 -I 192.168.12.150 -e ec:17:2f:46:70:ba

输出信息如下：

1 : 192.168.12.1

2 : 192.168.0.1

3 : 183.185.164.1

4 : 218.26.28.157

5 : 218.26.29.217

6 : 219.158.15.214

8 : 125.39.79.162

4)通过抓包验证伪造地址的UDP包，如图2所示。其中，第8个数据包的源IP地址为192.168.59.150(伪造的)，目标IP地址为125.39.52.26(目标主机)，该数据包就是伪造的UDP包。在Ethernet II部分中可以看到源MAC地址为aa：bb：cc：dd：11：22(伪造的)。第9个数据包为经过的路由183.185.164.1返回的ICMP包，返回的地址为伪造的地址192.168.59.150。

图2  伪造地址的UDP包

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】