
Heh. I turned out I'd left mtr running in another window...<br><br><div class="gmail_quote">On Sun, Feb 3, 2013 at 11:34 PM, Ketan Kulkarni <span dir="ltr"><<a href="mailto:ketkulka@gmail.com" target="_blank">ketkulka@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Sorry to send it again, as the list rejected the attachment<br>

(attachment removed in this one)<br>

<div class="im HOEnZb"><br>

Hi Dave,<br>

<br>

The TTL is decremented by 1 on every router. If it reaches 0, the pkt<br>

is dropped and ICMP ttl exceeded is sent to the sender with icmp body<br>

= first few bytes of the packet which caused this error.<br>

Looks like, for every new Echo Req, ip ttl is set to 1. The next<br>

router decrements it and send ICMP ttl exceeded back.<br>

<br>

So 172.20.26.17 send Echo Req to 172.20.0.1 with ttl=1.<br>

172.20.26.1 (probably your next router) decrements and sends ICMP TTL<br>

exceeded to 172.20.26.17 (probably your client)<br>

<br>

For the next request, ttl=2 and this time 172.20.26.17 (next to next<br>

router) send ttl exceeded.<br>

This is happening till ttl=6 at which the Echo Req is successful.<br>

<br>

Probably this is the behaviour of ping cmd used with -R (record route)<br>

option enabled.<br>

<br>

Attached jpg for reference.<br>

<br>

-Ketan<br>

<br>

</div><div class="HOEnZb"><div class="h5">On Mon, Feb 4, 2013 at 1:03 PM, Ketan Kulkarni <<a href="mailto:ketkulka@gmail.com">ketkulka@gmail.com</a>> wrote:<br>

> Hi Dave,<br>

><br>

> The TTL is decremented by 1 on every router. If it reaches 0, the pkt<br>

> is dropped and ICMP ttl exceeded is sent to the sender with icmp body<br>

> = first few bytes of the packet which caused this error.<br>

> Looks like, for every new Echo Req, ip ttl is set to 1. The next<br>

> router decrements it and send ICMP ttl exceeded back.<br>

><br>

> So 172.20.26.17 send Echo Req to 172.20.0.1 with ttl=1.<br>

> 172.20.26.1 (probably your next router) decrements and sends ICMP TTL<br>

> exceeded to 172.20.26.17 (probably your client)<br>

><br>

> For the next request, ttl=2 and this time 172.20.26.17 (next to next<br>

> router) send ttl exceeded.<br>

> This is happening till ttl=6 at which the Echo Req is successful.<br>

><br>

> Probably this is the behaviour of ping cmd used with -R (record route)<br>

> option enabled.<br>

><br>

> Attached jpg for reference.<br>

><br>

> -Ketan<br>

><br>

> On Mon, Feb 4, 2013 at 12:40 PM, Dave Taht <<a href="mailto:dave.taht@gmail.com">dave.taht@gmail.com</a>> wrote:<br>

>> I have been largely looking at packet captures for tcp streams. today I<br>

>> noticed that I was oddly getting icmp ttl exceeded messages back on the<br>

>> network from various devices on the path when I wasn't even pinging...<br>

>><br>

>> I have to admit parsing icmp is not in my skillset. Is there useful<br>

>> information in the icmp messages in this capture?<br>

>><br>

>> <a href="http://snapon.lab.bufferbloat.net/~d/ttl_exceeded.cap" target="_blank">http://snapon.lab.bufferbloat.net/~d/ttl_exceeded.cap</a><br>

>><br>

>> --<br>

>> Dave Täht<br>

>><br>

>> Fixing bufferbloat with cerowrt:<br>

>> <a href="http://www.teklibre.com/cerowrt/subscribe.html" target="_blank">http://www.teklibre.com/cerowrt/subscribe.html</a><br>

>> _______________________________________________<br>

>> Cerowrt-devel mailing list<br>

>> <a href="mailto:Cerowrt-devel@lists.bufferbloat.net">Cerowrt-devel@lists.bufferbloat.net</a><br>

>> <a href="https://lists.bufferbloat.net/listinfo/cerowrt-devel" target="_blank">https://lists.bufferbloat.net/listinfo/cerowrt-devel</a><br>

>><br>

</div></div></blockquote></div><br><br clear="all"><br>-- <br>Dave Täht<br><br>Fixing bufferbloat with cerowrt: <a href="http://www.teklibre.com/cerowrt/subscribe.html" target="_blank">http://www.teklibre.com/cerowrt/subscribe.html</a>