Heh. I turned out I'd left mtr running in another window...<br><br><div class="gmail_quote">On Sun, Feb 3, 2013 at 11:34 PM, Ketan Kulkarni <span dir="ltr"><<a href="mailto:ketkulka@gmail.com" target="_blank">ketkulka@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Sorry to send it again, as the list rejected the attachment<br>
(attachment removed in this one)<br>
<div class="im HOEnZb"><br>
Hi Dave,<br>
<br>
The TTL is decremented by 1 on every router. If it reaches 0, the pkt<br>
is dropped and ICMP ttl exceeded is sent to the sender with icmp body<br>
= first few bytes of the packet which caused this error.<br>
Looks like, for every new Echo Req, ip ttl is set to 1. The next<br>
router decrements it and send ICMP ttl exceeded back.<br>
<br>
So 172.20.26.17 send Echo Req to 172.20.0.1 with ttl=1.<br>
172.20.26.1 (probably your next router) decrements and sends ICMP TTL<br>
exceeded to 172.20.26.17 (probably your client)<br>
<br>
For the next request, ttl=2 and this time 172.20.26.17 (next to next<br>
router) send ttl exceeded.<br>
This is happening till ttl=6 at which the Echo Req is successful.<br>
<br>
Probably this is the behaviour of ping cmd used with -R (record route)<br>
option enabled.<br>
<br>
Attached jpg for reference.<br>
<br>
-Ketan<br>
<br>
</div><div class="HOEnZb"><div class="h5">On Mon, Feb 4, 2013 at 1:03 PM, Ketan Kulkarni <<a href="mailto:ketkulka@gmail.com">ketkulka@gmail.com</a>> wrote:<br>
> Hi Dave,<br>
><br>
> The TTL is decremented by 1 on every router. If it reaches 0, the pkt<br>
> is dropped and ICMP ttl exceeded is sent to the sender with icmp body<br>
> = first few bytes of the packet which caused this error.<br>
> Looks like, for every new Echo Req, ip ttl is set to 1. The next<br>
> router decrements it and send ICMP ttl exceeded back.<br>
><br>
> So 172.20.26.17 send Echo Req to 172.20.0.1 with ttl=1.<br>
> 172.20.26.1 (probably your next router) decrements and sends ICMP TTL<br>
> exceeded to 172.20.26.17 (probably your client)<br>
><br>
> For the next request, ttl=2 and this time 172.20.26.17 (next to next<br>
> router) send ttl exceeded.<br>
> This is happening till ttl=6 at which the Echo Req is successful.<br>
><br>
> Probably this is the behaviour of ping cmd used with -R (record route)<br>
> option enabled.<br>
><br>
> Attached jpg for reference.<br>
><br>
> -Ketan<br>
><br>
> On Mon, Feb 4, 2013 at 12:40 PM, Dave Taht <<a href="mailto:dave.taht@gmail.com">dave.taht@gmail.com</a>> wrote:<br>
>> I have been largely looking at packet captures for tcp streams. today I<br>
>> noticed that I was oddly getting icmp ttl exceeded messages back on the<br>
>> network from various devices on the path when I wasn't even pinging...<br>
>><br>
>> I have to admit parsing icmp is not in my skillset. Is there useful<br>
>> information in the icmp messages in this capture?<br>
>><br>
>> <a href="http://snapon.lab.bufferbloat.net/~d/ttl_exceeded.cap" target="_blank">http://snapon.lab.bufferbloat.net/~d/ttl_exceeded.cap</a><br>
>><br>
>> --<br>
>> Dave Täht<br>
>><br>
>> Fixing bufferbloat with cerowrt:<br>
>> <a href="http://www.teklibre.com/cerowrt/subscribe.html" target="_blank">http://www.teklibre.com/cerowrt/subscribe.html</a><br>
>> _______________________________________________<br>
>> Cerowrt-devel mailing list<br>
>> <a href="mailto:Cerowrt-devel@lists.bufferbloat.net">Cerowrt-devel@lists.bufferbloat.net</a><br>
>> <a href="https://lists.bufferbloat.net/listinfo/cerowrt-devel" target="_blank">https://lists.bufferbloat.net/listinfo/cerowrt-devel</a><br>
>><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Dave Täht<br><br>Fixing bufferbloat with cerowrt: <a href="http://www.teklibre.com/cerowrt/subscribe.html" target="_blank">http://www.teklibre.com/cerowrt/subscribe.html</a>