<div class="gmail_quote">On Mon, Feb 4, 2013 at 8:41 AM, Dave Taht <span dir="ltr"><<a href="mailto:dave.taht@gmail.com" target="_blank">dave.taht@gmail.com</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">Heh. I turned out I'd left mtr running in another window... </blockquote>
<div>Yeah, exactly. Decreasing TTLs suggest traceroute tools :-)</div>
<div> </div>
<div>As Ketan noted, it's best to decode what's in the ICMP TTL exceeded payload to see what packet triggered this.</div>
<div> </div>
<div>traceroute uses ICMP ECHO REQUEST</div>
<div>tracepath uses UDP</div>
<div>tcptraceroute uses TCP SYN (this tools is actually usefull to check if your packets go different routes depending on the port they're going to, e.g. detecting a transparent proxy which shows up for port 80, but not for others)</div>

<div> </div>
<div>There are other tools which could be used to do the same with different types of packets, say, crafting a fake ICMP ECHO REPLY to see how good at being stateful are the firewalls on the path.</div>
<div> </div>
<div>Regards,</div>
<div>Maciej</div>
<div> </div></div>