<div dir="auto">Ah, apologies, I misunderstood:<div dir="auto"><br></div><div dir="auto">One reverse traceroute request => one probe + one reverse traceroute response.</div><div dir="auto"><br></div><div dir="auto">So it is *slightly* additive, but does not multiply out to the distance between the reverse traceroute server and the target. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Feb 25, 2023, 11:19 Hugo Slabbert <<a href="mailto:hugo@slabnet.com">hugo@slabnet.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Is there a possible reflection & amplification vector here? <div><br></div><div>* The client sends a reverse traceroute request to the server. This has a 12-byte ICMP header as indicated in 3.1</div><div>* The server responds to the client with a traceroute response. This has a 12-byte ICMP header as indicated in 3.2, but also a traceroute payload of 24 bytes as indicated in 3.3</div><div><br></div><div>So the total response from client to server has at least +24 bytes beyond the original client request? And a spoofed source address on a reverse traceroute request would then direct the reverse traceroute response to the spoofed victim?</div><div><br></div><div>+24 bytes is not a huge amount in terms of amplification, but if this is accurate, is that perhaps worth calling out in the security considerations?</div><div><br>Actually: Would there not also be a slight additional bit of traffic to the spoofed address, in that the actual traceroute probe itself, that is sent from the reverse traceroute server, is also directed towards the spoofed source IP address? The last probe in the series, that has a TTL equal to the distance between the reverse traceroute server and the probe target, would reach the target, but additional probes (with TTL shorter than the distance from server to target) would still be flung from the server across intermediate hops.</div><div><br></div><div>E.g. if I spoof a client address that is 15 hops away from the reverse traceroute server, then my single reverse traceroute request would result in:<br></div><div><br></div><div>* 15 probes initiated from the reverse traceroute server toward the spoofed target (with each probe progressing one hop closer to the target)</div><div>* one reverse traceroute response that is +24 bytes from my original request, also directed toward the spoofed target</div><div><br></div><div>Am I understanding the structure correctly there?</div><div><div><div dir="ltr" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><font face="monospace"><br></font></div><div dir="ltr"><span style="font-family:arial,sans-serif">-- </span></div><div dir="ltr"><span style="font-family:arial,sans-serif">Hugo Slabbert</span></div></div></div></div></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Feb 25, 2023 at 5:40 AM Rolf Winter <<a href="mailto:rolf.winter@hs-augsburg.de" target="_blank" rel="noreferrer">rolf.winter@hs-augsburg.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Tore,<br>
<br>
thanks for the suggestion. We are already in touch with the NLNOG Ring <br>
folks. They are really helpful! But, the more the better.<br>
<br>
Also, for people playing with the client, it would be helpful to us if <br>
you use the --transmit command line switch. This will send information <br>
about the traceroute operation to us for further analysis.<br>
<br>
Additionally, the endpoint "playground.net...." is currently used for <br>
some variations of reverse traceroute, so some measurements might not <br>
work currently. You can just use any of the other endpoints.<br>
<br>
Best,<br>
<br>
Rolf<br>
<br>
Am 25.02.23 um 11:09 schrieb Tore Anderson:<br>
> * Rolf Winter<br>
> <br>
> <br>
>> If you would like to play with reverse traceroute, the easiest option<br>
>> is to work with the client and use one of the public server instances<br>
>> (<a href="https://github.com/HSAnet/reverse-traceroute/blob/main/ENDPOINTS" rel="noreferrer noreferrer" target="_blank">https://github.com/HSAnet/reverse-traceroute/blob/main/ENDPOINTS</a>).<br>
>> If you would be willing to host a public server instance yourself,<br>
>> please reach out to us.<br>
> <br>
> I suggest you get in touch with the fine folks at NLNOG RING and ask it<br>
> they would be interested in setting this up on the 600+ RING nodes all<br>
> over the world. See <a href="https://ring.nlnog.net/" rel="noreferrer noreferrer" target="_blank">https://ring.nlnog.net/</a>.<br>
> <br>
> Tore<br>
</blockquote></div>
</blockquote></div>