TTL do pacote IP: como funciona e por que traceroute usa
TTL (Time to Live) do pacote IP: campo de 8 bits que conta saltos, valores padrão por SO (64 Linux, 128 Windows), ICMP Time Exceeded e como o traceroute explora o TTL para mapear roteadores.
TTL (Time to Live) e o campo de 8 bits no cabecalho IPv4 que determina quantos roteadores um pacote pode atravessar antes de ser descartado. Peterson & Davie explicam por que o nome "Time to Live" e enganoso: na prática, não conta tempo, conta saltos (hops). Esse detalhe e a base de como o traceroute funciona. Este artigo explica o TTL campo por campo, os valores padrão por sistema operacional, por que pacotes em loop seriam problematicos, e como o traceroute explora o TTL para mapear cada roteador no caminho.
Neste artigo
- O que e o TTL do pacote IP: campo e função
- Valores de TTL por sistema operacional
- Como o TTL decrementa a cada roteador
- ICMP Time Exceeded: o que acontece quando TTL chega a zero
- Como o traceroute usa o TTL para mapear a rota
- Lendo a saida do traceroute no Brasil
- TTL em seguranca: fingerprinting e TTL manipulation
- TTL no DNS: um significado diferente
- Perguntas frequentes
O que e o TTL do pacote IP: campo e função
O cabecalho IPv4 tem 14 campos em 20 bytes. Um deles, no offset 8, e o campo TTL de 8 bits. Valores possíveis: 0 a 255. A função original, descrita na RFC 791 de Jon Postel (setembro 1981), era limitar o tempo de vida do pacote em segundos: cada roteador devia decrementar o TTL pela quantidade de tempo que o pacote ficou na fila.
Na prática, isso nunca funcionou como especificado. A maioria dos roteadores processava pacotes em microssegundos, muito menos que 1 segundo. O TTL virou, na prática, um contador de saltos.
"Como era raro que um pacote ficasse por 1 segundo em um roteador, e nem todos os roteadores tinham acesso a um relogio em comum, a maioria dos roteadores simplesmente decrementava o TTL em 1 quando encaminhava o pacote. Assim, ele tornou-se mais um contador de hops do que um temporizador."
Larry L. Peterson, Bruce S. Davie, Redes de computadores: uma abordagem de sistemas, 5a edição, p. 128 (Elsevier, 2013)
O IPv6 renomeou o campo. No cabecalho IPv6 (RFC 8200), o campo equivalente chama-se "Hop Limit" (Limite de Saltos) e e explicitamente definido como contador de hops, eliminando a ambiguidade.
Valores de TTL por sistema operacional
O TTL inicial de um pacote e escolhido pelo sistema operacional do remetente. Esse valor padrão e util para estimar quantos hops um pacote percorreu: se você recebe um pacote com TTL 119, o remetente provavelmente usou TTL inicial 128 (Windows), e o pacote passou por 9 roteadores.
Android
macOS
10 / 11
Solaris
| Sistema / Equipamento | TTL inicial padrão | Observacao |
|---|---|---|
| Linux (kernel padrão) | 64 | Configuravel em /proc/sys/net/ipv4/ip_default_ttl |
| Windows 10 / 11 | 128 | Registro: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DefaultTTL |
| macOS / iOS | 64 | sysctl net.inet.ip.ttl |
| Android | 64 | Herda configuração do kernel Linux |
| Cisco IOS (routers) | 255 | Valor maximo. Típico em equipamentos de rede ativos. |
| FreeBSD / OpenBSD | 64 | sysctl net.inet.ip.ttl |
| Solaris | 255 | ndd /dev/ip ip_def_ttl |
Como o TTL decrementa a cada roteador
Cada roteador que encaminha um pacote IP executa tres ações obrigatorias: ler o TTL do cabecalho, decrementar em 1, e verificar se o resultado e zero. Se zero: descartar o pacote e enviar ICMP Time Exceeded de volta ao remetente. Se maior que zero: atualizar o Header Checksum (porque o TTL mudou) e encaminhar ao proximo salto.
"A mensagem TIME EXCEEDED e enviada quando um pacote e descartado porque seu contador chegou a zero. Esse evento e um sintoma de que os pacotes estao entrando em loop, de que ha um enorme congestionamento ou de que estao sendo definidos valores muito baixos para o timer."
Andrew S. Tanenbaum, Redes de computadores, 4a edição, p. 346 (Campus, 2004)
ICMP Time Exceeded: o que acontece quando TTL chega a zero
Quando um roteador recebe um pacote com TTL=1 e precisa encaminhar (o que decrementaria para 0), ele descarta o pacote e envia um ICMP Type 11 (Time Exceeded) de volta ao endereço IP de origem do pacote descartado. O ICMP Time Exceeded inclui no payload os primeiros 28 bytes do pacote original (header IP + 8 bytes do payload), o que permite ao traceroute identificar a qual probe cada resposta pertence.
| Tipo ICMP | Codigo | Significado | Gerado por |
|---|---|---|---|
| 11 (Time Exceeded) | 0 | TTL chegou a zero durante trânsito | Roteador intermediario |
| 11 (Time Exceeded) | 1 | Tempo excedido na remontagem de fragmentos | Host de destino |
| 3 (Dest. Unreachable) | vários | Destino inacessivel (rede, host, porta, protocolo) | Roteador ou host |
| 0 (Echo Reply) | 0 | Resposta ao ping (pacote chegou ao destino) | Host de destino |
Como o traceroute usa o TTL para mapear a rota
O traceroute (tracert no Windows) e um dos diagnosticos de rede mais uteis. Seu funcionamento e engenhoso: em vez de usar um TTL normal, ele envia pacotes com TTL=1, TTL=2, TTL=3... e coleta os ICMP Time Exceeded de cada roteador no caminho.
- Traceroute envia 3 pacotes com TTL=1. O primeiro roteador os descarta e responde com ICMP Time Exceeded. O traceroute registra o IP e o tempo de resposta desse roteador (hop 1).
- Traceroute envia 3 pacotes com TTL=2. O primeiro roteador decrementa para 1 e encaminha. O segundo roteador decrementa para 0, descarta e responde. Hop 2 mapeado.
- O processo continua incrementando o TTL até o pacote chegar ao destino final. O destino responde com ICMP Echo Reply (Unix/Linux por padrão usa UDP com porta alta; Windows usa ICMP Echo; ambos funcionam).
- O traceroute monta a lista de hops com IP, hostname (via DNS reverso) e RTT de cada salto.
Lendo a saida do traceroute no Brasil
Uma saida típica de traceroute de um usuário em São Paulo para um servidor nós EUA mostra hops locais (192.168.x.x, 100.64.x.x), hops do provedor (geralmente com nome como gru-b13-link.telia.com indicando GRU = Guarulhos), e hops internacionais cruzando o Atlantico ou o Pacific.
| Campo na saida | O que significa | Exemplo |
|---|---|---|
| Número do hop | Posição do roteador no caminho (= TTL inicial usado) | 1, 2, 3... |
| Hostname / IP | Endereço IP do roteador que enviou o ICMP Time Exceeded | 192.168.1.1, 189.40.x.x |
| RTT (ms) x3 | Tempo de ida e volta de cada um dos 3 pacotes enviados por hop | 1.2 ms, 1.5 ms, 1.3 ms |
| * * * | Timeout: roteador não respondeu (bloqueou ICMP ou descartou silenciosamente) | * * * |
| !X (vários codigos) | Erro especifico: !N=rede inalcancavel, !H=host, !P=protocolo, !F=fragmentação proibida | !H significa host unreachable |
Hops com * * * não significam necessariamente falha na rota. Muitos roteadores de provedores configuram rate limiting em respostas ICMP ou bloqueiam ICMP para reduzir carga. O pacote ainda passa por eles, mas a resposta não volta. Se o traceroute termina normalmente no destino, hops intermediarios com * são geralmente inofensivos.
TTL em seguranca: fingerprinting e TTL manipulation
Dois usos de seguranca do TTL merecem atenção. O fingerprinting passivo, descrito anteriormente, usa o TTL inicial para identificar sistemas operacionais. O TTL manipulation e uma técnica de evasao de IDS/IPS.
Em TTL manipulation: um atacante envia dois tipos de pacotes com TTLs diferentes. O pacote "real" tem TTL suficiente para chegar ao destino. Um pacote "ruido" tem TTL calibrado para morrer exatamente no IDS, criando uma sequência de bytes que o IDS ve como inofensiva mas o destino reconstroi como maliciosa. Esse ataque foi documentado em 1998 por Ptacek e Newsham no paper "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection".
TTL no DNS: um significado diferente
O campo TTL existe também no DNS, mas com significado completamente diferente. No DNS, o TTL de um registro (como um A record) define por quantos segundos resolvers e clientes podem cachear aquele registro antes de precisar consultado novamente. Um TTL de 3600 significa que o resolver pode guardar o resultado por 1 hora. Não tem nada a ver com saltos de roteadores.
Impacto operacional do TTL em redes corporativas
Em ambientes corporativos, o TTL tem implicacoes operacionais concretas além do diagnostico com traceroute. Alguns cenarios relevantes:
TTL em redes SD-WAN: Solucoes SD-WAN (Software-Defined Wide Area Network) como Cisco Viptela, VMware SDWAN (Velocloud) e Fortinet SD-WAN populares em empresas brasileiras criam tuneis VPN sobrepostos sobre links de internet. Nesses ambientes, o TTL real que o pacote enfrenta pode ser diferente do esperado: o tunel encapsula o pacote original, e o TTL do tunel e decrementado, não o TTL do pacote interno. O traceroute pelo tunel SD-WAN muitas vezes mostra apenas os endpoints do tunel, não os hops intermediarios do ISP.
TTL e Load Balancing: Roteadores com ECMP (Equal-Cost Multi-Path) distribuem pacotes por múltiplos caminhos. Um traceroute de uma fonte para um destino pode mostrar caminhos diferentes a cada execução, porque os tres probes de cada TTL podem ser distribuidos por caminhos distintos. O MTR resolve parcialmente esse problema enviando probes repetidos para o mesmo hop.
TTL em aplicações de latência critica: Em redes financeiras de alta frequência (como as que conectam algoritmos de trading ao B3 - Bolsa de Valores de São Paulo), cada microsegundo de latência importa. Engenheiros dessas redes usam traceroutes para verificar que o caminho entre o data center do cliente e a B3 usa a rota de menor latência, sem desvios desnecessarios. O TTL e a ferramenta para mapear esses caminhos e garantir que o network path e o esperado.
Por que o TTL e necessario: loops e os riscos sem o campo
O TTL (Time to Live) existe para resolver um problema fundamental em roteamento: loops. Sem o TTL, um pacote cujo destino e inalcancavel poderia circular indefinidamente entre roteadores, consumindo banda e processamento de forma permanente. Um loop de roteamento pode ocorrer por erro de configuração (duas rotas estáticas que se referenciam mutuamente), por convergencia lenta de um protocolo de roteamento (roteadores com tabelas inconsistentes temporariamente), ou por ataque deliberado.
O RFC 791 (IPv4, 1981) define o TTL como um valor de 8 bits decrementado por cada roteador que encaminha o pacote. Quando atinge zero, o roteador descarta o pacote e envia uma mensagem ICMP Type 11 (Time Exceeded) de volta ao remetente. Isso garante que nenhum pacote circula indefinidamente: com TTL maximo de 255, um pacote pode passar por no maximo 255 roteadores.
Na especificacao original do RFC 791, o TTL era interpretado em segundos: cada roteador deveria subtrair o tempo que o pacote ficou na sua fila de processamento. Na prática, como roteadores modernos processam pacotes em microsegundos, o TTL virou simplesmente um contador de saltos: cada roteador subtrai 1, independentemente do tempo de processamento. O IPv6 reconheceu essa realidade renomeando o campo para "Hop Limit" no RFC 8200.
TTL no header IPv4: posição e relação com outros campos
O campo TTL ocupa o byte 9 (offset 8) do header IPv4, que tem 20 bytes no formato minimo. O layout completo do header ajuda a entender como o TTL interage com outros campos de controle do IP:
| Offset (bytes) | Campo | Tamanho | Função |
|---|---|---|---|
| 0 | Version + IHL | 1 byte | Versão IP (4) e comprimento do header em palavras de 32 bits |
| 1 | DSCP / ECN | 1 byte | Qualidade de serviço (QoS) e notificação de congestionamento |
| 2-3 | Total Length | 2 bytes | Comprimento total do datagrama IP (header + dados) em bytes |
| 4-5 | Identification | 2 bytes | ID para montagem de fragmentos |
| 6-7 | Flags + Fragment Offset | 2 bytes | Controle de fragmentação (DF, MF) e posição do fragmento |
| 8 | TTL | 1 byte | Contador de saltos: decrementado a cada roteador |
| 9 | Protocol | 1 byte | Protocolo do payload: 1=ICMP, 6=TCP, 17=UDP, 89=OSPF |
| 10-11 | Header Checksum | 2 bytes | Checksum do header IP (recalculado por cada roteador ao decrementar TTL) |
| 12-15 | Source IP Address | 4 bytes | Endereço IP de origem |
| 16-19 | Destination IP Address | 4 bytes | Endereço IP de destino |
Um detalhe importante: quando o roteador decrementa o TTL, ele precisa recalcular o Header Checksum. O checksum do header IP cobre todos os campos do header, incluindo o TTL. Isso adiciona processamento em cada salto, o que foi identificado como overhead desnecessario no IPv6: o IPv6 eliminou o checksum do header completamente, delegando a verificação de integridade ao TCP/UDP/ICMPv6. No IPv6, o campo equivalente ao TTL chama-se "Hop Limit" e tem a mesma função mecanica.
Como interpretar a saida do traceroute
Um traceroute do Brasil para um servidor nós EUA tipicamente mostra entre 10 e 20 hops. Aprender a ler a saida e uma habilidade prática que economiza horas de diagnostico.
Cada linha do traceroute representa um roteador no caminho. Os tres tempos (em ms) são as latências de tres probes distintos enviados com o mesmo TTL. Variacoes entre eles indicam jitter (variacao de latência). Um aumento repentino de latência em um hop especifico indica que o gargalo esta naquele roteador ou no link que o precede.
| Padrão observado | O que significa | O que fazer |
|---|---|---|
* * * (tres asteriscos) |
O roteador não enviou ICMP Time Exceeded ou filtrou ICMP. Não significa que o pacote foi descartado. | Continuar: se hops seguintes respondem, o roteador simplesmente não responde a ICMP mas encaminha tráfego normalmente. |
| Latência salta de 20ms para 180ms num hop | Link de alta latência (ex: transatlantico, link satelite, gargalo de capacidade) | Verificar se latência cai novamente após o hop. Se sim, o hop em si e lento mas o caminho continua. Se não, ha gargalo. |
| Mesmo IP repetido várias vezes | Loop de roteamento: pacote circulando entre dois roteadores | Investigar tabela de roteamento nós roteadores envolvidos. Rota incorreta configurada. |
| Traceroute para antes de chegar ao destino | Firewall bloqueando ICMP ou UDP ao destino, ou destino inacessivel | Usar tcptraceroute (porta TCP 80 ou 443) para contornar filtros ICMP. |
| IPs privados (10.x, 192.168.x) no meio do traceroute | Roteadores internos do ISP que não fazem NAT nas respostas ICMP | Normal. São roteadores internos do provedor; ignorar para fins de diagnostico externo. |
Traceroute de rotas típicas no Brasil
Um traceroute de São Paulo para o PTT-SP (ix.br) ou para servidores nós EUA mostra a infraestrutura de internet brasileira em ação. Analisar rotas reais e mais instrutivo que exemplos artificiais.
Rota típica de um usuário residencial Claro (AS28573) para o Google (AS15169) via PTT-SP:
| Hop | IP | Latência | Descricao |
|---|---|---|---|
| 1 | 192.168.0.1 | 1 ms | Gateway do roteador residencial (rede privada RFC 1918) |
| 2 | 100.65.x.x | 5 ms | CGNAT da Claro (bloco RFC 6598 - Carrier Grade NAT) |
| 3-4 | 177.x.x.x | 8-12 ms | Rede de acesso Claro SP (backbone interno) |
| 5 | 187.x.x.x | 10 ms | Roteador de borda Claro no IX.br PTT-SP |
| 6 | 209.85.x.x | 11 ms | Google (AS15169) recebe o tráfego pelo IX.br - sessão eBGP |
| 7 | 8.8.8.8 | 12 ms | Destino: Google Public DNS no PoP de São Paulo |
A latência total de ~12ms do Brasil para o 8.8.8.8 e possível porque o Google tem servidores no PTT-SP de São Paulo, tornando o tráfego puramente nacional. Sem o IX.br e o peering Google-Claro, esse tráfego teria que ir para os EUA (latência de 150-200ms). Esse e o valor prático dos pontos de troca de tráfego como o IX.br: mantém latências baixas para serviços populares.
TTL e seguranca: fingerprinting e ataques
O valor inicial do TTL revela o sistema operacional do remetente, uma técnica chamada OS fingerprinting passivo. Ferramentas como p0f e Nmap analisam o TTL de pacotes capturados para identificar o SO sem enviar nenhum probe ativo. Isso e usado tanto por defensores (inventario de ativos) quanto por atacantes (reconnaissance).
TTL como vetor de ataque: O ataque de TTL expiration injection explora roteadores que implementam ICMP Time Exceeded de forma previsivel. Em redes MPLS, o valor do TTL pode ser copiado do IP para o header MPLS (modo pipe) ou decrementado a cada hop MPLS (modo uniform), o que afeta como o traceroute ve os hops internos do ISP. Provedores brasileiros tipicamente usam o modo pipe, ocultando a topologia interna do traceroute externo.
TTL na era de CDNs e nuvem: Com o uso de CDNs (Content Delivery Networks) como Cloudflare, Fastly e AWS CloudFront, os traceroutes para grandes sites frequentemente terminam em pontos de presenca (PoPs) geograficamente proximos ao usuário, não nós servidores de origem. Um traceroute do Brasil para cloudflare.com geralmente termina num PoP em São Paulo ou Rio de Janeiro, com latência abaixo de 5ms. O IP retornado e do PoP da CDN, não do servidor original.
TTL no DNS: um conceito diferente com o mesmo nome
O campo TTL aparece em dois contextos de rede completamente diferentes: no header IP (contador de saltos) e nós registros DNS (tempo de vida em cache). E importante não confundir os dois.
O TTL de DNS (definido no RFC 1035) e um valor em segundos que indica por quanto tempo um registro DNS pode ser armazenado em cache por resolvers recursivos e clientes. Um registro A com TTL=3600 pode ficar em cache por 1 hora; depois disso, o resolver deve consultar o servidor autoritativo novamente. TTL de DNS afeta a propagação de mudancas: se você muda o IP de um dominio, clientes com cache antigo continuarao usando o IP velho até o TTL expirar.
| Aspecto | TTL no Header IP | TTL no Registro DNS |
|---|---|---|
| Unidade | Número de roteadores (saltos) | Segundos |
| Tamanho do campo | 8 bits (0-255) | 32 bits (0-2147483647) |
| Decrementado por | Cada roteador no caminho | Automaticamente pelo tempo transcorrido |
| Quando atinge zero | Pacote descartado, ICMP Time Exceeded enviado | Registro removido do cache, nova consulta necessaria |
| Quem define | Sistema operacional da origem (valor inicial) | Administrador do dominio no arquivo de zona DNS |
| RFC | RFC 791 (IPv4), RFC 8200 (IPv6 como Hop Limit) | RFC 1035 |
Valores típicos de TTL DNS no Brasil: grandes portais como Globo.com e UOL usam TTLs de 60-300 segundos para flexibilidade em mudancas. CDNs como Cloudflare recomendam TTL de 300 segundos (5 minutos) em operação normal. Durante manutencao planejada (ex: troca de provedor de hospedagem), a prática e reduzir o TTL para 60 segundos com 24-48 horas de antecedencia, fazer a mudanca, e depois restaurar o TTL alto.
Ferramentas avanCadas de traceroute
Além do traceroute e tracert clássicos, diversas ferramentas expandem as capacidades de mapeamento de rotas:
| Ferramenta | Protocolo | Sistema | Vantagem |
|---|---|---|---|
traceroute |
UDP (portas altas) | Linux/macOS | Padrão, funciona na maioria dos casos |
tracert |
ICMP Echo Request | Windows | Simples, disponível em qualquer Windows |
traceroute -I |
ICMP | Linux | Melhor penetracao em firewalls que bloqueiam UDP |
tcptraceroute |
TCP SYN | Linux | Atravessa firewalls que permitem HTTP/HTTPS |
mtr (MTR) |
ICMP/UDP | Linux/macOS | Mostra latência e perda de pacotes em tempo real |
pathping |
ICMP | Windows | Combina ping e tracert, mostra perda por hop |
O MTR (Matt's Traceroute) e a ferramenta preferida para diagnostico de qualidade de link no Brasil. Ao contrario do traceroute que faz um único sweep, o MTR envia probes continuamente e exibe latência minima, média e maxima mais perda de pacotes em cada hop, o que permite identificar instabilidade intermitente que um traceroute simples perderia.
"O campo TTL do IP foi renomeado de 'tempo de vida' para 'contador de saltos' no IPv6, refletindo com mais precisao sua função real. Ele não conta segundos, mas sim o número de roteadores pelos quais o pacote passou."
Larry L. Peterson e Bruce S. Davie, Redes de computadores: uma abordagem de sistemas, 5a edição, p. 128 (Elsevier, 2013)
Perguntas frequentes sobre TTL do pacote IP
O que e TTL em redes de computadores?
TTL (Time to Live) e um campo de 8 bits no cabecalho IPv4 que define quantos roteadores (hops) um pacote pode atravessar antes de ser descartado. O valor inicial e configurado pelo sistema operacional do remetente (64 no Linux, 128 no Windows). Cada roteador que encaminha o pacote decrementa o TTL em 1. Quando chega a 0, o roteador descarta o pacote e envia ICMP Time Exceeded de volta ao remetente.
Qual e o TTL padrão no Windows e no Linux?
No Windows 10/11, o TTL inicial padrão e 128. No Linux, e 64 (configuravel em /proc/sys/net/ipv4/ip_default_ttl). Em equipamentos Cisco IOS, o padrão e 255. A diferença de TTL inicial permite estimar o sistema operacional do remetente pelo valor recebido em capturas de tráfego.
Como o traceroute usa o TTL?
O traceroute envia pacotes com TTL=1, TTL=2, TTL=3... sequencialmente. Cada roteador no caminho descarta o pacote quando TTL chega a 0 e responde com ICMP Time Exceeded, revelando seu endereço IP e tempo de resposta. O traceroute coleta essas respostas para montar um mapa de todos os roteadores entre o remetente e o destino.
Por que alguns hops no traceroute aparecem como * * *?
O asterisco indica que o roteador naquele hop não enviou uma resposta ICMP Time Exceeded. Isso acontece quando o roteador bloqueia respostas ICMP (por política de seguranca ou rate limiting), não quando o pacote não passou por ali. Se os hops seguintes aparecem normalmente e o destino final responde, o pacote atravessou o roteador silencioso sem problema.
O que e ICMP Time Exceeded?
ICMP Time Exceeded e uma mensagem de controle (ICMP Type 11, Code 0) enviada por um roteador quando descarta um pacote cujo TTL decrementou para zero. A mensagem inclui o IP do roteador como origem e os primeiros 28 bytes do pacote descartado, permitindo que o remetente identifique qual probe gerou a resposta.
TTL do IP e TTL do DNS são a mesma coisa?
Não. O TTL do IP (contador de hops no cabecalho IPv4) e completamente diferente do TTL do DNS (tempo em segundos que um registro DNS pode ser cacheado). A coincidencia de nome causa confusao. No IP, TTL baixo significa pacote descartado mais cedo. No DNS, TTL baixo significa que resolvers consultam o servidor com mais frequência.
Como descobrir o TTL de um pacote recebido?
No Linux, o comando ping -n 10 8.8.8.8 exibe o TTL de cada resposta recebida na coluna "ttl=". No Windows, ping google.com exibe TTL na saida. Para captura detalhada, use o Wireshark: filtre por ip.ttl para ver o valor exato de qualquer pacote capturado.
Quantos hops tem uma conexão típica no Brasil para os EUA?
Uma conexão de São Paulo para servidores nós EUA tipicamente passa por 10 a 18 hops: 2-3 hops locais (rede domestica e CPE do provedor), 3-5 hops na rede do provedor brasileiro até o ponto de saida internacional, e 5-8 hops na rede americana. O PTT-SP do IX.br reduz hops para tráfego nacional, com muitos provedores se conectando localmente em vez de rotear via EUA.
E possível alterar o TTL inicial no Windows?
Sim, via registro do Windows. A chave e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, valor DefaultTTL (DWORD). O padrão e 128. Alterar para 64 faz o sistema parecer Linux para analise de fingerprinting passivo. Requer reinicializacao para ter efeito. Não afeta seguranca na prática para usuários normais.
O IPv6 tem TTL?
O IPv6 tem um campo equivalente chamado "Hop Limit" no cabecalho, ocupando o mesmo espaço de 8 bits. O nome Hop Limit e mais preciso que TTL: deixa claro que e um contador de saltos, não de tempo. O comportamento e identico: cada roteador decrementa em 1, e quando chega a 0, descarta com ICMPv6 Time Exceeded.
Qual TTL usar para evitar descarte prematuro de pacotes?
Na internet pública, 64 saltos e mais que suficiente: raramente uma rota usa mais de 30 hops. O valor 255 usado por equipamentos Cisco garante margem maxima, mas não e necessario para hosts normais. Se um pacote for descartado por TTL expirado antes de chegar ao destino (o que e incomum em rotas normais), o traceroute ajuda a identificar em qual hop ocorre e se ha loop de roteamento.
Teste de Ping
Leituras Relacionadas
- TCP/IP vs OSI: diferenca entre os dois modelos de redes — TCP/IP tem 4 camadas, OSI tem 7. Compare os dois modelos, veja o mapeamento de protocolos reais (IP, TCP, Ethernet, BGP) e entenda por que o OSI não dominou na prática.
- ARP: como dispositivos descobrem MAC na rede local — ARP (Address Resolution Protocol): como funciona o request broadcast e reply unicast, cache ARP, gratuitous ARP, proxy ARP, ARP spoofing e comandos arp -a no Windows e Linux.
- RFC: o que são os padrões que governam a internet — RFC (Request for Comments): o que são os documentos tecnicos do IETF, o RFC 1 de 1969, Jon Postel e Vint Cerf, categorias de RFC e os 10 RFCs mais importantes que todo profissional de redes deve conhecer.