Zuletzt aktualisiert am 06.12.2025 4 Minuten Lesezeit

TTL

TTL (Time to Live) ist ein 8-Bit-Feld im Header von IPv4-Paketen, das die maximale Lebensdauer eines Datenpakets im Netzwerk begrenzt. Der Wert wird bei jedem Durchlaufen eines Routers um mindestens 1 verringert. Erreicht der TTL-Wert 0, verwirft der Router das Paket und sendet eine ICMP-Fehlermeldung (Time Exceeded) an den Absender.

Die Hauptaufgabe des TTL-Feldes ist die Verhinderung von Routing-Schleifen. Ohne TTL könnten Pakete bei fehlerhafter Routing-Konfiguration endlos im Netzwerk kreisen und Ressourcen blockieren. Der TTL-Wert fungiert als Hop-Zähler: Je mehr Router ein Paket durchläuft, desto niedriger wird der Wert.

Technische Details und Spezifikation

Das TTL-Feld wurde im RFC 791 (Internet Protocol, September 1981) definiert. Ursprünglich war TTL als Zeitwert in Sekunden gedacht. In der Praxis behandeln Router den Wert jedoch als reinen Hop-Zähler, da die Verarbeitungszeit in modernen Netzwerken vernachlässigbar klein ist.

Wichtige Kennzahlen:

  • Feldgröße: 8 Bit (1 Byte)
  • Wertebereich: 0 bis 255
  • Position im IPv4-Header: Byte 8 (nach Protokoll-Feld)
  • Dekrementierung: Mindestens 1 pro Router-Hop

Typische Startwerte

Verschiedene Betriebssysteme setzen unterschiedliche TTL-Startwerte. Diese Werte sind oft charakteristisch und können zur groben Identifizierung des Quellsystems herangezogen werden.

Betriebssystem Standard-TTL
Linux 64
Windows 128
macOS 64
Cisco IOS 255

Anhand des empfangenen TTL-Werts lässt sich oft abschätzen, wie viele Hops ein Paket durchlaufen hat. Ein Paket mit TTL 120 von einem Windows-System hat vermutlich 8 Router passiert (128 - 120 = 8).

Verhinderung von Routing-Schleifen

Routing-Schleifen entstehen, wenn Router fehlerhafte oder inkonsistente Routing-Tabellen haben. Stell dir vor, Router A leitet Pakete für ein bestimmtes Ziel an Router B weiter, während Router B dieselben Pakete zurück an Router A schickt. Ohne TTL würden diese Pakete endlos zwischen den beiden Routern hin- und herspringen.

Das TTL-Feld löst dieses Problem elegant: Mit jedem Durchlauf verringert sich der Wert um 1. Nach spätestens 255 Hops (bei maximalem Startwert) wird das Paket verworfen. Die ICMP-Time-Exceeded-Nachricht informiert den Absender über das Problem, sodass Netzwerkadministratoren den Fehler diagnostizieren können.

Hop Limit in IPv6

In IPv6 wurde das TTL-Feld in Hop Limit umbenannt. Der Name ist präziser, da er die tatsächliche Funktionsweise als Hop-Zähler widerspiegelt. Die technische Implementierung ist identisch: Das 8-Bit-Feld wird bei jedem Router-Hop dekrementiert, und bei Erreichen von 0 wird das Paket verworfen.

Die Umbenennung in RFC 8200 (IPv6 Specification) beseitigt die historische Mehrdeutigkeit. Da der Wert nie wirklich als Zeitangabe funktionierte, ist "Hop Limit" die treffendere Bezeichnung.

Praktische Anwendungen

Traceroute und Ping

Netzwerk-Diagnosetools wie Ping und Traceroute nutzen das TTL-Feld kreativ. Traceroute sendet Pakete mit schrittweise erhöhtem TTL-Wert (beginnend bei 1). Jeder Router auf dem Weg verwirft das Paket und sendet eine ICMP-Time-Exceeded-Nachricht zurück. So lässt sich der komplette Pfad zum Ziel rekonstruieren.

# Traceroute unter Linux/macOS
traceroute example.com

# Tracert unter Windows
tracert example.com

Bei Ping kannst du den TTL-Wert oft anpassen, um gezielt die Erreichbarkeit bestimmter Netzwerksegmente zu testen. Ein niedriger TTL-Wert begrenzt die Reichweite des Pakets und kann bei der Fehlersuche helfen.

Sicherheitsaspekte

Der TTL-Wert kann Hinweise auf die Netzwerktopologie und das verwendete Betriebssystem geben. Angreifer nutzen diese Information im Rahmen von OS-Fingerprinting. Umgekehrt kann ein sehr niedriger TTL-Wert bei eingehenden Paketen auf Manipulationsversuche hindeuten.

Einige Firewalls und Sicherheitssysteme normalisieren den TTL-Wert, um solche Informationslecks zu verhindern. In sicherheitskritischen Umgebungen werden Pakete mit ungewöhnlich niedrigen TTL-Werten manchmal als verdächtig eingestuft.

TTL in anderen Kontexten

Der Begriff TTL wird auch außerhalb des IP-Protokolls verwendet. Bei DNS-Einträgen gibt der TTL-Wert an, wie lange ein Eintrag im Cache gespeichert werden darf (hier tatsächlich als Zeitwert in Sekunden). Auch bei CDNs, Caching-Systemen und Datenbanken bezeichnet TTL die Gültigkeitsdauer von Einträgen.

Im Kontext der IT-Ausbildung liegt der Fokus jedoch meist auf dem IP-TTL-Feld, das in Prüfungsfragen zu Netzwerkgrundlagen und Routing regelmäßig vorkommt.

Quellen und weiterführende Links

Zurück zum Lexikon

Datenschutzhinweis

Keine Tracking-Cookies. Wir nutzen Fathom Analytics: cookieless, anonym und DSGVO-konform. YouTube-Videos werden über youtube-nocookie.com eingebunden.