Катастрофа в Интернете

В последнее время с европейским интернетом происходят странные вещи, пишет The Verge (более подробно можно ознакомиться на сайте Dyn.com). К примеру, вот уже на протяжении пяти дней веб-трафик, который должен поступать из Техаса (США) на определенные адреса в Великобритании, маршрутизируется через российские и украинские телекоммуникации. И проблема тут не только в неудобствах для пользователей, но и в возможности перехвата заинтересованными сторонами секретной информации.

К примеру, через Россию и Украину проходит интернет-трафик британского Агентства по ядерному оружию, которое отвечает за организацию, хранение и доставку в Великобританию ядерных боеголовок. Также к заинтересованным сторонам могла попасть и информация от официальной почтовой службы Великобритании — Royal Mail.

Обычно сетевой трафик выбирает «обходные пути» при перегрузке сети или проблемах с межсоединением, но это все равно не может объяснить данный маршрут трафика, который отклоняется на тысячи километров. По мнению специалистов, в этом случае уместно вспомнить о феномене под названием «похищение направления связи» (route hijacking). Если принять во внимание, какие именно данные прошли через российские и украинские телекоммуникации, то случившееся вызывает серьезную обеспокоенность со стороны британских властей.

Цинк — http://imperialcommiss.livejournal.com/1609798.html

Тем временем российский трафик уже давно бегает через франкфуртский узел China Telecom — и никто не жужжит:

Трафик

Причина понятна — «эффективные менеджеры» понабрали по объявлениям эффективных работников ценой подешевле, подобострастием к начальству поразвитее. Однако пакеты в сети не хотят сами собой ходить туда, где много лижут начальственные задницы языками — а настроить правильно оборудование у дешевых задолизов не хватает мозга:

Из-за неправильной конфигурации BGP-маршрутизаторов партнёр по пирингу может ошибочно направить чужой трафик в свою сеть. Именно это и происходило в случае с «Вымпелкомом» и China Telecom

Например, один такой случай произошёл 5 августа 2014 года, когда China Telecom (AS4134) передал таблицы маршрутизации трафика «Вымпелкома» (AS3216) своим пирам на несколько часов, в результате чего весь входящий трафик «Вымпелкома» пошёл через маршрутизаторы China Telecom.

Кроме очевидных проблем с безопасностью, такая маршрутизация увеличивает задержку при передаче пакетов. Например, при передаче с американского сервера трафик проходил через узлы China Telecom в Шанхае и Франкфурте:

trace from Reston, VA to Omsk, Russia at 12:00 Aug 05, 2014
1 *
2 129.250.204.153 (NTT America, Ashburn, US) 1.010ms
3 129.250.4.40 (NTT America, Ashburn, US) 0.934ms
4 *
5 129.250.5.13 (NTT America, San Jose, US) 74.649ms
6 129.250.8.6 xe-0.chinanet.snjsca04.us.bb.gin.ntt.net 70.909ms
7 202.97.90.33 (China Telecom, San Jose, US) 71.451ms
8 202.97.58.237 (China Telecom, Shanghai, CN) 341.819ms
9 202.97.58.66 (China Telecom, Frankfurt, DE) 641.424ms
10 118.85.204.58 (China Telecom, Frankfurt, DE) 608.965ms
11 79.104.245.250 pe-r.Omsk.gldn.net 632.054ms
12 195.239.162.178 (Vimpelcom, Omsk, RU) 687.536ms
13 89.179.76.25 vpn2-gi0-0.omsk.corbina.net 682.153ms
14 128.73.155.213 128-73-155-213.broadband.corbina.ru 707.525ms

Более того, даже внутренний российский трафик направлялся через маршрутизаторы China Telecom. Например, пакеты из Москвы в Ярославль путешествовали через Франкфурт:

trace from Moscow, Russia to Yaroslavl, Russia at 13:13 Aug 05, 2014
1 *
2 194.154.89.125 (Vimpelcom, Moscow, RU) 0.542ms
3 79.104.235.74 mx01.Frankfurt.gldn.net 37.006ms
4 118.85.204.57 beeline-gw4.china-telecom.net 39.505ms
5 213.248.84.185 ffm-b10-link.telia.net 41.481ms
6 62.115.137.180 ffm-bb2-link.telia.net 42.227ms
7 80.91.251.159 s-bb4-link.telia.net 42.894ms
8 213.155.133.105 s-b2-link.telia.net 41.528ms
9 80.239.128.234 megafon-ic-151430-s-b2.c.telia.net 42.707ms
10 *
11 78.25.73.42 (MegaFon, Volga,RU) 49.992ms
12 213.187.127.98 ysu1-ccr1036-1.yar.ru 50.301ms
13 213.187.117.230 (NETIS Telecom, Yaroslavl’, RU) 54.769ms

И никто не кричал про китайских хакеров.

Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@proru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

Читайте также:

Комментарии о материале (сверху свежие):
  1. Osman (2015-03-14 16:35:10)
    Туда-сюда-обратно... (с). Тисипи, фигли, для бешеного пакета пару тыщ км - не крюк.
  2. spirit (2015-03-14 16:37:24)
    Интернет почта России в действии?))
  3. FLY_Slim Jr. (2015-03-14 16:40:13)
    ну, если дело только в цене трафика то плевать. если дело в перенаправлении и перехвате - растрелять.
  4. SergeyR (2015-03-14 16:40:28)
    У меня в отделе стоит сетевой МФУ формата А3 – и я заметил, что всегда, когда сотрудник из другого отдела что-то туда скинул, он успевает прийти раньше, чем начнётся печать… … длина проводов влияет, что ле?...
  5. FLY_Slim Jr. (2015-03-14 16:42:39)
    нет, скорее всего комп с которого ты отправляешь - соеденен напрямую с мфу, а у сотрудника - по сети. Траф идет через тот комп на ком сидит мфу
  6. FLY_Slim Jr. (2015-03-14 16:47:05)
    Ещё от иерархии сети зависит
  7. Proper (2015-03-14 16:47:24)
    Сетевой МФУ ни на ком не сидит - у него унутре собственный сервер печати, иногда даже с HDD для накопления заданий и печати по расписанию. Но иногда даже такой МФУ цепляют на очередь печати, которая крутится на конторском сервере - из соображений удобства управления печатью и аудита, кто что печатал. Вот тогда тормоза могут быть значительными.
  8. SergeyR (2015-03-14 16:48:42)
    Да нет – МФУ сидит непосредственно на сети. Kyocera KM-1650…
  9. FLY_Slim Jr. (2015-03-14 16:51:05)
    От мфу зависит. Че, он же модель не сказал. Я описал самый простой и распространеный случай подключения в офисе. На приемной стоит мфу подключён к кому секретарши, она в сети, принтер расшарке. В вашем случае все зависит от от самого фу его возможностей, потребности в нем офиса
  10. FLY_Slim Jr. (2015-03-14 16:53:00)
    Если печатает - не забывайте голову. Может в настройках просто стоят какие то приоритеты. Да что угодно, выше вон Глагне напейсал
  11. Osman (2015-03-14 16:56:20)
    Разные дрова, как вариант. Или настройки порта печати на компе. Да тупо в настройках принтера разрешение печати задрано мож. PS. Хм.. Прикольный, кстати, ящик.. За такие-то бабки - и сетевой и ресурс нормальный..
  12. SergeyR (2015-03-14 16:58:59)
    Да, лично меня, всё устраивает – иногда, только, стебаюсь над пришедшими сотрудниками – мол, впереди радиоволн бежите, товарищи!…
  13. FLY_Slim Jr. (2015-03-14 17:01:54)
    По умолчанию установлена память мфу вашего 64метра, в принципе, если отправили мануалину в пдф формате весом больше, то вполне возможно задержка печати.
  14. FLY_Slim Jr. (2015-03-14 17:04:40)
    Сетка на вайфае что-ль??! Ещё один из возможных затыков в скорости
  15. SergeyR (2015-03-14 17:15:04)
    Наш админ, почему-то, ненавидит беспроводные сети, поэтому – только медь. Kyocera, если превышен буфер, выкидывает чистые листы, пока не отменить печать с пульта или не снять питание с аппарата…
  16. FLY_Slim Jr. (2015-03-14 17:18:08)
    Хренасе финт у принтера. У нас хьюлет просто очередь ставит и прет пока бумага не кончится
  17. Proper (2015-03-14 17:29:49)
    МФУ, подключенный к компу - это локальный аппарат. Его можно расшарить в сети - но он так и останется локальным. Это на самом деле вопрос точной терминологии. Терминология важна - если ее не стандартизировать, не использовать единообразно, то получится, что люди говорят одними словами о разных вещах. Сетевой принтер (network printer) - это принтер, подключенный непосредственно к сети. Не к компьютеру. Принтер, подключенный к компу - это локальный принтер. Комп с локальным принтером может ЭМУЛИРОВАТЬ СЕТЕВОЙ ПРИНТЕР. Для этого на компе запускается служба, называемая "Print-Server". Print-Server может быть и аппаратным - в него втыкается обычный (предназначенный для локального подключения) принтер, и в результате получается принтер сетевой.
  18. SergeyR (2015-03-14 17:31:22)
    А чё такого – ну прогнал он через себя всю кассету – Выкл… … «Отпечатанную» типа бумагу снова в кассету, питание вкл. – аппарат снова в норме… ... и просьба - отправляйте док на печать по частям...
  19. FLY_Slim Jr. (2015-03-14 17:31:23)
    Ок
  20. Proper (2015-03-14 17:48:34)
    Kyocera KM-1650 действительно дешевый для МФУ формата А3. Но вы не забывайте, сколько для него стоит картридж. Даже палёный - он стоит 2.5 тыра, а оригинал - стоит как сам принтер. В чем прикол? А в том, что с этим принтером дают пробный картридж на немножко листов. Он скоро кончается - и вы заносите киосере недостающую часть цены, покупая картридж. Поэтому я, если деньги лимитируют - выбираю Brother. У него достаточно много моделей с раздельным картриджем (барабан отдельно - бункер отдельно), и картриджи без чипов изначально, что позволяет бодренько и надежно пересыпать порошок. Ну и картридж даже к дешевым моделям дают полный - братки на этом не экономят. Опять же у бразера есть дешевые дуплексы (двусторонняя печать). Что же касается ресурса - забудьте про то, что написано в мануале. Иначе реальность вас огорчит.
  21. webbum (2015-03-14 18:40:09)
    Если статический адрес дать принтаку, то ускорится. На дхцп почему то медленней. Все некогда разобраться почему, ибо лекарство найдено))))
  22. Proper (2015-03-14 19:04:30)
    Так бумага-то по барабану волочится - а ресурс барабана ограничен. У приличных принтеров специальная фича есть - "пропуск пустых листов". Даже у бразера это есть. Если лист пустой - он просто его игнорирует, и переходит к следующему листу.
  23. FLY_Slim Jr. (2015-03-14 19:06:20)
    Я тоже удивлён. Мож просто принтер не настроен?!
  24. Proper (2015-03-14 19:09:19)
    Это да. Но обычно помогает в самом DHCP выделение зоны квази-статических адресов, в котором IP-адреса не выдаются динамически, а принудительно выделяются определенным MAC-адресам. При этом принтер думает, что адрес выделяется DHCP (так и есть), но на него не действует устаревание адреса.
  25. Proper (2015-03-14 19:11:03)
    Это и называется - Киосера, сделано в Японии. Драйвера писали идиоты по отсосингу в Бангалоре.
  26. SergeyR (2015-03-14 19:22:28)
    Да хрен его знает - аппарат в эксплуатации с 2005 – больших претензий нет. В этом году был капремонт, пачкать стал – меняли какие-то детальки (примерно на 5 k руб.)… … местные умельцы научились сыпать тонер в картриджи уже года как три назад. Удовольствие стоит около 1000 р (с выездом мастера), картриджа хватает примерно на 10 тыс. листов А4. В принципе – это нормально… П.Ц. Насчёт управления аппаратом, Вы правы – интерфейс придумали дибилы – мастер, который приходил, так сказал, и с ним я согласен…
  27. webbum (2015-03-14 19:24:21)
    и каскады серьёзно усугубляют.... мудрые начальники верили в вай вай, мол быстро и экономно)))))) теперь 2 уровня каскадирования))))
  28. Proper (2015-03-14 19:32:01)
    Вайфай для офиса - отказать. Я тут уже писал, что происходит с вайфаем при нагрузке от десятков клиентов. Всю критичную часть сети для продакшена - только на витой паре. Вайфай в офисе - только для интернета и эпизодического доступа с ноутов. Вот дома да, дома вайфай в тему. Но я и дома в основном на витухе - чтобы нюх не терять.
  29. Рич (2015-03-14 19:40:53)
    нате. рыдайте: http://www.youtube.com/watch?v=FXoYCeWjOtM
  30. Андрей (2015-03-14 19:49:52)
    На дхцп почему то медленней. При динамическом айпишнеге принтер на клиентских машинах должен подключаться по имени. Соответственно, надо настраивать принтер, чтобы он регистрировал свой айпи в ДНС после каждого общения с ДХЦП. Если же клиентские машины не в домене, то поиск по короткому имени не всегда дает результат. На таких машинах надо прописывать днс суффикс. Если же в сети нет днс и нет виндового сервака, то клиентские винды устраивают демократию и постоянно проводят выборы, кто будет обозревателем сети. При такой конфигурации задержки в разрешении имени в айпи постоянны.
  31. FLY_Slim Jr. (2015-03-14 19:51:27)
    Верно. И тоже применительно
  32. Proper (2015-03-14 20:02:34)
    Сеть в офисе без домена (то есть без виндового сервака с ролью контроллера домена или его эмуляции на самбе) - это нонсенс. Геморой своими руками. Но бесприменительно к этому, предлагаемая выше схема со статическим лизингом адресов сетевым принтерам и прочим опорным элементам инфраструктуры через DHCP хороша тем, что в крайнем случае принтер всегда можно прибиндить по IP адресу. Вообще не суясь к DNS. И при этом не надо лазать в настройки самого сетевого принтера.
  33. FLY_Slim Jr. (2015-03-14 20:15:25)
    Если роутер в сетке стоит нормальный можно им всезапилить, тот же зю гига 2 вполне ссправляется всем вплоть до приетсервера, фтп, контроллер, если надо, хранилище. Как вариант. Там и резервирование, и маки можно забиндить наплевав на айпи - в сети есть разные устройства, и некоторые ну никак не хотят дхцп
  34. Андрей (2015-03-14 20:23:14)
    Статическая связка MAC IP в DHCP для сетевых устройств некомпьютеров - это единственный разумный вариант. Особенно если конфигурацией сети и подключением к сети занимаются разные люди. Имя в ДНС опционально, если настройкой рабочих мест так же занимаются выделенные люди, не связанные с настройкой серверов и/или сети.
  35. Андрей (2015-03-14 20:27:21)
    ...и некоторые ну никак не хотят дхцп Ни разу не сталкивался с такими. А что за зю гига 2? Если дешевый, то для мелких контор самое то.
  36. FLY_Slim Jr. (2015-03-14 20:31:08)
    Зуксель гига 2. Есть очень много приборов поддерживющих подключение в сеть, но к ним нет доступа для настроек, с завода. Или нельзя изменять, так как внутри одной сети есть ещё одна сеть с первым случаем. Говорю образно, но думаю понятно
  37. Андрей (2015-03-14 20:48:48)
    ...но к ним нет доступа для настроек, с завода. Или нельзя изменять... Зачем покупать такие устройства, если они ведут к адаптированию моей сети к ним, а не наоборот? Это должно быть очень экзотические устройства, если нельзя найти альтернативы с нормальным поведением.
  38. Osman (2015-03-14 21:41:56)
    Вот чо тока не придумают - лишь бы не работать! (с) Кстати, о домашних контроллерах и прочих хранилищах. У кого лишние слюни есть, прошу: http://www.asus.com/Commercial_Servers_Workstations/P9AIC2750SAS4L/ Цена вот только нифига не домашняя. Дикая и неприрученая.
  39. Osman (2015-03-14 22:07:35)
    Картриджи - а точнее тонер к киосерам - это да, притча. Но если его хватит хотя бы на 7-8 килостраниц (10? вообще рай), да за 5 килорублей.. А ежели не лимитируют? Последнее время от лимитирования отбрехиваюсь до потери сознания (лимитирующим). Есть менее болезненные в перспективе методы сэкономить.
  40. FLY_Slim Jr. (2015-03-15 05:41:48)
    Это медицинское оборудование. Производитель не заморачивайся может выпустить партию устройств с прошитым айпи, хорошо, маки разные, и вот встаёт задача, как впихнуть в сеть 5-8 устройств с одним айпи?! И я не выбираю производителя - мир не идеален
  41. FLY_Slim Jr. (2015-03-15 05:43:01)
    У наших друзей китайцев можно поискать без наклейки асус ро приемлемой цене
  42. FLY_Slim Jr. (2015-03-15 05:58:06)
    прикольный построитель
  43. Proper (2015-03-15 15:18:03)
    Если бабки не лимитируют - берите профессиональные модели серьезного бренда. На них можно стребовать хороший откат как с продавцов, так и с поставщиков расходников - поскольку ими барыжат все, и вы можете выбирать из большого числа предложений. А не как с киосерой.
  44. Proper (2015-03-15 15:33:39)
    Мне всегда было интересно - зачем нужен формат платы Mini-ITX для SAS систем на 4 секции. В чем логика этого решения. Я поясню - куча винтов и БП для их питания займут столько места, что разница между Mini-ITX и Micro-ATX материнкой уже не скажется на габаритах устройства сколько-нибудь существенно. Более того - и процессор Atom для такой системы тоже крайне сомнителен. Ну а SAS для домашней системы - это вообще аццкий бред. Для домашних систем даже SATA-3 (пропускная способность до тех же 6 гбит/с) избыточен, достаточно обычного SATA-2.
  45. Proper (2015-03-15 15:35:19)
    Морально устарел уже 10 лет назад.
  46. Tovbot (2015-03-16 10:09:51)
    Гм... а можно кратко простым текстом - это это все значит? Я в этих вещах ни бумбум и ни черта не понял из статьи.
  47. Gemini (2015-04-29 18:38:26)
    Ах сударь,забейте,это такой способ уничижения..,если спросят,надуваем щеки и улыбаемся не разжимая губьев.
Чтобы писать свои комментарии - надо залогиниться на сайте. Тогда и вид комментариев станет более красивым.