Катастрофа в Интернете

В последнее время с европейским интернетом происходят странные вещи, пишет The Verge (более подробно можно ознакомиться на сайте Dyn.com). К примеру, вот уже на протяжении пяти дней веб-трафик, который должен поступать из Техаса (США) на определенные адреса в Великобритании, маршрутизируется через российские и украинские телекоммуникации. И проблема тут не только в неудобствах для пользователей, но и в возможности перехвата заинтересованными сторонами секретной информации.

К примеру, через Россию и Украину проходит интернет-трафик британского Агентства по ядерному оружию, которое отвечает за организацию, хранение и доставку в Великобританию ядерных боеголовок. Также к заинтересованным сторонам могла попасть и информация от официальной почтовой службы Великобритании — Royal Mail.

Обычно сетевой трафик выбирает «обходные пути» при перегрузке сети или проблемах с межсоединением, но это все равно не может объяснить данный маршрут трафика, который отклоняется на тысячи километров. По мнению специалистов, в этом случае уместно вспомнить о феномене под названием «похищение направления связи» (route hijacking). Если принять во внимание, какие именно данные прошли через российские и украинские телекоммуникации, то случившееся вызывает серьезную обеспокоенность со стороны британских властей.

Цинк — http://imperialcommiss.livejournal.com/1609798.html

Тем временем российский трафик уже давно бегает через франкфуртский узел China Telecom — и никто не жужжит:

Трафик

Причина понятна — «эффективные менеджеры» понабрали по объявлениям эффективных работников ценой подешевле, подобострастием к начальству поразвитее. Однако пакеты в сети не хотят сами собой ходить туда, где много лижут начальственные задницы языками — а настроить правильно оборудование у дешевых задолизов не хватает мозга:

Из-за неправильной конфигурации BGP-маршрутизаторов партнёр по пирингу может ошибочно направить чужой трафик в свою сеть. Именно это и происходило в случае с «Вымпелкомом» и China Telecom

Например, один такой случай произошёл 5 августа 2014 года, когда China Telecom (AS4134) передал таблицы маршрутизации трафика «Вымпелкома» (AS3216) своим пирам на несколько часов, в результате чего весь входящий трафик «Вымпелкома» пошёл через маршрутизаторы China Telecom.

Кроме очевидных проблем с безопасностью, такая маршрутизация увеличивает задержку при передаче пакетов. Например, при передаче с американского сервера трафик проходил через узлы China Telecom в Шанхае и Франкфурте:

trace from Reston, VA to Omsk, Russia at 12:00 Aug 05, 2014
1 *
2 129.250.204.153 (NTT America, Ashburn, US) 1.010ms
3 129.250.4.40 (NTT America, Ashburn, US) 0.934ms
4 *
5 129.250.5.13 (NTT America, San Jose, US) 74.649ms
6 129.250.8.6 xe-0.chinanet.snjsca04.us.bb.gin.ntt.net 70.909ms
7 202.97.90.33 (China Telecom, San Jose, US) 71.451ms
8 202.97.58.237 (China Telecom, Shanghai, CN) 341.819ms
9 202.97.58.66 (China Telecom, Frankfurt, DE) 641.424ms
10 118.85.204.58 (China Telecom, Frankfurt, DE) 608.965ms
11 79.104.245.250 pe-r.Omsk.gldn.net 632.054ms
12 195.239.162.178 (Vimpelcom, Omsk, RU) 687.536ms
13 89.179.76.25 vpn2-gi0-0.omsk.corbina.net 682.153ms
14 128.73.155.213 128-73-155-213.broadband.corbina.ru 707.525ms

Более того, даже внутренний российский трафик направлялся через маршрутизаторы China Telecom. Например, пакеты из Москвы в Ярославль путешествовали через Франкфурт:

trace from Moscow, Russia to Yaroslavl, Russia at 13:13 Aug 05, 2014
1 *
2 194.154.89.125 (Vimpelcom, Moscow, RU) 0.542ms
3 79.104.235.74 mx01.Frankfurt.gldn.net 37.006ms
4 118.85.204.57 beeline-gw4.china-telecom.net 39.505ms
5 213.248.84.185 ffm-b10-link.telia.net 41.481ms
6 62.115.137.180 ffm-bb2-link.telia.net 42.227ms
7 80.91.251.159 s-bb4-link.telia.net 42.894ms
8 213.155.133.105 s-b2-link.telia.net 41.528ms
9 80.239.128.234 megafon-ic-151430-s-b2.c.telia.net 42.707ms
10 *
11 78.25.73.42 (MegaFon, Volga,RU) 49.992ms
12 213.187.127.98 ysu1-ccr1036-1.yar.ru 50.301ms
13 213.187.117.230 (NETIS Telecom, Yaroslavl’, RU) 54.769ms

И никто не кричал про китайских хакеров.

Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@newru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

комментариев 47

  1. Osman:

    Туда-сюда-обратно… (с).
    Тисипи, фигли, для бешеного пакета пару тыщ км — не крюк.

  2. spirit:

    Интернет почта России в действии?))

  3. FLY_Slim Jr.:

    ну, если дело только в цене трафика то плевать.
    если дело в перенаправлении и перехвате — растрелять.

  4. SergeyR:

    У меня в отделе стоит сетевой МФУ формата А3 – и я заметил, что всегда, когда сотрудник из другого отдела что-то туда скинул, он успевает прийти раньше, чем начнётся печать…
    … длина проводов влияет, что ле?…

    • FLY_Slim Jr.:

      нет, скорее всего комп с которого ты отправляешь — соеденен напрямую с мфу, а у сотрудника — по сети.
      Траф идет через тот комп на ком сидит мфу

      • Proper:

        Сетевой МФУ ни на ком не сидит — у него унутре собственный сервер печати, иногда даже с HDD для накопления заданий и печати по расписанию.

        Но иногда даже такой МФУ цепляют на очередь печати, которая крутится на конторском сервере — из соображений удобства управления печатью и аудита, кто что печатал. Вот тогда тормоза могут быть значительными.

        • FLY_Slim Jr.:

          От мфу зависит. Че, он же модель не сказал. Я описал самый простой и распространеный случай подключения в офисе. На приемной стоит мфу подключён к кому секретарши, она в сети, принтер расшарке. В вашем случае все зависит от от самого фу его возможностей, потребности в нем офиса

          • Proper:

            МФУ, подключенный к компу — это локальный аппарат. Его можно расшарить в сети — но он так и останется локальным.

            Это на самом деле вопрос точной терминологии. Терминология важна — если ее не стандартизировать, не использовать единообразно, то получится, что люди говорят одними словами о разных вещах.

            Сетевой принтер (network printer) — это принтер, подключенный непосредственно к сети. Не к компьютеру.

            Принтер, подключенный к компу — это локальный принтер.

            Комп с локальным принтером может ЭМУЛИРОВАТЬ СЕТЕВОЙ ПРИНТЕР. Для этого на компе запускается служба, называемая «Print-Server».

            Print-Server может быть и аппаратным — в него втыкается обычный (предназначенный для локального подключения) принтер, и в результате получается принтер сетевой.

      • SergeyR:

        Да нет – МФУ сидит непосредственно на сети. Kyocera KM-1650…

        • FLY_Slim Jr.:

          Если печатает — не забывайте голову. Может в настройках просто стоят какие то приоритеты. Да что угодно, выше вон Глагне напейсал

          • SergeyR:

            Да, лично меня, всё устраивает – иногда, только, стебаюсь над пришедшими сотрудниками – мол, впереди радиоволн бежите, товарищи!…

            • FLY_Slim Jr.:

              По умолчанию установлена память мфу вашего 64метра, в принципе, если отправили мануалину в пдф формате весом больше, то вполне возможно задержка печати.

            • FLY_Slim Jr.:

              Сетка на вайфае что-ль??! Ещё один из возможных затыков в скорости

              • SergeyR:

                Наш админ, почему-то, ненавидит беспроводные сети, поэтому – только медь. Kyocera, если превышен буфер, выкидывает чистые листы, пока не отменить печать с пульта или не снять питание с аппарата…

                • FLY_Slim Jr.:

                  Хренасе финт у принтера. У нас хьюлет просто очередь ставит и прет пока бумага не кончится

                  • SergeyR:

                    А чё такого – ну прогнал он через себя всю кассету – Выкл…
                    … «Отпечатанную» типа бумагу снова в кассету, питание вкл. – аппарат снова в норме…
                    … и просьба — отправляйте док на печать по частям…

                    • Proper:

                      Так бумага-то по барабану волочится — а ресурс барабана ограничен.

                      У приличных принтеров специальная фича есть — «пропуск пустых листов». Даже у бразера это есть. Если лист пустой — он просто его игнорирует, и переходит к следующему листу.

                    • FLY_Slim Jr.:

                      Я тоже удивлён. Мож просто принтер не настроен?!

                    • Proper:

                      Это и называется — Киосера, сделано в Японии.

                      Драйвера писали идиоты по отсосингу в Бангалоре.

                    • SergeyR:

                      Да хрен его знает — аппарат в эксплуатации с 2005 – больших претензий нет. В этом году был капремонт, пачкать стал – меняли какие-то детальки (примерно на 5 k руб.)…

                      … местные умельцы научились сыпать тонер в картриджи уже года как три назад. Удовольствие стоит около 1000 р (с выездом мастера), картриджа хватает примерно на 10 тыс. листов А4. В принципе – это нормально…

                      П.Ц. Насчёт управления аппаратом, Вы правы – интерфейс придумали дибилы – мастер, который приходил, так сказал, и с ним я согласен…

        • Osman:

          Разные дрова, как вариант. Или настройки порта печати на компе.
          Да тупо в настройках принтера разрешение печати задрано мож.

          PS. Хм.. Прикольный, кстати, ящик.. За такие-то бабки — и сетевой и ресурс нормальный..

          • Proper:

            Kyocera KM-1650 действительно дешевый для МФУ формата А3. Но вы не забывайте, сколько для него стоит картридж. Даже палёный — он стоит 2.5 тыра, а оригинал — стоит как сам принтер.

            В чем прикол? А в том, что с этим принтером дают пробный картридж на немножко листов. Он скоро кончается — и вы заносите киосере недостающую часть цены, покупая картридж.

            Поэтому я, если деньги лимитируют — выбираю Brother. У него достаточно много моделей с раздельным картриджем (барабан отдельно — бункер отдельно), и картриджи без чипов изначально, что позволяет бодренько и надежно пересыпать порошок. Ну и картридж даже к дешевым моделям дают полный — братки на этом не экономят.

            Опять же у бразера есть дешевые дуплексы (двусторонняя печать).

            Что же касается ресурса — забудьте про то, что написано в мануале. Иначе реальность вас огорчит.

            • Osman:

              Картриджи — а точнее тонер к киосерам — это да, притча. Но если его хватит хотя бы на 7-8 килостраниц (10? вообще рай), да за 5 килорублей..

              А ежели не лимитируют? Последнее время от лимитирования отбрехиваюсь до потери сознания (лимитирующим). Есть менее болезненные в перспективе методы сэкономить.

              • Proper:

                Если бабки не лимитируют — берите профессиональные модели серьезного бренда. На них можно стребовать хороший откат как с продавцов, так и с поставщиков расходников — поскольку ими барыжат все, и вы можете выбирать из большого числа предложений. А не как с киосерой.

  5. FLY_Slim Jr.:

    Ещё от иерархии сети зависит

  6. webbum:

    Если статический адрес дать принтаку, то ускорится. На дхцп почему то медленней. Все некогда разобраться почему, ибо лекарство найдено))))

    • Proper:

      Это да. Но обычно помогает в самом DHCP выделение зоны квази-статических адресов, в котором IP-адреса не выдаются динамически, а принудительно выделяются определенным MAC-адресам. При этом принтер думает, что адрес выделяется DHCP (так и есть), но на него не действует устаревание адреса.

      • webbum:

        и каскады серьёзно усугубляют…. мудрые начальники верили в вай вай, мол быстро и экономно)))))) теперь 2 уровня каскадирования))))

        • Proper:

          Вайфай для офиса — отказать. Я тут уже писал, что происходит с вайфаем при нагрузке от десятков клиентов. Всю критичную часть сети для продакшена — только на витой паре. Вайфай в офисе — только для интернета и эпизодического доступа с ноутов.

          Вот дома да, дома вайфай в тему. Но я и дома в основном на витухе — чтобы нюх не терять.

    • Андрей:

      На дхцп почему то медленней.
      При динамическом айпишнеге принтер на клиентских машинах должен подключаться по имени. Соответственно, надо настраивать принтер, чтобы он регистрировал свой айпи в ДНС после каждого общения с ДХЦП.
      Если же клиентские машины не в домене, то поиск по короткому имени не всегда дает результат. На таких машинах надо прописывать днс суффикс.
      Если же в сети нет днс и нет виндового сервака, то клиентские винды устраивают демократию и постоянно проводят выборы, кто будет обозревателем сети. При такой конфигурации задержки в разрешении имени в айпи постоянны.

      • FLY_Slim Jr.:

        Верно. И тоже применительно

      • Proper:

        Сеть в офисе без домена (то есть без виндового сервака с ролью контроллера домена или его эмуляции на самбе) — это нонсенс. Геморой своими руками.

        Но бесприменительно к этому, предлагаемая выше схема со статическим лизингом адресов сетевым принтерам и прочим опорным элементам инфраструктуры через DHCP хороша тем, что в крайнем случае принтер всегда можно прибиндить по IP адресу. Вообще не суясь к DNS. И при этом не надо лазать в настройки самого сетевого принтера.

        • FLY_Slim Jr.:

          Если роутер в сетке стоит нормальный можно им всезапилить, тот же зю гига 2 вполне ссправляется всем вплоть до приетсервера, фтп, контроллер, если надо, хранилище. Как вариант. Там и резервирование, и маки можно забиндить наплевав на айпи — в сети есть разные устройства, и некоторые ну никак не хотят дхцп

          • Андрей:

            …и некоторые ну никак не хотят дхцп
            Ни разу не сталкивался с такими.

            А что за зю гига 2? Если дешевый, то для мелких контор самое то.

            • FLY_Slim Jr.:

              Зуксель гига 2. Есть очень много приборов поддерживющих подключение в сеть, но к ним нет доступа для настроек, с завода. Или нельзя изменять, так как внутри одной сети есть ещё одна сеть с первым случаем. Говорю образно, но думаю понятно

              • Андрей:

                …но к ним нет доступа для настроек, с завода. Или нельзя изменять…
                Зачем покупать такие устройства, если они ведут к адаптированию моей сети к ним, а не наоборот? Это должно быть очень экзотические устройства, если нельзя найти альтернативы с нормальным поведением.

                • FLY_Slim Jr.:

                  Это медицинское оборудование. Производитель не заморачивайся может выпустить партию устройств с прошитым айпи, хорошо, маки разные, и вот встаёт задача, как впихнуть в сеть 5-8 устройств с одним айпи?! И я не выбираю производителя — мир не идеален

        • Андрей:

          Статическая связка MAC IP в DHCP для сетевых устройств некомпьютеров — это единственный разумный вариант. Особенно если конфигурацией сети и подключением к сети занимаются разные люди. Имя в ДНС опционально, если настройкой рабочих мест так же занимаются выделенные люди, не связанные с настройкой серверов и/или сети.

  7. Рич:

    нате. рыдайте:
    http://www.youtube.com/watch?v=FXoYCeWjOtM

    • Osman:

      Вот чо тока не придумают — лишь бы не работать! (с)

      Кстати, о домашних контроллерах и прочих хранилищах. У кого лишние слюни есть, прошу: http://www.asus.com/Commercial_Servers_Workstations/P9AIC2750SAS4L/
      Цена вот только нифига не домашняя. Дикая и неприрученая.

      • FLY_Slim Jr.:

        У наших друзей китайцев можно поискать без наклейки асус ро приемлемой цене

        • Proper:

          Мне всегда было интересно — зачем нужен формат платы Mini-ITX для SAS систем на 4 секции. В чем логика этого решения.

          Я поясню — куча винтов и БП для их питания займут столько места, что разница между Mini-ITX и Micro-ATX материнкой уже не скажется на габаритах устройства сколько-нибудь существенно. Более того — и процессор Atom для такой системы тоже крайне сомнителен.

          Ну а SAS для домашней системы — это вообще аццкий бред. Для домашних систем даже SATA-3 (пропускная способность до тех же 6 гбит/с) избыточен, достаточно обычного SATA-2.

    • FLY_Slim Jr.:

      прикольный построитель

  8. Tovbot:

    Гм… а можно кратко простым текстом — это это все значит? Я в этих вещах ни бумбум и ни черта не понял из статьи.

    • Gemini:

      Ах сударь,забейте,это такой способ уничижения..,если спросят,надуваем щеки и улыбаемся не разжимая губьев.