Там еще на странице осталось два квадрата внизу. Слева как раз тот график, который показывал "обрыв". В частности он показывает сейчас, что анонсы от STE пошли.
Справа внизу - Дистанция измеренная в транзитных AS в зоне охвата RIPE. Это так к сведению, особо ничего не означает в стандартной ситуации...
Идем в самое интересное окошко - http://www.ris.ripe.net/bgpviz/. (Нужна Java). Это реальная машина времени в которой можно отследить динамику апдейтов. Запускаем и пишем в нее любой префикс добытый нашими познаниями. Например, 178.171.128.0/17 он большой, в нем много ip адресов, вряд-ли его будут зажимать вечно. Вставляем в окошко, период берем с числа 28 по сегодня сейчас. Всё теперь имеем полную картину. Можно тыкать плей и любоваться на мигающие чёрточки, кстати, интересно, но не в нашем случае. Мы сразу полезем в меню View-> Graph dumb. Это полная статистика апдейтов. Тут мы видим announcements, reannouncemets, widthdrawals, initial graph и full log. Я смотрю full-log обычно, но чтоб резину не тянуть лезем в withdrawals. Що, це таке - withdrawals? Это принудительное выдергивание маршрута из таблицы (full-view). Анонсы-реанонсы идут постоянно, объяснял почему, а виддровалы достаточно редкое событие. Поэтому имеем (кусочек):
т.е. основное событие произошло 29/11/2012 13:27-13:31. В это время выключили. Но не все, что указывает на то, что связность по физическим линкам нарушена не было. Прекратили анансировать большинство префиксов, на которых, видимо, есть какие-то важные ресурсы и клиенты. Кстати, молодцы админы. Хорошо админят. Распихать сервисы по блокам - очень хороший тон. Кстати - да, связность полностью восстановлена. Видно из Full log'a.
Ну, все. Теперь каждая кухарка может.... посмотреть куда делся трафик. ;)
Теперь выводы. 1. Физика не ломалась. 2. Запретить анонсы могут как STE со своего конца, так и все вышеперечисленные операторы. Во втором случае получится полная изоляция. 3. Зная раздолбайство и внутренне устройство BFC (big fucking company), в которых внутренние документы могут месяцами ходить, я с трудом представляю себе скоординированные действия 6 провайдеров, уложившихся в 3 (!!!) минуты. 4. Однозначно сирийцы организовали. И считаю, правильно. Там война идет и мирных граждан ни за что убивают, а через Интернет идет координация тех, кто устраивает террор. Задача облегчена тем, что фактически на территории страны один крупный оператор.
З.Ы. Полно других плейеров и смотрелок. Есть платные, есть бесплатные. В принципе, каждый крупный оператор имеет. В основном за бугром. У нас на это денег не тратят, а если и тратят, то никому не показывают. Покопаться и поискать можно тут - http://traceroute.org
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ninetydegrees
no subject
1/12/12 20:32 (UTC)Справа внизу - Дистанция измеренная в транзитных AS в зоне охвата RIPE. Это так к сведению, особо ничего не означает в стандартной ситуации...
Идем в самое интересное окошко - http://www.ris.ripe.net/bgpviz/. (Нужна Java). Это реальная машина времени в которой можно отследить динамику апдейтов. Запускаем и пишем в нее любой префикс добытый нашими познаниями. Например, 178.171.128.0/17 он большой, в нем много ip адресов, вряд-ли его будут зажимать вечно. Вставляем в окошко, период берем с числа 28 по сегодня сейчас. Всё теперь имеем полную картину. Можно тыкать плей и любоваться на мигающие чёрточки, кстати, интересно, но не в нашем случае. Мы сразу полезем в меню View-> Graph dumb. Это полная статистика апдейтов. Тут мы видим announcements, reannouncemets, widthdrawals, initial graph и full log. Я смотрю full-log обычно, но чтоб резину не тянуть лезем в withdrawals. Що, це таке - withdrawals? Это принудительное выдергивание маршрута из таблицы (full-view). Анонсы-реанонсы идут постоянно, объяснял почему, а виддровалы достаточно редкое событие. Поэтому имеем (кусочек):
(29/11/2012 13:27 | WITHDRAWAL): AS2914 (198.32.176.14 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS7575 (198.32.176.177 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS7575 (198.32.176.177 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS6762 (198.32.176.70 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS19151 (198.32.176.164 - PAIX)
(29/11/2012 13:28 | WITHDRAWAL): AS1280 (198.32.176.3 - PAIX)
(29/11/2012 13:28 | WITHDRAWAL): AS2497 (198.32.176.24 - PAIX)
......
(29/11/2012 13:31 | WITHDRAWAL): AS31019 (193.239.116.200 - NL-IX)
т.е. основное событие произошло 29/11/2012 13:27-13:31. В это время выключили. Но не все, что указывает на то, что связность по физическим линкам нарушена не было. Прекратили анансировать большинство префиксов, на которых, видимо, есть какие-то важные ресурсы и клиенты. Кстати, молодцы админы. Хорошо админят. Распихать сервисы по блокам - очень хороший тон.
Кстати - да, связность полностью восстановлена. Видно из Full log'a.
Ну, все. Теперь каждая кухарка может.... посмотреть куда делся трафик. ;)
Теперь выводы.
1. Физика не ломалась.
2. Запретить анонсы могут как STE со своего конца, так и все вышеперечисленные операторы. Во втором случае получится полная изоляция.
3. Зная раздолбайство и внутренне устройство BFC (big fucking company), в которых внутренние документы могут месяцами ходить, я с трудом представляю себе скоординированные действия 6 провайдеров, уложившихся в 3 (!!!) минуты.
4. Однозначно сирийцы организовали. И считаю, правильно. Там война идет и мирных граждан ни за что убивают, а через Интернет идет координация тех, кто устраивает террор. Задача облегчена тем, что фактически на территории страны один крупный оператор.
З.Ы. Полно других плейеров и смотрелок. Есть платные, есть бесплатные. В принципе, каждый крупный оператор имеет. В основном за бугром. У нас на это денег не тратят, а если и тратят, то никому не показывают. Покопаться и поискать можно тут - http://traceroute.org