![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Каким способом Сирию отключили от интернета
В четверг 29 ноября в 10:26 UTC (13:26 МСК) международные каналы связи с Сирией полностью отключились. В глобальной таблице маршрутизации все 84 блока сирийских IP-адресов стали недоступны, эффективно удалив это государство из интернета. Спустя 12 часов связь ещё не восстановлена.
Аналитическая компания Renesys отслеживает ситуацию и периодически публикует обновления в блоге. По прошествии 12 часов выяснилось, что traceroute всё-таки проходит в некоторые сирийские сети. Там есть контент и серверы сохранили подключение к интернету. Эти пять блоков IP-адресов зарегистрированы на Сирию, но размещаются за пределами страны на оффшорном хостинге под управлением телекоммуникационной компании Tata Communications. Вероятно, из-за своего заграничного хостинга они не попали под государственный «рубильник». Кстати, среди оставшихся в онлайне и те серверы, которые в мае текущего года были замечены в рассылке троянов на компьютеры политических активистов под видом программ для шифрования Skype-коммуникаций.
Для справки: Сирия сейчас находится в состоянии гражданской войны. Идут уличные бои с применением тяжёлых вооружений в нескольких крупных городах страны, включая столицу Дамаск. Более 200 тысяч сирийцев покинули страну в результате боевых действий.
Сирийские повстанцы говорят, что в интернет могут выйти только абоненты спутниковой связи, а также абоненты сотовой связи в приграничных с Турцией городах. Они считают, что правительство готовится к какой-то масштабной военной операции — и поэтому им отключили интернет.
UPD. Хакеры из CDN-компании Cloudflare опубликовали свой комментарий по поводу отключения интернета в Сирии. Они подтвердили, что связь действительно отсутствует по всей стране. Сирия подключена к интернету четырьмя каналами — все они перестали работать с 10:26 UTC по 10:29 UTC, так что маловероятно физическое повреждение кабелей. Вдобавок, эксперты опубликовали видео с демонстрацией изменений в таблицах маршрутизации, внесённых сирийским провайдером Syrian Telecommunications (красная точка на схеме) непосредственно перед отключением интернета, а также сам процесс отключения с 10:26 UTC по 10:29 UTC (см. время в верхнем левом углу).
источник
Про отключение интернета в Сирии
http://blog-vklt.livejournal.com/55819.html
UPD: Извиняюсь при беглом просмотре не заметил ссылку на Cloudflare
Re: Про отключение интернета в Сирии
Спасибо!
Re: Про отключение интернета в Сирии
Re: Про отключение интернета в Сирии
Спасибо :)
Re: Про отключение интернета в Сирии
Каким способом Сирию отключили от интернета
no subject
Крайне удивлен числу "профессионалов", пройдясь по ссылкам: хабрам там всяким и прочее. В мое время я был самым слабым учеником, пока не стал по "административно-хозяйственной части"... Многое изменилось, но как сказал Уэф из С Плюка: "....я тебя полюбил, я тебя научу...." ;)
Я начну пока, а закончу потом... когда-нить. ;)
Картинка это - стандартный bgp-play - https://labs.ripe.net/Members/csquarce/content-historical-bgplay.
Но, чтоб им пользоваться надо немного теории.
Весь раутинг в Инете работает под управлением протокола BGP version 4. Уже давно. лет 20. Там для нашего случая нужно рассмотреть иерархию объектов. Первый и главный - это номер Автономной Системы (AS). Выдается IANA через региональные регистратуры - RIR. В нашем случае - RIPE (www.ripe.net). AS анонсирует посредством БГП маршруты соседним AS, которые называются в зависимости от настроения: префиксами, роутобжектами, раутами и т.д. и т.п. Совокупность всех префиксов всех автономных систем на Земле образуют глобальную таблице маршрутизации - на жаргоне full-view. Фулл-вью живет на всех маршрутизаторах всех провайдеров (ну это так приближение не далекое от истины, для упрощения). Так вот объекты префиксы для своей AS можно было выпросить у региональной RIR в любом количестве. автоматически они регистрируются в базах регистратур с фамилиями, явками и адресами. Пожалуй, хватит теории.
Короче, по AS29386 можно спросить у RIPE так - https://apps.db.ripe.net/search/query.html . Вставить там в окошке поиска "-B AS29386". Всё. Все фамилии, адреса, телефоны нам спалили.
aut-num: AS29386 as-name: EXT-PDN-STE-AS descr: Syrian Telecommunications Establishment org: ORG-STE1-RIPE ......... person: Mostafa Sawan address: Syria phone: +963 21 5229803 fax-no: +963 21 52288992 nic-hdl: MS4418-RIPE changed: sawan@pdn.sy 20070911 mnt-by: STEMNT-1 source: RIPE UpdateDelete person: Weam Salem address: PDN- STE phone: +963-11-4461475 fax-no: +963-11-4466892 e-mail: wmsalem@gmail.com nic-hdl: WS1833-RIPE mnt-by: WS-MNT changed: wmsalem@gmail.com 20081201 changed: wmsalem@gmail.com 20110201 source: RIPEЧувакам можно звонить, как правило адреса и телефоны реальные. на 85%.
Дальше нам бы поискать префиксы. Идем сюда - https://apps.db.ripe.net/search/full-text.html . раскрываем advanced search и выбираем в левом окошке route, в правом origin. В главное окно поиска вставляем AS29386. И видим вообще все route-объекты этой автономки....
Завтра дорасскажу зачем все это и что с этим делать....
З.Ы. чтоб на сегодня сегодня интрижку сохранить - http://www.ris.ripe.net/mt/asdashboard.html?as=29386 ;) Всё, ушел спать.......
no subject
-------------------------------------------------------------------------
Завтра дорасскажу зачем все это и что с этим делать...
-----------------------------------------------------------------------
Очень жду это позволит поточнее взглянуть на проблему, может как раз там и все наоборот не отрицаю. Хотя завтра вдруг инет у них включат , а мы с вами завязнем в обсуждении технических проблем :)))
no subject
Вычленить Сирийские префиксы не представляет никакого труда ни для какой блондинки, если она будет следовать тому, о чем я тут пишу. Информация АБСОЛЮТНО ДОСТУПНА ВСЕМ. Это основополагающий принцип Региональных Регистратур. Если интересно, то могу Вас зарегистрировать не следующий RIPE митинг от своей конторы... ;) Ну, ладно, пойдем по-порядку. Где-это я там закончил? ;) ааа, вспомнил... :)
Да, кстати, насчет выпрашивания очередного префикса IPv4 - все, кончились конфетки в сентября ткущего года! Дальше нас ждет тотальный переход на IPv6 и мегагеморрой со всех сторон. Но пока IPv4 припасено еще очень много и пока мы еще тут покувыркаемся.
для чего нужна последняя ссылка в предыдущем посте. Давай ее "позырим" повнимательней. Вчера, кстати, на ней провал был, сегодня куда-то делся, хотя "сырые данные" говорят об обратном. Ткнули сюда - http://www.ris.ripe.net/dashboard/as29386#, увидели кучу картинок.
Слева сверху квадратик - Prefix Size Distribution - не особо интересно. Это говорит о том, какого размера префиксы в каком количестве. Например, префикс 178.171.128.0/17, принадлежащий этой автономке содержит около 33000 адресов. Если пройтись по всем префиксам, которые мы получили черех full-text-search, которых там 71 объект, то можно сказать, что данный "Syrian Telecommunications Establishment" (STE) довольно крупный Интернет-провайдер. Все больше тут ничего.
Слева сверху квадрат - Transits Distribution. Вот это уже интересно. Это транзитные AS, которые непосредственно подключены к STE и именно через них трафик попадает в Сирию. Ясень пень, что это такие же провайдеры и о них мы сейчас узнаем подробно. Тыкаем на квадрат и видим подробненько. Списочек атономок:
AS9121 - TTNET: 42%
AS3491 - BTN-ASN: 20%
AS6453 - GLOBEINTERNET: 18%
AS6762 - SEABONE-NET: 10%
AS3320 - DTAG: 10%
По каждой можно полазить whois'ом.
№1 https://apps.db.ripe.net/search/query.html?searchtext=-B+AS9121&searchSubmit=search#resultsAnchor Turk Telekomunikasyon Anonim Sirketi. Turk Telekom A.S. Ясно - враги.
№2. Автономка числится в ARIN (America), поэтому смотрим на whois arin'a - http://whois.arin.net/rest/asn/AS3491/pft. Какая-то Америкосина PCCW ;), тоже не особо дружественная. На самом деле очень крупный оператор. Присоски есть во всем мире.
3. Следующий тоже америкос - http://whois.arin.net/rest/asn/AS6453/pft. Tata Communication.
4. as-name:SEABONE-NET descr:TELECOM ITALIA SPARKLE S.p.A. Кстати, как смотреть. Смотреть можно все на RIPE whois. https://apps.db.ripe.net/search/, tckb если не ее юрисдикция пошлет с подробны указанием куда и где смотреть.
5. aut-num: AS3320
as-name: DTAG
descr: Deutsche Telekom AG
descr: Internet service provider operations
Тоже не лучшие друзья.
Все этоне означает, что нет других операторов, к которым подключен STE. Это означает лишь, что RIPE видит апдейты на своих зондах от этих Автономок. В принципе, это достаточно точно, т.к. как я уже сказал фулл-вью у все одинакова, почти. Вобщем, топологию подключения сирийского Оператора STE мы вычислили. Но это только один оператор. Можно навести справки сколько их там, но похоже он там один такой шоколадный. Если понадобится, покажу как справку навести. Тоже никаких секретов.
no subject
---------------------------------------------
Говорят включили
http://www.avanturist.org/forum/topic/1624/offset/9480
Много сообщений подтверждающих что включили. в этой ветке.
Но мы опять пришли к тому же выводу хоть и окружным путем. Нет, конечно если включить режим конспирологии on то можно предположить одновременную реакцию всех этих №недружественных" оператор, но тут бы все равно сыграл человеческий фактор одновременно они бы не смогли бы рубанать разница как минимум в полчаса была бы, а в нашем случае линки в Тартусе погасли одновременно.
Кстати ТАТА нагуглилась как индийская компания
http://en.wikipedia.org/wiki/Tata_Communications
PCCW - гонконг
http://www.pccw.com/Contact+Us/PCCW+Around+the+World?language=en_US
Хотя может это и филиал
http://pccwglobal.com/en/contact-us
да и дойчтелеком я вот на этой карте не нашел
http://www.submarinecablemap.com/
хотя возможно он через турецкий линк по суше приходил.
PS Может ко мне перейдем? а то мы тут голову хозяйке сломаем :))))
no subject
Да все может быть. БД инертны. У того же RIPE один график уже кажет, что все ок, а логи говорят об обратном. Не дособирали еще.
no subject
no subject
Тут опять же надо сказать, что мы смотрим топологию выявленную посредством протокола BGP (Border Gateway Protocol). Какая там ситуация с кабелями и их резервированием отсюда понять невозможно, но общая картина представляется достаточно подробно. И тут тоже можно сильно нагадить не обрывая кабель вообще.
Основным здесь является понятие update'a в протоколе BGP. Апдейт - это информация об изменении маршрута на конкретный префикс. Т.е. скажем сирийский админ решил перегрузить побольше трафика из Европы на DTAG, т.к. там дешевле и канал шире. Он банально уменьшает дистанцию (например, атрибут AS-Path) для одних своих префиксов и увеличивает для других. Тут де по всему миру полетели апдейты с измененной маршрутной информации. Все БГП процессы на всех Маршрутизаторах в мире тут же пересчитали новый маршрут до конкретного префикса. Можно вообще ничего не объявлять какому-то оператору, например, потому что "достал". И его трафик будет ходить через "жопу", хотя есть прямой линк. Если чё спрашиваете. На этом закруглюсь с апдейтами.
no subject
------------------------
ут опять же надо сказать, что мы смотрим топологию выявленную посредством протокола BGP (Border Gateway Protocol). Какая там ситуация с кабелями и их резервированием отсюда понять невозможно, но общая картина представляется достаточно подробно. И тут тоже можно сильно нагадить не обрывая кабель вообще.
-----------------------
Можно конечно но, я все таки склонен думать что было физическое отключение.
Быстро и с двух сторон.
Хотя может быть я и не прав важен ведь результат ?:))
http://www.avanturist.org/forum/topic/1624/message/1572001#msg1572001
отсюда
--------------------------
[q] ЗЫ. Похоже сирийцы были сами удивлены эффективности последних операций по зачистке сельских районов вокруг Дамаска и дороги в аэропорт.
Потеряв интернет/телефонную связь - боевики, похоже, оказались отрезанными от систем раннего оповещения о боевых вылетах/операциях сирийских ВС и авиации. Косвенным признанием эффективности операций армии стал и вой западных СМИ об ущемлении прав на получение Интернет информации и признание того, что дорога в аэропорт разблокирована.[/q]
no subject
Отключения не было. Какие-то анонсы, видимо, критичных сервисов и служб продолжали ходить. Я там ниже написал.
no subject
no subject
no subject
Справа внизу - Дистанция измеренная в транзитных AS в зоне охвата RIPE. Это так к сведению, особо ничего не означает в стандартной ситуации...
Идем в самое интересное окошко - http://www.ris.ripe.net/bgpviz/. (Нужна Java). Это реальная машина времени в которой можно отследить динамику апдейтов. Запускаем и пишем в нее любой префикс добытый нашими познаниями. Например, 178.171.128.0/17 он большой, в нем много ip адресов, вряд-ли его будут зажимать вечно. Вставляем в окошко, период берем с числа 28 по сегодня сейчас. Всё теперь имеем полную картину. Можно тыкать плей и любоваться на мигающие чёрточки, кстати, интересно, но не в нашем случае. Мы сразу полезем в меню View-> Graph dumb. Это полная статистика апдейтов. Тут мы видим announcements, reannouncemets, widthdrawals, initial graph и full log. Я смотрю full-log обычно, но чтоб резину не тянуть лезем в withdrawals. Що, це таке - withdrawals? Это принудительное выдергивание маршрута из таблицы (full-view). Анонсы-реанонсы идут постоянно, объяснял почему, а виддровалы достаточно редкое событие. Поэтому имеем (кусочек):
(29/11/2012 13:27 | WITHDRAWAL): AS2914 (198.32.176.14 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS7575 (198.32.176.177 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS7575 (198.32.176.177 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS6762 (198.32.176.70 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS19151 (198.32.176.164 - PAIX)
(29/11/2012 13:28 | WITHDRAWAL): AS1280 (198.32.176.3 - PAIX)
(29/11/2012 13:28 | WITHDRAWAL): AS2497 (198.32.176.24 - PAIX)
......
(29/11/2012 13:31 | WITHDRAWAL): AS31019 (193.239.116.200 - NL-IX)
т.е. основное событие произошло 29/11/2012 13:27-13:31. В это время выключили. Но не все, что указывает на то, что связность по физическим линкам нарушена не было. Прекратили анансировать большинство префиксов, на которых, видимо, есть какие-то важные ресурсы и клиенты. Кстати, молодцы админы. Хорошо админят. Распихать сервисы по блокам - очень хороший тон.
Кстати - да, связность полностью восстановлена. Видно из Full log'a.
Ну, все. Теперь каждая кухарка может.... посмотреть куда делся трафик. ;)
Теперь выводы.
1. Физика не ломалась.
2. Запретить анонсы могут как STE со своего конца, так и все вышеперечисленные операторы. Во втором случае получится полная изоляция.
3. Зная раздолбайство и внутренне устройство BFC (big fucking company), в которых внутренние документы могут месяцами ходить, я с трудом представляю себе скоординированные действия 6 провайдеров, уложившихся в 3 (!!!) минуты.
4. Однозначно сирийцы организовали. И считаю, правильно. Там война идет и мирных граждан ни за что убивают, а через Интернет идет координация тех, кто устраивает террор. Задача облегчена тем, что фактически на территории страны один крупный оператор.
З.Ы. Полно других плейеров и смотрелок. Есть платные, есть бесплатные. В принципе, каждый крупный оператор имеет. В основном за бугром. У нас на это денег не тратят, а если и тратят, то никому не показывают. Покопаться и поискать можно тут - http://traceroute.org
no subject
Зная раздолбайство и внутренне устройство BFC (big fucking company), в которых внутренние документы могут месяцами ходить, я с трудом представляю себе скоординированные действия 6 провайдеров, уложившихся в 3 (!!!) минуты.
4. Однозначно сирийцы организовали. И считаю, правильно. Там война идет и мирных граждан ни за что убивают, а через Интернет идет координация тех, кто устраивает террор. Задача облегчена тем, что фактически на территории страны один крупный оператор.
-------------------------------
Вот кстати на эти пункты, а в особенности на пункт 3 (сам в такой работал) я и ориентировался когда делал вывод о том с чей стороны было отключение.
Из нашего с вами разговора вышло то что.
Некий сирийский админ из (назовем его так) "единого центра коммутациии" который скорее всего в Дамаске, по удаленке подправил как надо было конфиг а потом вернул все на место.
Причем судя по успеху зачисток все было сделано правильно и вовремя !
Да кстати Cloudfare с которой я начал свои размышления тоже проснулись со статейкой о включении.
http://blog-vklt.livejournal.com/56456.html
no subject
Админ может такое сделать, если совсем тупой и завалил сеть. Мы, кстати, у себя тут в России к этому идем. Обычно такое делается по команде компетентных органов, или по команде маркетологов компании. В зависимости от ситуации. Единого центра коммутации тоже нет. Может быть единая система управления, которая разошлет на все border'ы (граничные маршрутизаторы) фильтры и запретит анонсы. Но можно и руками. Дольше получится и в 3 минуты уложиться будет труднее, но можно.
no subject
Разочарую.
Потому что отзыв (withdraw) префиксов маршрутизатор производит не только при изменении конфигурации, но и при разрыве (а он, очевидно, неизбежен при отказе канала) соединения BGP , через которые эти префиксы были получены (если у маршрутизатора нет альтернативных путей к этим префиксам). То есть, отказ канала(ов) приведет в целом к той же картине.
То, что те префиксы из AS STE, которые расположены на автономном хостинге, при этом не исчезли, означает, скорее всего, что они просто анонсятся с другого пира, рзамещенного на этом самом хостинге - с которым проблем не было.
И, боюсь, что узнать, что было на самом деле, мы не сможем из-за недостатка информации.
PS С оценкой из п.4 действий сирийцев, если это были действительно они, полностью согласен.
Re: Разочарую.
хы....
ага, организуйте массовый widthdrawal по больше части префиксов на всех пяти направлениях одновременно, учитывая, что по каждому не один физ. канал присутсвует скорее всего. тем более, если вы райповскую машину подергаете, то обнаружите, что не все префиксы исчезли совсем, т.е. по ним видроу не было. т.е. если даже 4 из 5 направлений упали, префиксы должны были остаться с единственного направления, чего практика не подтвердила. дайте свой сценарий, спасибо.
То, что те префиксы из AS STE, которые расположены на автономном хостинге, при этом не исчезли, означает, скорее всего, что они просто анонсятся с другого пира, рзамещенного на этом самом хостинге - с которым проблем не было.
терминология выдает вас! вы айтишник, не сетевой инженер. :-) шутка. такое возможно, это называется расщипленная as. в сетевом мире это не приветсвуется, но повсеместно используется. если вы это утверждаете, то, должно быть, нашли некий префикс(ы) STE, который имеет route-object содержащий ориджином не as29386. огласите весь списочек, пожалуйста?
я что-то не заметил. может пропустил.
другое дело, если хостинг на префиксах того оператора, внутри которого он и живет. обычно так и делают. нахер использовать свои адреса, если их уже нет в глобальном масштабе.
Re: Разочарую.
А так как обязанность доказывать лежит на утверждающем, то это вы должны были бы найти те самые сохранившиеся префиксы и показать, что маршруты к ним шли через те же каналы (ну, или хотя бы через те же AS), что и к отключенным.