Каким способом Сирию отключили от интернета
Friday, 30 November 2012 15:03![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ani_al
В четверг 29 ноября в 10:26 UTC (13:26 МСК) международные каналы связи с Сирией полностью отключились. В глобальной таблице маршрутизации все 84 блока сирийских IP-адресов стали недоступны, эффективно удалив это государство из интернета. Спустя 12 часов связь ещё не восстановлена.
Аналитическая компания Renesys отслеживает ситуацию и периодически публикует обновления в блоге. По прошествии 12 часов выяснилось, что traceroute всё-таки проходит в некоторые сирийские сети. Там есть контент и серверы сохранили подключение к интернету. Эти пять блоков IP-адресов зарегистрированы на Сирию, но размещаются за пределами страны на оффшорном хостинге под управлением телекоммуникационной компании Tata Communications. Вероятно, из-за своего заграничного хостинга они не попали под государственный «рубильник». Кстати, среди оставшихся в онлайне и те серверы, которые в мае текущего года были замечены в рассылке троянов на компьютеры политических активистов под видом программ для шифрования Skype-коммуникаций.
Для справки: Сирия сейчас находится в состоянии гражданской войны. Идут уличные бои с применением тяжёлых вооружений в нескольких крупных городах страны, включая столицу Дамаск. Более 200 тысяч сирийцев покинули страну в результате боевых действий.
Сирийские повстанцы говорят, что в интернет могут выйти только абоненты спутниковой связи, а также абоненты сотовой связи в приграничных с Турцией городах. Они считают, что правительство готовится к какой-то масштабной военной операции — и поэтому им отключили интернет.
UPD. Хакеры из CDN-компании Cloudflare опубликовали свой комментарий по поводу отключения интернета в Сирии. Они подтвердили, что связь действительно отсутствует по всей стране. Сирия подключена к интернету четырьмя каналами — все они перестали работать с 10:26 UTC по 10:29 UTC, так что маловероятно физическое повреждение кабелей. Вдобавок, эксперты опубликовали видео с демонстрацией изменений в таблицах маршрутизации, внесённых сирийским провайдером Syrian Telecommunications (красная точка на схеме) непосредственно перед отключением интернета, а также сам процесс отключения с 10:26 UTC по 10:29 UTC (см. время в верхнем левом углу).
источник
Tags:
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
1/12/12 19:56 (UTC)Тут опять же надо сказать, что мы смотрим топологию выявленную посредством протокола BGP (Border Gateway Protocol). Какая там ситуация с кабелями и их резервированием отсюда понять невозможно, но общая картина представляется достаточно подробно. И тут тоже можно сильно нагадить не обрывая кабель вообще.
Основным здесь является понятие update'a в протоколе BGP. Апдейт - это информация об изменении маршрута на конкретный префикс. Т.е. скажем сирийский админ решил перегрузить побольше трафика из Европы на DTAG, т.к. там дешевле и канал шире. Он банально уменьшает дистанцию (например, атрибут AS-Path) для одних своих префиксов и увеличивает для других. Тут де по всему миру полетели апдейты с измененной маршрутной информации. Все БГП процессы на всех Маршрутизаторах в мире тут же пересчитали новый маршрут до конкретного префикса. Можно вообще ничего не объявлять какому-то оператору, например, потому что "достал". И его трафик будет ходить через "жопу", хотя есть прямой линк. Если чё спрашиваете. На этом закруглюсь с апдейтами.
no subject
1/12/12 20:02 (UTC)------------------------
ут опять же надо сказать, что мы смотрим топологию выявленную посредством протокола BGP (Border Gateway Protocol). Какая там ситуация с кабелями и их резервированием отсюда понять невозможно, но общая картина представляется достаточно подробно. И тут тоже можно сильно нагадить не обрывая кабель вообще.
-----------------------
Можно конечно но, я все таки склонен думать что было физическое отключение.
Быстро и с двух сторон.
Хотя может быть я и не прав важен ведь результат ?:))
http://www.avanturist.org/forum/topic/1624/message/1572001#msg1572001
отсюда
--------------------------
[q] ЗЫ. Похоже сирийцы были сами удивлены эффективности последних операций по зачистке сельских районов вокруг Дамаска и дороги в аэропорт.
Потеряв интернет/телефонную связь - боевики, похоже, оказались отрезанными от систем раннего оповещения о боевых вылетах/операциях сирийских ВС и авиации. Косвенным признанием эффективности операций армии стал и вой западных СМИ об ущемлении прав на получение Интернет информации и признание того, что дорога в аэропорт разблокирована.[/q]
no subject
1/12/12 20:43 (UTC)Отключения не было. Какие-то анонсы, видимо, критичных сервисов и служб продолжали ходить. Я там ниже написал.
no subject
1/12/12 20:15 (UTC)no subject
1/12/12 20:44 (UTC)no subject
1/12/12 20:32 (UTC)Справа внизу - Дистанция измеренная в транзитных AS в зоне охвата RIPE. Это так к сведению, особо ничего не означает в стандартной ситуации...
Идем в самое интересное окошко - http://www.ris.ripe.net/bgpviz/. (Нужна Java). Это реальная машина времени в которой можно отследить динамику апдейтов. Запускаем и пишем в нее любой префикс добытый нашими познаниями. Например, 178.171.128.0/17 он большой, в нем много ip адресов, вряд-ли его будут зажимать вечно. Вставляем в окошко, период берем с числа 28 по сегодня сейчас. Всё теперь имеем полную картину. Можно тыкать плей и любоваться на мигающие чёрточки, кстати, интересно, но не в нашем случае. Мы сразу полезем в меню View-> Graph dumb. Это полная статистика апдейтов. Тут мы видим announcements, reannouncemets, widthdrawals, initial graph и full log. Я смотрю full-log обычно, но чтоб резину не тянуть лезем в withdrawals. Що, це таке - withdrawals? Это принудительное выдергивание маршрута из таблицы (full-view). Анонсы-реанонсы идут постоянно, объяснял почему, а виддровалы достаточно редкое событие. Поэтому имеем (кусочек):
(29/11/2012 13:27 | WITHDRAWAL): AS2914 (198.32.176.14 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS7575 (198.32.176.177 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS7575 (198.32.176.177 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS6762 (198.32.176.70 - PAIX)
(29/11/2012 13:27 | WITHDRAWAL): AS19151 (198.32.176.164 - PAIX)
(29/11/2012 13:28 | WITHDRAWAL): AS1280 (198.32.176.3 - PAIX)
(29/11/2012 13:28 | WITHDRAWAL): AS2497 (198.32.176.24 - PAIX)
......
(29/11/2012 13:31 | WITHDRAWAL): AS31019 (193.239.116.200 - NL-IX)
т.е. основное событие произошло 29/11/2012 13:27-13:31. В это время выключили. Но не все, что указывает на то, что связность по физическим линкам нарушена не было. Прекратили анансировать большинство префиксов, на которых, видимо, есть какие-то важные ресурсы и клиенты. Кстати, молодцы админы. Хорошо админят. Распихать сервисы по блокам - очень хороший тон.
Кстати - да, связность полностью восстановлена. Видно из Full log'a.
Ну, все. Теперь каждая кухарка может.... посмотреть куда делся трафик. ;)
Теперь выводы.
1. Физика не ломалась.
2. Запретить анонсы могут как STE со своего конца, так и все вышеперечисленные операторы. Во втором случае получится полная изоляция.
3. Зная раздолбайство и внутренне устройство BFC (big fucking company), в которых внутренние документы могут месяцами ходить, я с трудом представляю себе скоординированные действия 6 провайдеров, уложившихся в 3 (!!!) минуты.
4. Однозначно сирийцы организовали. И считаю, правильно. Там война идет и мирных граждан ни за что убивают, а через Интернет идет координация тех, кто устраивает террор. Задача облегчена тем, что фактически на территории страны один крупный оператор.
З.Ы. Полно других плейеров и смотрелок. Есть платные, есть бесплатные. В принципе, каждый крупный оператор имеет. В основном за бугром. У нас на это денег не тратят, а если и тратят, то никому не показывают. Покопаться и поискать можно тут - http://traceroute.org
no subject
1/12/12 21:01 (UTC)Зная раздолбайство и внутренне устройство BFC (big fucking company), в которых внутренние документы могут месяцами ходить, я с трудом представляю себе скоординированные действия 6 провайдеров, уложившихся в 3 (!!!) минуты.
4. Однозначно сирийцы организовали. И считаю, правильно. Там война идет и мирных граждан ни за что убивают, а через Интернет идет координация тех, кто устраивает террор. Задача облегчена тем, что фактически на территории страны один крупный оператор.
-------------------------------
Вот кстати на эти пункты, а в особенности на пункт 3 (сам в такой работал) я и ориентировался когда делал вывод о том с чей стороны было отключение.
Из нашего с вами разговора вышло то что.
Некий сирийский админ из (назовем его так) "единого центра коммутациии" который скорее всего в Дамаске, по удаленке подправил как надо было конфиг а потом вернул все на место.
Причем судя по успеху зачисток все было сделано правильно и вовремя !
Да кстати Cloudfare с которой я начал свои размышления тоже проснулись со статейкой о включении.
http://blog-vklt.livejournal.com/56456.html
no subject
1/12/12 21:24 (UTC)Админ может такое сделать, если совсем тупой и завалил сеть. Мы, кстати, у себя тут в России к этому идем. Обычно такое делается по команде компетентных органов, или по команде маркетологов компании. В зависимости от ситуации. Единого центра коммутации тоже нет. Может быть единая система управления, которая разошлет на все border'ы (граничные маршрутизаторы) фильтры и запретит анонсы. Но можно и руками. Дольше получится и в 3 минуты уложиться будет труднее, но можно.
no subject
1/12/12 21:37 (UTC)Разочарую.
1/12/12 23:17 (UTC)Потому что отзыв (withdraw) префиксов маршрутизатор производит не только при изменении конфигурации, но и при разрыве (а он, очевидно, неизбежен при отказе канала) соединения BGP , через которые эти префиксы были получены (если у маршрутизатора нет альтернативных путей к этим префиксам). То есть, отказ канала(ов) приведет в целом к той же картине.
То, что те префиксы из AS STE, которые расположены на автономном хостинге, при этом не исчезли, означает, скорее всего, что они просто анонсятся с другого пира, рзамещенного на этом самом хостинге - с которым проблем не было.
И, боюсь, что узнать, что было на самом деле, мы не сможем из-за недостатка информации.
PS С оценкой из п.4 действий сирийцев, если это были действительно они, полностью согласен.
Re: Разочарую.
2/12/12 04:17 (UTC)хы....
ага, организуйте массовый widthdrawal по больше части префиксов на всех пяти направлениях одновременно, учитывая, что по каждому не один физ. канал присутсвует скорее всего. тем более, если вы райповскую машину подергаете, то обнаружите, что не все префиксы исчезли совсем, т.е. по ним видроу не было. т.е. если даже 4 из 5 направлений упали, префиксы должны были остаться с единственного направления, чего практика не подтвердила. дайте свой сценарий, спасибо.
То, что те префиксы из AS STE, которые расположены на автономном хостинге, при этом не исчезли, означает, скорее всего, что они просто анонсятся с другого пира, рзамещенного на этом самом хостинге - с которым проблем не было.
терминология выдает вас! вы айтишник, не сетевой инженер. :-) шутка. такое возможно, это называется расщипленная as. в сетевом мире это не приветсвуется, но повсеместно используется. если вы это утверждаете, то, должно быть, нашли некий префикс(ы) STE, который имеет route-object содержащий ориджином не as29386. огласите весь списочек, пожалуйста?
я что-то не заметил. может пропустил.
другое дело, если хостинг на префиксах того оператора, внутри которого он и живет. обычно так и делают. нахер использовать свои адреса, если их уже нет в глобальном масштабе.
Re: Разочарую.
2/12/12 10:18 (UTC)А так как обязанность доказывать лежит на утверждающем, то это вы должны были бы найти те самые сохранившиеся префиксы и показать, что маршруты к ним шли через те же каналы (ну, или хотя бы через те же AS), что и к отключенным.