青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 韩国媒体猜测谷歌重返中国支持中国访问Google Blogger的网站设置 »

人为网络故障的新方式

  笔者在《如何区分国内上网环境中不同的人为网络故障》中曾经介绍过人为网络故障的多种方式,但近阶段又发现出现了新型的人为网络故障,此文将为大家进行介绍这种新型的人为网络故障。

  事情的起因是在前几天公司在海外的服务器工作不正常,国内用户访问该服务器上的网站要么只显示一个标题,然后一直处于加载之中,要么就是无法连接到服务器。经过自己的试验,发现一旦访问了服务器的网站(或者连接了服务器的SSH),五分钟之内便无法和服务器进行通讯,五分钟之内PING全部超时,过了五分钟后恢复。而且经常是网页传输到一半就无法和服务器进行通讯了,所以出现了有时候网站要么只显示一个标题,然后一直处于加载之中,有时候无法连接到服务器的情况。如果五分钟后再次访问服务器上的网站,则此现象就再次重复出现。

  为此,为了诊断故障原因,在无法访问服务器的五分钟内,关闭了服务器的iptables并使用了路由跟踪工具,结果如下:

人为网络故障的新方式

  从路由跟踪的结果发现,最后一跳是74.117.63.66,查询IP所在的地理位置显示此IP所在地为美国,经过《如何区分国内上网环境中不同的人为网络故障》文中介绍的方式判断,似乎问题出在美国的网络部分。为此,和美国服务器提供商进行了联系,同时提供了路由跟踪结果。不过,提供商那里经过检查并没有设置过任何屏蔽IP的机制(包括根据访问后屏蔽五分钟的机制),需要排查国内自己本地网络的问题。

  经过思考,猜想是否有可能是防火墙进行了反向屏蔽:如果网络数据包中的源IP为国内,目标IP在国外,则放行;如果网络数据包中的源IP为国外五分钟内临时被屏蔽的IP,目标IP为国内,防火墙则丢弃该数据包。如果是这样,也就能解释通为什么最后一跳是在美国,但却是防火墙的屏蔽。因为国内发往国外的数据包永远被放行,所以海外服务器可以收到数据包,而在前13跳中返回数据包的IP地址都不在防火墙的黑名单之内,所以TTL超时的数据包仍旧可以发回国内的IP地址(路由跟踪工具的原理就是每次TTL加一,每次经过路由器则TTL减一,如果减到零那么路由器会发送TTL超时的数据包给源IP)。最后一跳之后由于海外的IP地址被屏蔽,则数据包无法送达国内的IP地址。这么解释就可以解释得通为什么最后一跳在美国,但却是防火墙的屏蔽了。

  但猜测归猜测,证据在哪里呢?

  为此,使用了其他代理工具连接上服务器的SSH,在被临时屏蔽的五分钟内反向路由追踪国内无法访问网站的IP地址,结果如下:

人为网络故障的新方式

  从反向路由追踪结果看,最后一跳是202.97.33.101,地理位置查询该IP属于“上海市 电信骨干网”,从而验证了猜测。而反向追踪的第一跳74.117.63.66又正好是正向路由追踪中的最后一跳,又再次验证了猜想中的正向路由追踪中的最后一跳之后的IP地址(也就是服务器的IP地址)被屏蔽的情况。至此,问题已经明确。

  之后,又再次在五分钟临时被屏蔽的时间内反向追踪了上海的其他IP地址,显示可以正常访问,并不影响服务器访问国内的网站,只有国内的IP地址首先对国外被屏蔽的IP地址发起通讯才能触发被五分钟临时屏蔽:

人为网络故障的新方式

  而《如何区分国内上网环境中不同的人为网络故障》中介绍的通过国内IP路由跟踪国外IP进行判断是国内人为的网络故障还是海外的网络故障在一些情况中将不再适用。

  来源:投稿,作者:DavidSky,作者E-mail:lehui99 (at ) gmail.com



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/3342.html
  • 文章排行:
  • 1.Chrome
  • 我以前没感觉中国ZF有多恶心,因为我不是站长,也不是私营企业家,年龄也比较小,跟ZF各部门也没多少接触,还停留在有事找JC的弱智阶段,昨天走大街上因为是外地人碰JC直接查身份证,后带到派出所手机没收录入指纹,采集DNA,然后归还手机,我忍了,最后还是自己打车回家,这也就算了,今天又TM来到宿舍了,直接推门而入又查身份证,说是没有暂住证,我真想对TC扰民有数遇敌都是臭狗屎的JC说CNMLGB
    David 于 2013-1-21 10:37:31 回复
    哥们,改名吧
  • 2013/1/12 23:07:34   支持(76)反对(5) 回复
  • 2.刁静萍
  • 国外的高新技术是为了方便人们的生活,天朝的高新技术是为了对付人们
  • 2013/1/12 23:30:07   支持(57)反对(10) 回复
  • 3.lehui99
  • 这种屏蔽方式很隐蔽,以至于最近很多人碰到这种情况都以为是海外网络的问题。
  • 2013/1/12 23:16:27   支持(36)反对(6) 回复
  • 4.美国的华莱仕
  • 方校长还说他不关心政治,只关心技术呢。呸!
  • 2013/1/13 0:49:18   支持(31)反对(8) 回复
  • 5.xueli89
  • 技术都用在阻止进步上了
  • 2013/1/13 11:13:58   支持(26)反对(5) 回复
  • 7.SmallAnt
  • 想起前段时间有些人听到“空谈误国,实干兴邦”的口号,竟然激动得不得了。呵呵
  • 2013/1/12 23:22:25   支持(21)反对(5) 回复
  • 8.flashzhang
  • 所以说,搞gfw的人,技术是真的厉害,这些人搞其他工作,也能拿高薪,tg应该也没拿刀逼着他们搞,留下证据等历史审判他们吧。
    work4blue 于 2013-1-13 1:53:03 回复
    不一定,出了高价钱外包吧。
  • 2013/1/12 23:21:06   支持(18)反对(4) 回复
  • 9.Firefoxer
  • 留下证据给后人吧,这都是历史
  • 2013/1/12 22:55:04   支持(14)反对(3) 回复
  • 11.torobucks
  • 这种屏蔽很早就出现了,对amazon什么的都有这种屏蔽。一开始访问正常,然后就会出现网页加载不完全之类的现象。GOV真不要脸。
  • 2013/1/13 9:28:59   支持(16)反对(6) 回复
  • 12.sink
  • 我們的青春埋在了牆上,我們的命運在天上。F*ck GWF
  • 2013/1/13 16:11:06   支持(14)反对(4) 回复
  • 13.习mingze
  • 普通22或80端口的ssh加密已经不行了,会产生博主所说的情况。我现在用的是一款混淆加密的ssh,付费的,简单点说就是对SSH协议再加密,ssh连接前先加密验证(其自有技术,说不清是是利用现有证书还是其他的)。现在比较稳定,大家可以自己找一下
    juckchin 于 2013-1-17 23:02:00 回复
    混淆加密,目前一切正常!其实不用担心,奥巴马总统去年曾经誓言要推进全球互联网信息自由,力主推进研发针对信息控制的技术创新!明面上说的是主要针对伊朗和美军即将撤离的阿富汗,防止部分地区一旦遭到塔利班短暂逆袭也仍然能保证网络信息畅通。实际大家都心里有数这是对谁。目前来看他没有食言,国会预算披露最近的一笔针对这个项目团队的预算拨款是五百万美元,由克林顿国务卿领导的国务院直接负责。
  • 2013/1/15 10:05:56   支持(15)反对(6) 回复
  • 14.赵容
  • 今天,国内对于海外的访问有严重的问题,ping至少增加100ms,还有丢包现象,也搞不清是什么问题,伤感ing
  • 2013/7/10 16:20:13   支持(13)反对(4) 回复
  • 16.Kyns-10
  • 《网络流量分类研究进展与展望》←_← 与这个有无关系
  • 2013/1/13 1:30:21   支持(10)反对(3) 回复
  • 17.真_许木木
  • 技术帖,gfw在更新策略了
  • 2013/1/12 22:50:03   支持(9)反对(4) 回复
  • 19.The_9th
  • 痛定思痛,好好学网络,再也不信有什么一劳永逸的翻墙方法了
  • 2013/1/13 11:08:42   支持(14)反对(9) 回复
  • 20.zan
  • 全民皆网络专家的时代就要到来了.G*F*W 促进国内网络IT人才发展呀
  • 2013/1/16 17:19:29   支持(14)反对(9) 回复
  • 21.Tony_____7
  • 这是强盗逻辑,你做的不好,还不让人说。
  • 2013/1/12 23:41:08   支持(9)反对(5) 回复
  • 25.KoalaGreener
  • 这帖子很好的解释了= = 网路概论都在学些什么...
  • 2013/1/12 23:02:04   支持(8)反对(5) 回复
  • 26.大饼向前冲
  • "只有国内的IP地址首先对国外被屏蔽的IP地址发起通讯才能触发被五分钟临时屏蔽" gfw更新策略了……
  • 2013/1/12 23:06:05   支持(5)反对(2) 回复
  • 27.Dreista
  • 这种情况其实已经出现很久了。
  • 2013/1/12 23:58:39   支持(9)反对(6) 回复
  • 29.hei
  • 只想问一下,第二张图是不是贴错了(误用了第三张的?)
    lehui99 于 2013-1-13 0:23:16 回复
    已经改好了
  • 2013/1/13 0:13:28   支持(7)反对(5) 回复
  • 30.小平Patrick
  • 此个案中出现问题的服务器,是否提供ssh连接的?连接这个服务器,是否就是指连接ssh?那么,是否可理解为,防火墙目前已经具备检测ssh流量的能力,一旦发现国内IP向国外发起SSH连接,就会自动识别出并临时截断目标国外IP向国内的数据传输?这种检测是普适性的还是仅能针对已被列入监控名单的国外IP?
    paw 于 2013-1-13 8:44:41 回复
    现在是可以检测SSH 流量了,我用herolee的ssh就是能登陆,但是只要socks5转发数据,SSH 就被断开, 后来自己买了VPS 架了ssh,发现依然是这样,无语
    JunkFood 于 2013-1-13 15:06:07 回复
    现在方校长用的是统计方法来分析SSH流量中的内容
    论文见此:网络流量分类研究进展与展望
    JunkFood 于 2013-1-13 15:06:29 回复
    现在方校长用的是统计方法来分析SSH流量中的内容
    论文见此:网络流量分类研究进展与展望
  • 2013/1/13 1:09:19   支持(8)反对(6) 回复
  • 32.拣宝
  • 真的不要脸啊,这种G*F*W。。。。受不了了。真的受不了这种国家
  • 2013/1/13 11:18:44   支持(10)反对(8) 回复
  • 33.grtes
  • 民众不断的觉醒再过些时间我估计想翻墙连梯子都找不到了!
  • 2013/4/17 19:53:25   支持(5)反对(3) 回复
  • 35.羽毛回来了
  • 魔高一尺道高一丈啊!
  • 2013/1/12 23:10:06   支持(8)反对(7) 回复
  • 36.蒂瑪西亞信
  • 未来的十年还是要翻墙
  • 2013/1/12 23:27:07   支持(8)反对(7) 回复
  • 38.D4rr-Gor邓
  • PPTP挂了,L2TP挂了,OPENVPN也挂了,这是又瞄准SSH了吗?手头还有俩存货,不知能坚持多久.PS:月光你的群卖1500的手机商该收敛下呀,漫游记录一看全是这货.
  • 2013/1/13 2:09:24   支持(6)反对(5) 回复
  • 39.djfdsfj
  • 出这事还用验证,不是那帮孙子是谁?
  • 2013/1/13 3:22:12   支持(3)反对(2) 回复
  • 40.网友
  • 我的服务器也出现了相同的情况。。应该是玩ssh造成的。。
  • 2013/1/13 14:45:09   支持(5)反对(4) 回复
  • 41.无名灰衣
  • 最近家里网络就是出现问题,不知道是不是这种原因。
  • 2013/1/13 10:57:40   支持(6)反对(6) 回复
  • 42.fankplus
  • 上网要翻墙?告诉国外的朋友,人家不知道为啥吧》
  • 2013/1/13 11:56:05   支持(5)反对(5) 回复
  • 43.Aquamarine
  • 这可以解释一些新出现的问题了,不得不佩服国人的聪明才智啊,只是可惜了。
  • 2013/1/14 12:34:20   支持(5)反对(5) 回复
  • 44.佛曰不可说
  • 最近用了ssh也撞墙 有啥解决办法呀
  • 2013/1/16 13:42:15   支持(6)反对(6) 回复
  • 46.羊城网小劳
  • 意思就是,所有的VPN都失效了?
  • 2013/1/13 1:36:21   支持(6)反对(7) 回复
  • 48.fkgfw
  • 我也是遇到了你的狀況,也是 tracert 跟蹤到74.116.xx.xx 這個美國IP就進行不下去了,猜想就是這幫孫子搞的鬼,不過我是幾個小時,幾個小時后就好了。
  • 2013/1/12 23:38:00   支持(5)反对(7) 回复
  • 50.ad-edwin
  • 好久没看你的博客了,读书时可是每篇都看的,去看看
  • 2013/1/12 23:33:08   支持(4)反对(7) 回复
  • 52.了开心
  • 这招 好狠呀 ,间歇性 屏蔽!fuck!
  • 2013/1/12 23:58:11   支持(3)反对(7) 回复
  • 53.iguitar
  • 怪不得最近老有网站有时可以访问,有时不能访问
  • 2013/1/12 22:55:22   支持(3)反对(9) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.