Comments | ru_root: AWS and 5/8 sources: can of worms trouble?

dmarck in ru_root

AWS and 5/8 sources: can of worms trouble?

Apr 25, 2013 18:52

Коллеги,

у нас происходит подземный стукУ одного из даунлинков имеется блок адресов из 5/8. Начиная с некоторого момента клиенты заметили, что не могут попасть на некоторые веб-сервисы, самым известным из которых является, безусловно, instagram.com. Есть и другие, объединяет их всех, вроде как, обслуживание Амазоном ( Read more... )

connectivity

Comments 34

podjig April 25 2013, 14:58:30 UTC

Ставить анализатор и смотреть, что с трафиком. У меня похожая ситуация была, нашёл, что несколько машин были заражены вирусом, а он броадкастил. ну и возникал паразитный трафик.

krakozyabra April 25 2013, 14:59:59 UTC

вирусы ни при чем, на одной и той же машине с одним адресом работает, с другим не работает.

podjig April 25 2013, 16:41:17 UTC

Значит может на эту тачку левые пакеты валить.
Я просто поделился своей историей. Может и тут сгодится.

_zhecka_ April 25 2013, 15:13:29 UTC

может через чейто могучий транспарент прокси просасывается ?

vlad_rulez April 25 2013, 15:15:17 UTC

У клиентов Hamachi или подобная ей игровая прокся не стоит?

krakozyabra April 25 2013, 15:18:26 UTC

проблема не только у клиентов, из офиса та же фигня. с любым адресом из этого блока.

tzirechnoy April 25 2013, 15:21:28 UTC

И что, клиент с восемьюдесятью миллионами адресов не можэт найти приватный выход на тех.персонал Амахона?

dmarck April 25 2013, 15:29:04 UTC

У клиента /21 из этой восьмёрки, разумеется. Просто это один из последних /8 блоков, отданных в RIPE NCC на растерзание

ext_1774133 April 25 2013, 21:10:52 UTC

Если это один из последних /8, то может быть он до сих пор у кого то висит в bogons ACL как unallocated (cymru такое рекомендовал раньше).

mklochkov April 25 2013, 15:23:50 UTC

Это подозрительно похоже на MTU discovery black hole, т. е. превышение где-то по пути максимально возможного размера пакета (например, из-за каких-нибудь многократных инкапсуляций GRE/MPLS/нужное подставить). Если при этом пакет выбрасывается, а выбросившее устройство не отсылает назад соответствующий ICMP destination unreachable, эффект будет именно такой, как описано.
Попробуйте потестировать, отсылая конечному устройству пинги большого размера.

dmarck April 25 2013, 15:28:17 UTC

Не похоже.

С наших адресов всё хорошо, с адресов клиента -- нет.

Но мысль интересная, Макс, спасибо.

mklochkov April 25 2013, 15:57:41 UTC

А у клиентов своя AS-ка, или они пользуются частью вашего блока? Если своя - ответные пакеты на их запросы легко могут где-то в Интернетах идти другим путем, отличным от пути к вам.

dmarck April 25 2013, 16:08:07 UTC

Предположение очевидное -- но вроде по лукинг глассам пути совпадают с точностью до одного последнего ас-хопа.

Thread 6