V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CernetBoom
V2EX  ›  宽带症候群

11/25 日的 CN2/163 与 NTT 及 Cloudflare 互联的严重丢包的可能结论

  •  
  •   CernetBoom · 2019-12-08 05:37:27 +08:00 via Android · 6688 次点击
    这是一个创建于 1814 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://cybersecurity.att.com/blogs/labs-research/the-great-cannon-has-been-deployed-again

    应证了我之前的观点:
    "如果说是 163/169/CN2/CMI-NTT 同时都炸的话,基本可以确定是有 国内量 ,CN2-NTT 日本的互联没炸的原因也差不多想到了,CN2 到 NTT 日本的去向基本不放出来,所以国内量不经过 NTT 日本和 CN2 的互联"
    28 条回复    2019-12-09 19:50:06 +08:00
    liang96
        1
    liang96  
       2019-12-08 05:39:53 +08:00 via Android
    原来如此
    est
        2
    est  
       2019-12-08 08:12:08 +08:00
    人间大炮
    EridanusSora
        3
    EridanusSora  
       2019-12-08 08:51:14 +08:00 via Android
    文中说的事情并不是 11 月 25 日啊,而是好几个月前
    CernetBoom
        4
    CernetBoom  
    OP
       2019-12-08 09:16:08 +08:00 via Android
    @EridanusSora "Using a simple script that uses data from UrlScan.io, we identified new attacks likely starting Monday November 25th, 2019."

    如果 November 25 不是 11 月 25 日的话
    heqiaokyou
        5
    heqiaokyou  
       2019-12-08 09:50:16 +08:00
    看了下,也就是 CN2 上的流量全打在 cloudflare 的新加坡节点上了吗,后面的源站几乎一点事都没有。用户也是经过当地的 CDN 而不是经过新加坡的节点,难怪当时没多少用户有感觉到网站被打了。
    Archeb
        6
    Archeb  
       2019-12-08 09:54:16 +08:00   ❤️ 1
    https://www.v2ex.com/t/622546#reply85

    @feast:“有个俗语叫 癞子擦痒 你就是这类人的典型代表,一个旁路 IDS 系统本事大到瘫痪整个亚太 NTT 骨干网络呢,日本人的屁都是香的,一切都是阿拱仔的阴毛”

    Using a simple script that uses data from UrlScan.io, we identified new attacks likely starting Monday November 25th, 2019.
    wogong
        7
    wogong  
       2019-12-08 10:00:03 +08:00
    @Archeb #6 刚看完两个帖子,厉害了。
    CernetBoom
        8
    CernetBoom  
    OP
       2019-12-08 11:20:22 +08:00 via Android
    @heqiaokyou 不只是 Cloudflare 的新加坡,CN2 和 163 到 NTT 的互联,还有 Cloudflare 在美西买的 163 Paid Peering 应该都有量打过去
    EridanusSora
        9
    EridanusSora  
       2019-12-08 11:44:16 +08:00 via Android
    @CernetBoom
    确实,谢谢,直接拉到下面了没看到
    不过第一次应该是 8 月 31 日,见站方公告
    /thread/1525319/page/1 (没法发链接请手动补全)
    而 11 月 25 日站方并没有表示受到攻击,倒是很奇怪
    heqiaokyou
        10
    heqiaokyou  
       2019-12-08 12:37:24 +08:00 via Android
    @EridanusSora 大概这也是说明 cloudflare 的高防是货真价实的(笑)
    mnihyc
        11
    mnihyc  
       2019-12-08 12:40:21 +08:00 via Android
    @CernetBoom 打过去只是把去程打瘫了?那段时间 NTT 回程特别顺畅
    heqiaokyou
        12
    heqiaokyou  
       2019-12-08 12:40:26 +08:00 via Android
    @EridanusSora 而且我没记错的话网站 8 月时没套 cf,然后被打趴下了,接着就随即套上 cf 到现在了。
    CernetBoom
        13
    CernetBoom  
    OP
       2019-12-08 12:45:00 +08:00 via Android
    @mnihyc 恩,是这样

    @heqiaokyou Cloudflare 现在大概是 350G 163,不过也会被打爆,我记得那天互联有人说过很糟糕
    masker0817
        14
    masker0817  
       2019-12-08 12:53:32 +08:00 via Android
    挺好,事实说话,那天还有人死活说连登没被攻击
    lqf96
        15
    lqf96  
       2019-12-08 13:55:55 +08:00
    其实现在 Great Cannon 的做法都不是最糟的,哪天要是在国内的 CDN 缓存节点里投毒,那就算是全网流量都 HTTPS 化了也没有用...
    Archeb
        16
    Archeb  
       2019-12-08 13:57:58 +08:00 via iPhone
    @lqf96 需要 https 回源…
    gfw 应该并没有办法修改节点缓存的数据(量太大)
    Archeb
        17
    Archeb  
       2019-12-08 13:58:32 +08:00 via iPhone
    @lqf96 和 cdn 厂商合作的这种可能性我觉得也不大
    feast
        18
    feast  
       2019-12-08 15:21:20 +08:00
    我还是没懂什么意思,那天的表现是 163 到 NTT 日本方向出现严重丢包
    feast
        19
    feast  
       2019-12-09 09:07:48 +08:00
    @masker0817 连等被打真是被害妄想了,他是上了 cloudflare cdn 的拜托,cf 主要节点根本不走 ntt
    masker0817
        20
    masker0817  
       2019-12-09 09:52:49 +08:00 via Android
    @feast 就事论事,你可以说说那个博主的分析哪里错了,大家学习下
    CernetBoom
        21
    CernetBoom  
    OP
       2019-12-09 11:20:58 +08:00
    @feast
    "The code attempts to repeatedly request the following resources, in order to overwhelm websites and prevent them from being accessible:"
    里面有 live.staticflickr.com 就是用的 Cloudfront 走 NTT 到中国大陆了解一下请

    AWS 的 2*10G 的新加坡 163 的 Session Down 就应证了有 DDoS 到 Amazon,了解一下谢谢
    CernetBoom
        22
    CernetBoom  
    OP
       2019-12-09 11:23:33 +08:00
    @feast 而且 media.giphy.com 的 Fastly 也照样走 NTT 到电信了解一下?
    bclerdx
        23
    bclerdx  
       2019-12-09 11:25:12 +08:00 via Android
    @est 人间大炮一级准备。哈哈哈
    feast
        24
    feast  
       2019-12-09 12:53:22 +08:00
    @CernetBoom flickr 不是 fastly 倒是走的 202.97.60.214 这个节点,我竟然搞忘了 fastly 这个大东西,那岂不是等于 github 被攻击?
    feast
        25
    feast  
       2019-12-09 12:57:14 +08:00
    @CernetBoom 新加坡 AWS 老早就是新加坡电信直连了,跟 NTT 没关系,你倒是提醒我 leaseweb singapore 还有没有走 NTT
    Liqianyu
        26
    Liqianyu  
       2019-12-09 12:58:19 +08:00
    GC 不是利用 GFW 双向特性将海外用户访问国内网站劫持插入恶意 JS 用于 DDos 吗。
    AT&T Cybersecurity:“we identified new attacks likely starting Monday November 25th, 2019.”,那么这件事肯定是八九不离十。
    但为什么会引起“CN2/163 与 NTT 及 Cloudflare 互联的严重丢包”,这应该属于两件事或连带损害吧?
    CernetBoom
        27
    CernetBoom  
    OP
       2019-12-09 19:47:37 +08:00 via Android
    @feast 当天 AWS 的 20G 新加坡 163 是被 D 到不收发路由的,所以最后 AWS 走的还是 NTT 到 163
    CernetBoom
        28
    CernetBoom  
    OP
       2019-12-09 19:50:06 +08:00 via Android
    @Liqianyu 打出去的都是国内量
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3637 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:43 · PVG 12:43 · LAX 20:43 · JFK 23:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.