25 października 2008
Wchodzę sobie na serwer i co widzę? Rozłączony z ircnetem i polnetem. Tylko freenode jakoś idzie. Odzywa się ConSi i daje linka do posta:tutaj źródło
"> TP wcieliła w życie blackholing i ucina na brzegówkach to, co im MAPS
> i/lub CERT zapoda jako "fuj". Problem w tym, że blokowane IP są często
> tylko reflektorami, a źródła w sporej mierze chronione są randomizacją
> przydzielanych przez ISP adresów IP. Również przez samą TP.
Zadzwoniłem z ciekawości na BlueLine i zgłosiłem że nie mogę się łączyć, na
co miła Pani doradca klienta biznesowego stwierdziła że łącze DZIAŁA do
modemu i nie ma podstaw aby przyjąć ode mnie reklamacje :-)) No to
zadepeszowałem do CERT w tej sprawie, obaczym co odpiszą (?! jeśli wogóle
odpiszą)."
W skrócie: TPSA zablokowało na routerach brzegowych Ircnet i Polnet (sprawdzałem różne serwery), bo nowa technologia uznaje te adresy za brzydkie. Co za świat, co za ludzie. :/
(08:57:41) phisikus@jabberpl.org/Home: może tepsa się cofnie
(08:57:52) ConSi: chyba zartujesz
(08:57:56) ConSi: dla 3000 tys klientow
(08:58:05) ConSi: zapomnij beda nas miec gleboko w dupie
Tutaj dyskusja rozpoczeta przez klupka: http://forum.pclab.pl/t411927.html
25 października 2008 o 10:57:11
O ile rozumiałbym nieuzasadnione cięcie neostrad (zmienne IP), o tyle w przypadku DSLi zapewne sprawa dotyczy tylko ISP, których klienci mieli wirusy/trojany lub wysyłali spam (ircowa sesja kumpla zapięta do ircnet.eversible.com z DSLa wisi jakby nigdy nic, więc nie zostali wycięci wszyscy). Więc albo naprawdę tną szkodników (i chwała im za to), albo trochę za mało danych mamy. Na pewno nie wycięli całego ircnetu/polnetu. I pewnie da się to wyjaśnić...
25 października 2008 o 11:12:08
U mnie polnet faktycznie nie działa od wczoraj zarówno tutaj na neo, jak i w domu na osiedlówce. Więc to chyba jakaś szerzej zakrojona akcja...
25 października 2008 o 11:21:57
"co nalezy podobno zrobic zeby odblokowac":
http://groups.google.pl/group/pl.internet.polip/msg/3f80bd0feb562668
25 października 2008 o 11:37:10
e: Ale to jest bzdura. W jaki sposób user neo ma zepewnić, że zagrożenie ze strony serwera IRC ustało? Mam nadzieję, że to nie ten Konrad pisał... OK, ja rozumiem wycięcie niektórych portów (co robią) i dołożenie do tego portów/serwerów IRC na tej samej zasadzie co obecnie (czyli z możliwością wyłączenia blokady/ochrony przez usera), ale nie odcinanie serwerów IRC.
25 października 2008 o 11:49:39
Huh, user neostrady?
Nie user neostrady, tylko odpowiedni ircadmin, ktory adminuje tym serwerem irc.
I jesli odmowia, to zapytac sie o dlaczego i cel tego wszystkiego.
Bo moze jednak:
"A może misją TP jest jednak utworzenie
dużego intranetu i odcięcie się od innych
operatorów?
Tylko, że wtedy gros abuserii znajdzie sobie
inny target, wewnątrz sieci i problem nadal
pozostanie nierozwiązany."
25 października 2008 o 15:35:57
Najpierw problemy z jabsterem.peel na łączach tepsy, który w jakiś sposób był blokowany przez nią, a teraz to, nie wspominam już nawet o tym że od jakiegoś miesiąca albo dwóch co tydzień w niedzielę, z internetu się korzystać nie da (10-20 kb/s na 1mbitowym łączu).
Jestem szczęśliwy z neostradą TP, dobrze że chociaż z IRCa nie korzystam.
25 października 2008 o 16:24:04
e: Żartujesz, prawda? Co ma ircadmin niby robić? Monitorować kanały? Wszystkie? Może wystarczy zgłosić mu nadużycie i zablokuje botnet (który zaraz powstanie w innym miejscu i/lub protokole).
A z odcinaniem się TPSA od innych operatorów to bym uważał. TPSA generalnie nie ma contentu w swojej sieci, a duzi (np. allegro, gazeta, n-k) muszą ekstra płacić tepsie za przywilej dostarczenia usługi jej użytkownikom.
IRC jest dość niszowy, ale podejście TPSA do tematu nie świadczy o niczym dobrym dla jej użytkowników. Dziś wycięli serwery IRC, jutro wytną jakąś pocztę czy WWW...
Tak nawiasem, wiele botnetów stawia swoje serwery IRC (zmienne IP, okresowo zmienna domena), więc obecne działanie średnio ma sens. Poza tym, nie wszystkie serwery IRC zostały wycięte, co dodatkowo świadczy o nieudolności i nieprzemyśleniu działań...
25 października 2008 o 16:26:42
" TP wcieliła w życie blackholing i ucina na brzegówkach to, co im MAPS
i/lub CERT zapoda jako "fuj". "
Czytajcie dokładnie... TPSA konfiguruje firewalle wg. shitlist ze źródeł zewnętrznych.
25 października 2008 o 16:40:31
tp wpuscza na polnet :)
25 października 2008 o 16:53:34
Phisikus: Uważasz, że admin, który bezkrytycznie przyjmuje źródła zewnętrzne, jest OK? I to tłumaczenie, że to "ochrona użytkownika"...
25 października 2008 o 17:00:55
rozie: Nie zawsze. Ale wyobraź sobie, że dostajesz listę 100 adresów IP, które zostały oznaczone jako spammerskie. I że po ich zablokowaniu ruch w sieci zmniejsza się i łącza są mniej zapchane a twoi użytkownicy bardziej zadowoleni, bo internet im nie muli. To jest dla usługodawcy mniejsze zło niż fakt, że pare osób sobie nie może na ircu pogadać. No i przecież teraz wszystko działa a to oznacza, że operator reaguje na to co piszą użytkownicy i dostosowuje swoje usługi do wymogów użytkowników.
Pewnie, wnerwiło mnie to co zrobili, ale jako administrator rozumiem dlaczego to zrobili.
25 października 2008 o 17:38:40
Phisikus: A ja jako administrator nie rozumiem. Tzn. rozumiem, co chcieli zrobić i wiem, że im nie wyszło (tak, wycinałem IP zarządzające botnetami na zmiennym IP, ale nie polskie serwery IRC). Poza tym, BGP blackholing w wersji CERN miał polegać na blokowaniu _własnych_, zainfekowanych hostów (z tego co z konferencji PLNOG pamiętam). No i lista polskich klas jest stosunkowo krótka, a sprawdzenie, czy dany adres jest na niej, to jakieś 5 linii skryptu, więc wypadałoby whitelistować i zatwierdzać ręcznie (ale nie o to chodzi, to jest niby zamierzone). Skoro aż tak chcą ingerować w ruch to może niech zaczną od puszczania ruchu SMTP swoich userów przez proxy i sprawdzanie, czy nie spam (działanie zalecane dla ISP, zwł. z NAT lub zmiennym IP)? ;>
25 października 2008 o 17:43:04
rozie: Może po prostu olewali przez cały czas abuserów i nagle ktoś przegiął i postanowili użyć drastycznych środków? Zresztą teraz wszystko działa, więc nazwijmy to 'chwilowym utrudnieniem w dostępie do usługi spowodowanym działaniami mającymi na celu zwiększenie jakości usług' :-]
25 października 2008 o 21:58:37
Phisikus: Cóż, mogli napisać, że trochę im nie wyszło odpalenie nowej funkcjonalności i poprawili, a nie ściemniać jak w ww. linku. Błędy się zdarzają i IMO nie wpływają na zaufanie, za to chora polityka - owszem.
25 października 2008 o 22:08:45
rozie: Czy ja wiem czy chora polityka? Jeżeli chodzi ci o postawę w sprawie reklamacji to jest ona w pewien sposób usprawiedliwiona. Jakiś czas temu znajomy zauważył, że z TPNETu nie da się połączyć z nowym serwerem 4programmers.net, bo.... nie istniała po prostu trasa do tego serwera w Niemczech. No i poszedł email do dostawcy. Admin nie był świadomy problemu a co dopiero pani na niebieskiej linii. Analogicznie w tej sytyuacji nic nie wiedziała. Ale przyznam, że polityka TPSA jest dziwna. Jest sporo różnych działów, które działają na zasadzie "podaj dalej". Póki wszystko działa to jest okej.
Znajomy załatwiał DSL dla szkoły. Okazało się, że jego papiery przeleciały przez dwie zupełnie osobne firmy (jakaśtam Fundacja TP i coś jeszcze), przez osobne działy i nikt nie potrafił udzielić dokładnych informacji na temat tego na jakim etapie jest realizacja usługi. Nie ma ciągłości. Póki wszystko jest okej to styka, ale wrazie jakichś zmian w trakcie wszystko się komplikuje. Nawet na montera nie można pokrzyczeć, bo jest niewinny z tego tytułu że pracuje w innej firmie która jest podwykonawcą TPSA....
26 października 2008 o 07:31:05
Phisikus: Bardziej chodzi mi o podejście/politykę kryjącą się w zdaniu "Obrona uzytkowników sieci przed zagrożeniami związanymi z sieciami botnet to jest obrona a nie terroryzm." Takie coś szybko może prowadzić do wycięcia serwerów poczty w ramach "obrony użytkowników przed spamem/trojanami wysyłanymi mailem". Ten sam tok myślenia. I akurat ograniczenie dostępu do ircserwerów innych niż polskie (plus oficjalny komunikat) bym zrozumiał... Osobna kwestia na ile sensowne by to było i jak botnety w tej chwili działają. Bo tak naprawdę fakt, że używają znanego, stosunkowo łatwego do zidentyfikowania protokołu, być może bez szyfrowania, może być bardzo pomocny w ich badaniu/rozzbrajaniu...
29 grudnia 2008 o 17:49:56
milczenie to zuo ;)
31 grudnia 2008 o 01:17:26
Znowu tepsa blokuje serwery IRC ?
31 grudnia 2008 o 02:28:26
najprawdopodobniej :(
31 grudnia 2008 o 19:18:41
Nie rozumiem jak czasami ludzie mogą wpaść na takie durne pomysły... między innymi strona gimp.org została zablokowana, od tej pory nie da mogę ściągnąć najnowszej wersji tego programu... TPSA blokuje mi dostęp do wolnego oprogramowania. Czy to jest normalne? Ci ludzie unieszkodliwiają to, co jest robione przez ludzi dla ludzi...
29 stycznia 2009 o 19:03:36
Czy Wy także macie od nowa problemy z wejściem na polnet i ircnet?