Názory k článku Část Internetu zhavarovala. Tentokrát kvůli výzkumu!
-
normality.syndrome (neregistrovaný)ze by produkcni sit mela byt pouzivana k pokusum. Kdyz Vam znicehonic zacne padat konektivita a internet je jeden z Vasich hlavnich pracovnich nastroju (cti, musite zvednout desitky telefonu od zamestnancu), tak na tyhle "pokusy" zacnete koukat trochu jinak.... navic nechapu, proc se takovehle veci nedelaji v noci (kdyz uz to MUSI delat na produkcni siti), kdy je ten traffic preci jenom o trochu mensi a hlavne pripadny problem nepostihne zakazniky operatoru....
-
Sten (neregistrovaný)Čas, který byl zvolen (cca 9:30 UTC) je velmi rozumný. Všichni správci počítačů v Evropě jsou vzhůru a ve standardní pracovní době (např. není potřeba je budit a platit za noční přesčas), takže problém můžou rychle řešit, a provoz je na maximu vždy až odpoledne (případně večer), ne ráno (viz graf). V pátek ráno je navíc nejnižší traffic z celého pracovního týdne a klesá i míra odvedené práce, takže zákonitě došlo k rychlému vyřešení problému a ve spojení s dalšími faktory i nejnižším možným škodám
-
normality.syndrome (neregistrovaný)nevim o jakem "rychlem" vyreseni problemu mluvite. Vypadky byly opakovane a zaznamenal jsem nejake i v odpolednich hodinach. Vzdy slo o zahranicni servery, coby reference slouzily servery google a na nich bylo krasne videt, jak se to chova. 10 vterin trasa jela, dalsich 40 to hnilo na timeoutech....a tak se to nekolikrat opakovalo. Dopoledne to bylo o nejakych 20 minutach vkuse minimalne, nebo tak neco. Mozna vice. Odpoledne uz byl vypadek mensi. Priznam se, ze jsem to presne nemeril, je to jenom odhad. Behem dne jsem tohle chovani zaregistroval tusim 4x. No a co se tyce toho casu, tak byl zvolen nestastne z toho duvodu, ze se v tu dobu ve firmach normalne pracuje, tudiz tim omezuji zakazniky operatoru. To mi neprijde v poradku. Argumentace, ze je to takhle "levnejsi" a nemusi se nikdo "budit" mi prijde jako totalne zcestna. Bavime se o poskytovani sluzby (PLACENE !!!) a v tuto chvili je to o tom, ze operatori nemohli dostat svych zavazku vuci zakaznikum na zaklade toho, ze chlapci v RIPE NCC se rozhodli experimentovat s RISem.. Dalsi vec je ta, ze jiste maji k dispozici dostatek HW, aby neco takoveho mohli nasimulovat a vyzkouset jak se to chova na ruznych verzich IOSu na Cisco routerech plus u Cisco systems otevrene dvere na konzultace vseho druhu. Nejspise to neudelali, protoze je to co ? Ano, pracne, opruz, zdlouhave...... Mimochodem, spravci site byvaji vzhuru i v noci :o). Spravce site nespi :o).
-
normality.syndrome (neregistrovaný)je takovy problem priznat, ze RIPE NCC udelalo chybu ? :o) Predpokladam, ze pokud by o tomhle dopredu operatory informovali, tak by se to nejspise nestalo. To je zodpovednost RIPE NCC. Dalsi vec jsou zaplaty. Ono zaplatovat si doma Asus router je trosku jina pisnicka, nez davat novy IOS do paternich routeru, switchu apd. Ja bych to na operatory nehazel :o).
-
davro (neregistrovaný)RIPE NCC žádnou chybu neudělalo. Pokud inzerovaná cesta byla z pohledu směrovače vadná, tak ji měl směrovač zahodit a dál nešířit. Neměl kvůli tomu provést žádnou další věc, která by ovlivnila další cesty. V tomto má prsty jednoznačně pouze Cisco a operátoři, kteří řádně nefiltrují BGP updaty a neupgradují svoje routery.
A upřimně řečeno, pokud operátor závisí na jednom routeru a tudíž nemůže provést upgrade, tak je opět chyba někde u operátora. -
Ale RIPE se k odpovednosti priznalo, uz tim, ze dalo samo vedet, ze za problemy v udanem casovem okne pravdepodobne stoji jejich experiment. Taky to mohl zkusit nekdo odnekud v utajeni s ucelem realne skodit a na pricinu by se pravdepodobne prichazelo dost komplikovane.
A upgradovat afektovany software na afektovane platforme (CRS) vzhledem k modularite beziciho kodu take az takovy problem neni. Problem je proste v tom, ze software do atributu hrabe tak, jak podle publikovanych standardu rozhodne nema (zjednodusene receno to orizne/zkrati) a to je pricinou padu BGP spojeni... takze maslo v tomto pripade neni na hlave RIPE, ale vyvojaru Cisca. -
normality.syndrome (neregistrovaný)OK, Cisco napsalo software, ve kterem je bug. Jake prekvapeni..... Nebudeme michat hrusky s jabkama a rekneme si na rovinu, ze pokud delam upgrade takoveho rozsahu (mluvime o "experimentu" s globalnim, resp. evropskym dopadem) , tak vychazet z premisy, ze vsechna dotcena zarizeni jsou up-to-date je hole silenstvi..... Stejne tak si neotestovat funkcnost na ruznych verzich software/hardware. Proste jsou to strelci, z pohledu zakaznika to byla bezohlednost. Provadet testovani na produkcni siti je prasarna. Nic dalsiho k tomu nemam :o). Berte to prosim tak, ze za dostupnost internetu v nejakej kvalite platime nejake penize, ktere musime take nejak vydelat a pokud je pro nas ta vydelavajici platforma internet, tak opravdu nemuzete cekat, ze si reknu neco jako ze o nic nejde, vypadecek sem, vypadecek tam. Jsem zakaznik a z teto pozice to hodnotim.
-
Prestrelujete predevsim Vy, z pozice zakaznika muzete nadavat maximalne tomu, s kym mate na sluzby uzavrenou smlouvu a to predpokladam asi neni RIPE :-)
Tak predevsim, slo o bug, ktery se objevil az pote, co test v RIPE probehnul s tak fatalnimi dusledky. Neslo o predem znamou a verejne dokumentovanou chybu. A jak znamo, zdrojove kody jsou uzavrene a beznemu cloveku (tedy i tem z RIPE) nepristupne. K bugu byla 12 hodin po vzniku problemu vydana advisory cisco-sa-20100827-bgp, pripadne CVE-2010-3035. V tomto trosicku opravim autora clanku (Zbynka), neslo o stejny bug, jako on linkoval - problem v jim odkazovanem rok starem cisco-sa-20090818-bgp se tyka nevalidnich updatu, ale o trosku jiny problem. Nove objeveny bug se tyka updatu validnich, jen v bezicim kodu smerovace nerozpoznanymi tranzitivnimi atributy. Podobne tranzitivni atributy u updatu se pouzivaji napriklad i ve vztahu ke 4B cislum ASN, ktere pres "starsi" smerovace, ktere 4B cisla ASN nepodporuji prochazi take jen jako nerozpoznany atribut... tedy rozhodne nejde o vec, ktera by se "bezne" nepouzivala - 4B cisla ASN se uz nejaky ten patek pouzivaji a stale je spousta zarizeni, ktera tato neumi (nektera ani nikdy nebudou).
RIPE jen ve svem testu pouzilo neco, co BGP protokol ve sve specifikaci normalne podporuje a obvykle s tim problem neni. Problem ale nastal, s IOS-XR, coz je novy kod pouzivany na high-end Cisco routerech, tedy CRS-3, CRS-1 a volitelne na nekterych 12000(GSR). Nekdo proste nedusledne implementoval doporuceni (RFC) tykajici se BGP protokolu, to se u vyvojaru obcas stava - a nikdo nemohl dopredu vedet, ze v novem kodu bude chyba, ktera ve starem kodu (IOS) neni. Opravu ale diky modularite IOS-XR bude mozne sirit tak, ze bude mit minimalni dopady (tj. asi nebude nutne reloadovat cele routery, ale opravi se jen afektovane sluzby).
Podobnych experimentu probiha na internetu spousta - staci chtit a najdete veci, o kterych se Vam nezda. Ono si postavit model internetu na testovani nekde bokem dost dobre nejde a jsou veci, ktere se jinak, nez pustenim do "ostre" site vyzkouset proste nedaji, dost casto nejde o testy proveditelne na par smerovacich... Diky podobnym experimentum ale internet i pri svem nerizenem rustu dodnes preziva. -
normality.syndrome (neregistrovaný)technicky jste mi to vysvetlil opravdu krasne (az za hranici toho, co jsem schopen pobrat), nicmene porad nechapu, proc to nekdo z RIPE neotestoval na ISO-XR. Co se tyce CRS boxu, tak vim jak to vypada, ale moje hracky jsou o nekolik radu nize - at uz v porizovaci cene, nebo v moznostech, takze si dovolim opakovat to, co jsem rekl na zacatku. Z meho zakaznickeho pohledu RIPE fatalne podcenilo dopady takoveho testu a totalne odflaklo testovani. Kdyby to testovali, tak ten problem najdou. Spolehat se na to,ze cely internet dodrzuje RFC a ze v predchozich verzich IOSu neco fungovalo je podobne nesmyslne, jako spolehat na to, ze ve vsech routerech na internetu budu mit stejnou verzi IOSu. No a o prestrelovani muzeme polemizovat do aleluja. Z meho pohledu prestrelujete Vy, protoze nejste schopen/ochoten pochopit, ze jsou lide, kterym ten vypadek zpusobil problemy a obhajujete z meho pohledu neobhajitelne - cili odflaknutou praci, kterou obhajujete nutnosti vyvoje. Mimochodem, myslim se, ze prave tento test se klidne na par smerovacich dal udelat a nemyslim si, ze by zrovna RIPE v tomto ohledu trpelo nejakym nedostatkem prostredku. At uz virtualnich okruhu, nebo smerovacu. BTW modularni update, alespon nejaka pozitivni zprava v ramci te bidy.
-
davro (neregistrovaný)Pořád opakuju, že v RIPE neudělali nic špatně. Ostatně třeba poslední masivní výpadek internetu byl způsoben právě těmi vašimi krabičkami o několik řádů níž. Člověk zadá na mikrotiku špatně parametr a polovina internetu jde do kytek. Prostě pokud je někdo zodpovědný, tak je to především výrobce toho šuntu, co nedodržuje RFC.
RIPE nemůže testovat všechny možné kombinace všeho možného. Cisco není jediný výrobce a zkoušet všechny možné kombinace včetně různých obskurních řešení typu bird (zdravíme naše hrdinné české vývojáře :-) nebo mikrotik prostě není v lidských silách.
Pokud si tedy někdo myslí, že mu byla způsobena ztráta, tak se jistě může obrátit na soud, ale pochybuju, že by někdo vůbec mohl uvažovat o tom, že by za to mohl být zodpovědný někdo, kdo dodržel všechny předpisy (tedy jedině v případě, že by ho soudili v Česku). -
normality.syndrome (neregistrovaný)Jenom tvrdim, ze se tomu chlapci v RIPe meli venovat vice, nez se tomu ve skutecnosti venovali a ze to podelali - svym jednanim odrizli produkci site od internetu. Nikdo po nich nechtel, aby testovali vsechny routery. Stacilo otestovat alespon ty Cisco routery, kterych je nejvice. No a vite co ? Prisli by na to, ale evidentne se na to totalne vykaslali - neco implementovat na zaklade predpokladu, to je fakt uplne mimo, obzvlaste na internetu..... Co se tyce Vami zminovanych obskurnich reseni, tak si je prosim nechte u sebe ve firme a nesnazte se je nacpat (ani verbalne) k nam. Kdyz napisu o nekolik radu, tak porad mluvim o produktech Cisco Systems.
Jen tak mimochodem, muzete mi prosim JMENOVITE oznamit vyrobce hw, ktery nikdy nemel problemy s dodrzovanim RFC ? Dekuji uctive. -
davro (neregistrovaný)> alespon ty Cisco routery, kterych je nejvice.
Víte kolik Cisco vyrobilo CRS-1 nebo CRS-3, když tvrdíte, že je jich na internetu nejvíc? (tj. těch, které jsou vybaveny IOS-XR)
Pokud někdo něco podělal, tak to prostě bylo Cisco. Nikdo nemá povinnost předpokládat něco o nějakém hardware. Má povinnost držet se specifikace, což RIPE udělalo. Takže ze strany RIPE žádný problém.
A nevím o žádném výrobci, který by neměl problémy s dodržováním RFC, nicméně nevidím důvod proč bych měl vinit někoho, kdo o případných problémech daného hardware nemůže (protože to není známá chyba) a nebo nemusí vědět.
RIPE není žádná testovací laboratoř pro Cisco, testování stojí spoustu peněz, tak ať ho dělají pořádně ti, kdo ty škatule vyrábějí a měli by za ně nést zodpovědnost. -
normality.syndrome (neregistrovaný)Ja opravdu nevim jak to funguje u Vas, tam na Vasi planete, ale tady na Zemi je realita jina. Kdyz neco implementuji a podela se mi to (sic diky chybe sw/hw od vyrobce), tak ze to nesu odpovednost ja a ne dodavatel HW - mel jsem si to otestovat, nez jsem to narval do produkcniho prostredi. Powerpoint a Acrobat Reader jsou nejlepsi operacni systemy, protoze v nich funguje vsechno (vsechno snesou) a jestli jste tenhle trik do dnesnich dnu neprokoukl, tak mate na cem pracovat. Nicmene pokud je to s to odpovednosti u Vas jinak, tak Vam zavidim a poslete mi adresu, okamzite se tam za Vami stehuji a muzeme nerusene pokracovat v polemice, protoze nebudeme za nic zodpovidat....proste to delegujeme na ty zle vyrobce......
-
davro (neregistrovaný)Ale rozhodně to není proklamovaná většina. No a když uvážíme, kolik taková škatule stojí, tak si nemyslím, že by si RIPE na svoje testování mělo něco takového pořizovat.
A i těch 5000 ks není nějak závratné číslo, když i malý český CESNET z jedné malé zemičky, která má stejný počet obyvatel jako jedno větší velkoměsto jich bude mít okolo 10. -
Jooo... :) to cislo bude z te breznove marketingove zpravy, kdyz uvadeli CRS-3, tak ho tam psali :-) Kazdopadne, nejde o nijak zavratne cislo bez ohledu na to, kam jsou pozicovany - beztak ta marketingova zprava nevypovidala nic o tom, kde v jake konfiguraci jsou ty boxy skutecne nasazene. U nas sice je majoritne u operatoru zastoupene Cisco, ale to neimplikuje, ze stejna situace je v zahranici. Kdyz se podivate k jinym zahranicnim operatorum, velmi casto tam naleznete nejake boxy treba od Juniperu, a i u nas se to zacina pomalicku otacet...
Vcera jsem to tu ostatne odkazoval, podle analyzy RIPE (ktere k tomu ma pomerne dost dobre nastroje) vypadek afektoval <2% siti... coz muze neprimo vypovidat o tom, kde vsude ty CRS jak jsou :) -
Mýlíte se Vy a to hned v několika ohledech:
- na dodržování standardů Internet obecně stojí, tudíž jejich chybná implementace je cesta do pekel bez pardonu
- určitě nemáte ve smlouvě o přípojení k Internetu garantovánu dostupnost všech jeho částí (už jen díky tomu, že to je nedefinovatelné a stále se měnící)
- směrovačů Cisco CRS-X rozhodně není ve velkých tranzitních sítích tvořící Internet většina. Jakkoli se to může zdát zvláštní, jde dokonce spíše o minoritní záležitost.
- jen samotné Cisco má v portfoliu několik stovek kombinací router/feature-pack, nemluvě o verzích a trainech. Jak by měla vypadat metodika testování čehokoli spojeného se sítí?
A tady jste zpátky u standardů... -
normality.syndrome (neregistrovaný)jak uz jsem napsal drive, skutene nejsem sitar, ani vzdalene. Tudiz se nepoustim na tenky led. Jenom si myslim, ze kdyz uz se dela neco s moznym dopadem na pulku sveta, tak se to ma delat jinou formou, nez je slapani slona v porcelanu. Na metodiku testovani bych se asi zeptal na Cisco, s tim Vam bohuzel neporadim. RIPE by mozna mohlo....
Co se tyce ten dostupnosti vsech casti, to si asi delate legaci, ne ? Routery ? Ano, stovky moznych kombinaci. Protoze hrozi, ze zborim pulku Evropy, tak to mozna stoji za vyzkouseni, ne ? Chapu, ze pro IPka je to vypadecek a resi se to atd., ale Vam vubec nedochazi, co v tech kvantech konektivity, co sla do zdi, mohlo tect za data...... Zkuste se nad tim zamyslet.
Jenom proste nejsem rad, kdyz nekdo normalizuje nenormalni stavy pod zastitou cehokoliv. -
davro (neregistrovaný)Víte, že pouhým zasunutím přístroje do zásuvky 230V můžete způsobit výpadek napájení v půlce Evropy? Ověřoval jste si experimentálně, že při zapnutí vašeho holícího strojku do zásuvky nedojde k rozkolísání elektrické soustavy a potenciálnímu kolapsu elektrické rozvodné sítě? Otestoval jste si ten holicí strojek ve všech možných variantách připojení do zásuvky?
:-) -
Quantim (neregistrovaný)Takze se da predpokladat, ze jste testoval vsechny doma zapojene elektricke spotrebice s domovnimi jistici na nezavislem elektrickem okruhu, nez jste to zapojil do verejne elektricke site. Protoze se muze klidne stat, ze vyrobce jistice zrovna vyrobil zmetel kterej nevypne a muze to v kombinaci se spatne fungujicim zarizenim zpusobit vypadek cele mestske casti....
-
A podle ceho soudite, ze Cisco CRS/GSR routery tvori smerovace v pulce sveta? Precetl jste si to v Blesku? ;-) Existuji i jine routery, jak od Cisca, tak i od jinych vyrobcu (Juniper, Huawei, 3Com, Linux/BSD systemy s Quaggou/Birdem i "slavny" Mikrotik, atd), kterym se pri tomto testu vubec nic nestalo a bezely dal, pokud jejich partnerem nebylo to CRS...
Jakpak chcete vyloucit to, ze vec, ktera jinde roky funguje najednou bude u nejake platformy problem? Prednasite tu spoustu mouder, ale zatim jste neosvetlil, jak by podle Vas melo vypadat testovaci prostredi zahrnujici stovky moznych implementaci, ktere muzou nedejboze v extremnich situacich schodit pulku sveta.
Doporucuji se Vam odstehovat zpatky na strom ci do jeskyne, ale ani tam nebudete v bezpeci... i zdanlive silna vetev se pod Vami muze ulomit ci zritit se stovky let stabilni strop. -
Martin Mareš (neregistrovaný)Pokud někdo používá router, který odporuje standardu, tak je to prostě jeho problém. Nikoliv problém celého zbytku světa, po kterém nedává smysl chtít, aby si před posláním každého packetu zkontroloval, jestli někde na světě nejsou zařízení, která by tím packetem mohl shodit.
-
Ona uz ta porizovaci cena muze byt zasadni limitou. RIPE neni zadnou tiskarnou cenin, kde za produkty z tiskarny je mozne si nakoupit veskery (natoz i cenove high-end) hardware aktualne dostupny na trhu, tolik miliard na uctech se nevali na uctech nikomu, ani v RIPE. Tedy vas pohled je hrube zkresleny a zcela odtrzeny od reality. Zhruba tak stejne odtrzeny, jako kdybyste chtel od Microsoftu testovat funkcionalitu jejich software (Windows) na jakemkoliv na trhu dostupnem PC HW. Zatimco nad pady Windows se ale nikdo nepozastavuje, tak tady se z toho dela afera...
To, ze nekdo byl afektovan vypadkem je sice smutne, ale vy nechapete to, ze neni v silach KOHOKOLIV otestovat pripadne dopady testu predem v nejakem umelem neprodukcnim prostredi na veskerem sitovem hardware, ktery se muze zrovna nekde pouzivat... asi netusite, o cem vlastne internet je, ze jde o silne hybridni sit postavenou na zarizeni cele rady vyrobcu, kdy i v ramci jednoho vyrobce existuje cela rada ruznych verzi software. O otevrenem software, ktery muze tise kdokoliv modifikovat ku svemu obrazu ani nemluve...
Vy jako zakaznik si maximalne muzete stezovat u sveho ISP, treba vam Vasi reklamaci uzna - nebo Vas take posle do pr**le s tim, ze Vam ze smlouvy rozhodne negarantuje spojeni kamkoliv si zamanete. Porad si ale neuvedomujete, ze test, ktery RIPE v dobre vuli udelalo rizene a pri zjisteni problemu tento okamzite ukoncilo mohl provest i nejaky hacker/utocnik s cilem realne uskodit (cil, ktery RIPE rozhodne nemelo) a zpusobit vypadek mnohem delsi. Ta zranitelnost proste realne existuje nezavisle na tom, jakym zpusobem se na ni prislo. Mel byste si neco lepe nastudovat o procesech vyvoje SW, i sebelepsi testy nevylucuji pripadnou chybu v produkcnim prostredi - a z praxe lide v IT se pohybujici vedi, ze chyby v kodu se proste objevuji i tam, kde je nikdo neceka. -
normality.syndrome (neregistrovaný)Vite co ? Vzdavam to. Z celeho srdce Vam preji zakazniky, kteri budou spokojeni se stavem, kdy na nich budete neco testovat a jim ta jejich zaplacena sluzba (generujici zisk) nebude fungovat a Vy je uspokojite vysvetlenim, ze to tak ma byt, ze je to v poradku. Ta nefunkcnost je sice zpusobena Vasi cinnosti, nicmene stezovat si maji na centrale Huawei v Cine, protoze oni preci dodali tu krabicku, ktera Vas tvrdosijne odmita poslouchat a pritom v manualu pisou, ze poslouchat bude. Dokonce i ten pan co mi to prodaval to rikal !!!
Ty Vase primery s PC a Windows (btw zcestne,ale kdyz Vam to dela radost) si nechte pro nekoho, kdo Vam to spolkne, me uz je to vcelku jedno. Obzvlaste vtipne je, ze se nad pady PC nikdo nepozastavuje. Vite proc ? Protoze pad PC neodrizne pulku Evropy od internetu..... Ty jabka s tema hruskama Vam vazne jdou na jednicku.
Poznamkou na zaver snad jenom to, ze je jiste dobre, ze tu chybu odhalili na RIPE, nicmene je spatne, ze pri tom odhalovani odriznuli Evropu od internetu.
Mimochodem, ja jsem se svym ISP spokojen a kdyby to tak nebylo, tak uz jsem jinde. No a co se tyce Vaseho komentare ke smlouvam, tak to radsi ani nerozvadejte. Spojeni kam se mi zamane ? Myslite treba na servery Google ? To neni v cene ? Aha, tak to jsem vazne nevedel. Jste demagog nejhrubsiho zrna. -
To vzdejte. Protoze na internetu nemuzete svym zakaznikum garantovat to, ze nekdo v nejakem kvadrantu site provede neco, co bude problemem nekde v uplne jinem kvadrantu site, ktery ale Vy nemuzete jakkoliv ovlivnit, i kdyz se na hlavu postavite. Internet je sit decentralizovana, pochopte to. V pozici poskytovatele sluzeb v CR dost slozite ovlivnite to, ze nekdo daleko za hranicemi v vypusti v BGP update, ktery v konecnem dusledku slozi "par" BGP routeru dale v rade... notabene, kdyz se ty BGP routery slozi diky chybe v implementaci jasne popsaneho standardu, ktere treba nejaky rychlokvaseny programator ne uplne chape...
Tohle jsou vse spojene nadoby - setri se vsude, i na vyvojarich a administratorech, lidi co neco umi nikdo nechce platit, spousta konfiguraci je o cut&paste neceho, co fungovalo jinde a vysledkem jsou paskvily nachylne na kdejakou drobnost, kterou ale malokdo umi resit...
Jestli vam Vas ISP smluvne garantuje spojeni na jakoukoliv IP adresu v internetu, tak Vam gratuluji - mel byste se v diskuzi podelit, kdo je ten hrdnina... jiste mu tim prilakate spoustu novych zakazniku ;-) Tedy pokud si nevymyslite (a jen naokraj, internet opravdu neni jen Google, pripadne Seznam) -
normality.syndrome (neregistrovaný)Vite co, mate pravdu. To, ze svet neni o RFC a malokdy neco funguje tak, jak je to na papire a je treba s tim pocitat, to bych nechal byt. Vzdyt je to jedno. S Cisco produkty jsem si zazil mnoho noci, kdy jsem misto spanku resil to, ze nekdo nekde udelal chybu. V cemkoliv muze byt chyba. Nicmene je s tim treba pocitat. Kdyz s tim nekdo nepocita, tak to ma potom nasledky jako tento nas diskutovany pripad. Zit v idealnim svete ma svoje vyhody. O internetu jsem si vzdycky myslel, ze je to ten kabel (jee, pardon, je to nejaky sklo nebo co, jak to muze fungovat ?), co mi kouka ze zdi. Kdyz je teda decentralizovany, tak to asi znamena, ze jeste nekde jinde budou nejake kabely, na ktere nevidim, ze.... No a ISP, muj ISP je fajn. Kdybych mu zavolal (coz jsem neudelal, pac jsem videl, ze to nefunguje nikomu), ze mi nefunguje zahranicni konektivita, tak by jiste chapal, ze mi v ten moment neposkytuje tu sluzbu, za kterou platim a zacal by to resit. S jistotou by mi nerekl, ze mi preci zahranicni konektivitu v cene negarantuje. Jestli Vas ISP takto ne/funguje, tak zkuste zmenu. Defacto muzete asi libovolnou.
Kdyz budete mit chvilku, tak mi prosim jeste poslete nejake dalsi adresy. Internet me hrozne zajima a rad byc si prohlednul i jine obrazky, nez jsou na Google a na Seznamu. Dekuji !
PS: setri se vsude, ale nevidim tam souvislost. -
Nikdy neodhadnete vsechny mozne dusledky. Sam jste napsal, ze problematice az tak moc nerozumite. Tranzitivni atributy v BGP je neco, co ma routerem projit dal. Obvykle to i prochazi a "nezname" atributy problem nejsou - viz ta 4B ASN. To ze v jedne konkretni implementaci vzniknul problem s tranzitivnimi atributy nemohl nikdo predvidat, kdyz v desitkach dalsich implementaci to problem proste doposavad nebyl (nikdo neni sibyla).
Samozrejme, v podobnych flame na internetu se najde spousta chytraku, ktera vsechno vi nejlepe a vsechno by delala jinak - a idealne se nepodepise, aby se nahodou odborne nekde neztrapnila... ;-)
Ad muj ISP - muzu vam garantovat, ze cestu svych IP paketu kontroluji dale, nez si myslite a rozhodne ani moje domacnost neni single-homed. A i pres vysi redundance, kterou mi me pripojeni poskytuje si rozhodne nedelam iluze o tom, ze paket bezpecne dorazi kamkoliv na opacnem konci zemekoule. Myslet v tomto smeru znamena... vsak asi odtusite co. Ten problem mohl (a stale asi znovu muze) zpusobit absolutne kdokoliv a rozhodne se k tomu nemusel priznavat (spise muze skodit skutecne zamerne), narozdil od RIPE, ktere se zachovalo zcela seriozne a pri zjisteni problemu svuj test ihned prerusilo a verejne oznamilo, co se stalo - a to oznameni je i podkladem tohoto clanku.
Souvislost se setrenim je zrejma - software vyviji / testuji mene kvalifikovani (=levnejsi) lide a tedy je vetsi pravdepodobnost, ze chybny kod i testy projde... -
normality.syndrome (neregistrovaný)Ja chapu, ze na IP se spojeni garantuje spatne. O tom mysleni celou dobu hovorim. To, ze si mysleli ze to bude ok znamena jen a pouze to, ze ***** vedeli a ja si nejsem jisty, jestli je tohle spravny model v urovni operace, kdy delam zasah do site takoveho charakteru a dopadu - proste a jednoduse to podcenili. ad BGP. chapu, co se mi snazite vysvetlit, ale nevidim zadnou souvislost s tim, co tvrdim ja.
ad. ISP jestli si myslite, ze redundace pripojeni prodluzuje prirozeni v kolektivu az o 10 cm, tak to uz davno neni pravda. Pokud internet potrebuji k praci, tak to pokladam za standart. No a co se tyce kontroly paketu, tak to Vam gratuluji. Prave jste se stal mym hrdinou.... -
x (neregistrovaný)nejsem sice pravnik, ale docela by me zajimalo, koho byste chtel zalovat?
existuji standardy prokolu BGP, ktere by mel kazdy dodrzovat. v RIPE jenom zacali announcovat (spravnou) zpravu s nestandardnim atributem. co s tim maji routery delat je ve standardu predpokladam definovano.
kdyz bych to bral hodne alibisticky, tak neni problem RIPE ze nekdo pouziva routery, ktere v sobe maji chybu. samozrejme, kdyby to RIPE udelal schvalne, tak je to neco jineho, ale takhle byste mel vinit spis cisco... -
JJ (neregistrovaný)Mám dojem, že Cisco implementovalo. Problém je v tom, že ne všichni majitelé boxů nový IOS instalovali. Ale i tam je otázka, proč to neudělali - pokud proto, že v nové versi IOSu se objevily nějaké nové chyby, které by jim reálně zkomplikovaly jejich situac (což není zase tak neobvyklé)i, tak je těžké jim to mít za zlé.
-
Prectete si prosim znovu obe ty odkazovane advisories zde v komentarich, jde skutecne o ruzne chyby - ostatne opravy sirene nyni opravuji ten samy kod/sw releasy opravovane pred rokem. To, ze nespadly vsechny CRS neznamena nic - on ten pokazeny update se nemusel k danemu routeru z nejakych duvodu doputovat...
Mimochodem, RIPE dnes vydalo obsirne osvetleni, ze ktereho mimo jine vyplyva, ze ten experiment nemel az tak katastroficke dopady, cca 1,4% vsech... -
Johnnik (neregistrovaný)třebas tím, že za svou práci (soft) nikdy neručí ... co to je za nápady "testovat" "ostrý" provoz? Dovolil by si někdo provádět zátěžové testy mostu, pod kterým jezdí auta? A ještě se ohánět tím, že je to potřeba dělat ve špičce a že to tak je dobře, že jsou vzhůru doktoři, řidiči záchranky, hasiči a není potřeba je budit?
-
petrib (neregistrovaný)tak trochu mimo jste vy protože tohle nebyl zátěžový test. Že to mělo takový dopad je už jiná a je opradu dobře, že se na to přišlo teď a ne až při napadení sítě.
Jinak na mostech se za provozu provádí řada měření, protože nejde jen tak uzavřít silnici, že si zrovna potřebujeme něco změřit po několika letech provozu. -
Jenda (neregistrovaný)Ne, nezachovali se jako hackeři. Oni začali propagovat plně validní (podle RFC) routu a nemohli vědět, že ostatní používají routery, které to sesype.
Je to stejná situace, jako kdyby se routery sesypaly, kdyby jim přišla routa do 1.2/16 (ale nikdo by o té chybě nevěděl) a ty bys pak označil vlastníka subnetu 1.2/16 za hackera, protože si dovolil propagovat svoji síť. -
Jenze mosty i u nas obcas padaji... i u nas. Dovolil bych si nesmele pripomenout fatalni pruser ze Studenky pred cca 2 lety a nemalo mostu afektovanych ruznymi povodnemi... proste sebelepsi zatezove zkousky neodhali vsechny mozne nedostatky.
RIPE se jako hacker nechovalo - vyuzilo standardniho mechanismu, ktere specifikace umoznuje k transportu neceho, co nekterym konkretnim implementacim neudelalo dobre diky chybe v dusledku nepochopeni dlouho predem znameho standardu ze strany vyvojaru - o cemz ale ti, co to zkouseli nemohli predem vedet - mozna leda v situaci, ze by meli funkcni kristalovou kouli schopne vesteni... -
havarie (neregistrovaný)Kdyz uz tady operujete s bombou, tak to berte taky tak, ze arpanet (predchudce internetu) byl puvodne navrhovan tak, aby ustal atomovy vybuch. Tak by snad pokrokovejsi mladsi internet mel sakra ustat jeden paket, ktery sice vypada trochu jinak, nez je zvykem, ale zcela vyhovuje norme.
Pusobite dojmem rozcileneho urednika, kteremu par minut nesel facebook. Delal jste nekdy neco tak odborneho jako je zatezovy test mostu? Ja ne, ale laka me to.
Pod pojemm "havarie" si ja v me praxi predstavuji situaci, kdy ukrajinec rezal autogenem plynove potrubi, ve kterem byl plyn. -
J. (neregistrovaný)koukám tady tuna borců kope za cisco..
někdo použil standard který je definovaný a někdo to měl blbě naimplentované..
šmytec, chyba cisca a hotovo
to jako když si domluvím licenční pásmo, ohlásím, pustím vysílač a zjistím že mi tam jouda s polskou anténou pouští něco přes a ruší mě... taky jsem si to jeho měl oměřit?
prostě to posr... a hotovo.. blbý výmluvy "že by někdo měl všechno otestovat"...
ČLÁNKY DO MAILU