Расследование первое

Провел server-error

 

Простые команды, чтобы узнать кто это сделал. 

linux freebsd - traceroute
windows - tracert
195.5.53.149 (195.5.53.149) 172.114 ms 256.640 ms 128.768 ms
195.5.53.10 (195.5.53.10) 179.748 ms !X * 123.914 ms !X

Продолжаем расследование...
whois 195.5.53.10

inetnum: 195.5.53.0 - 195.5.53.63
netname: UKRTELNET
descr: Ukrtelecom IP backbone network
descr: JSC Ukrtelecom
country: ua
admin-c: ARM3-RIPE
tech-c: ARM3-RIPE
status: ASSIGNED PA
mnt-by: AS6849-MNT
notify: aremiga@ukrtel.net
changed: aremiga@ukrtel.net 20021009
source: RIPE

route: 195.5.32.0/19
descr: AGGREGATE BLOCK FOR UKRTELECOM.
origin: AS6849
mnt-by: AS6849-MNT
changed: aremiga@ukrtel.net 19990216
source: RIPE

person: Alexander Remiga
address: JSC UKRTELECOM
address: 18, Shevchenko blvd.
address: 01030, Kiev, Ukraine
phone: +380 (44) 246-4416
fax-no: +380 (44) 226-2586
e-mail: aremiga@ukrtel.net
nic-hdl: ARM3-RIPE
changed: aremiga@ukrtel.net 20010410
source: RIPE

Вот так за одну минуту знаем кто и что на Украине.

 

 

 

Расследование второе

Провел Сержант

 

C Укртелекома ( 564-00-00) на yanukovich.nm.ru я попасть не смог.
Решил проверить подробно.
Можете проверить все мои шаги, находясь даже вне «ЗОНЫ» покрытия Укртелекома (УТК).
1. Заходите на http://ncc.x-telecom.net/lg/lg.pl Тут можно проверить ping и trace через роутеры УТК и альтернативных компаний.
На переключателе Query выбираете сначала вариант ping, в поле Address вставляете yanukovich.nm.ru
Из выпадающего списка выбираете по очереди все варианты. Лично у меня полный провал был с роутером Kyiv-1. Остальные худо-бедно (20% на Kyiv-2) и лучше (Франкфурт – не знаете почему :) откликались.

2. Таким же образом проверьте trace (на переключателе Query выбираете trace)
Теперь посмотрите, на каком ip-адресе блокировались пакеты при роутере Kyiv-1 (213.179.224.61)
Затем зайдите на сайт http://looking-glass.spidernet.net:90/
!!! У Вас должна быть включена поддержка Java (! Не путать с JavaScript !)
!!! Страница загружается на 52 Kb линии более 1 минуты, подождите.
Вставьте теперь в поле Enter Host/URL этот ip-адрес 213.179.224.61
Через 15 сек Вы увидете кому он принадлежит (внизу последняя строка справа) – Ukrtelecom IP access network in KIEV

3. Давайте проверим через http://looking-glass.spidernet.net:90/ прохождение на yanukovich.nm.ru
Вставьте yanukovich.nm.ru в поле Enter Host/URL
Все нормально идет, ПАТАМУ ШО не через УТК.

P.S. Я последнее время не увлекаюсь политикой, но такая наглость уже ддддостала!!!
На месте ИХ я бы сначала перекрыл доступ на украинские looking-glass/ping/traceroute УТК, а потом бы уже перекрывал трассу. Но это, к счастью, невозможно.

Надейся на лучшее, готовься к…

 

 

 

Расследование третье 

Провел Алексей Саморуков, Украинская правда

 

После прочтения статьи "Украинской правды" о блокировке веб сайта yanukovich.nm.ru решил проверить всё сам, дабы добавить "свои 5 копеек". Заинтересовала эта проблема потому, что интернет является одним из немногих информационных источников, благодаря которому всё ещё можно получать информацию о происходящих в Украине событиях.

Кроме того, если данные о намеренной блокировке ресурса - правда, то Украина попадает в прекрасную кампанию таких "демократических" государств как Китай (процессы против интернет-диссидентов, блокировка "неугодных" ресурсов), Россия (борьба с сайтом сепаратистов, система СОРМ) и Беларусь.

Я работаю системным администратором, поэтому могу дать подробный отчёт о проблеме.

Итак, начинаем эксперименты:

1. Попытка просмотреть получить доступ с машины физически расположенной у провайдера DG (www.dg.net.ua):

traceroute to flock0vhs.newmail.ru (212.48.140.151), 30 hops max, 38 byte packets
1 colocation (213.186.192.129) 0 ms 0 ms 0 ms
2 metro (213.186.193.1) 0 ms 0 ms 0 ms
3 kl72G1-1 (213.186.193.3) 10 ms 0 ms 0 ms
4 aggr-3-1GE-225dot1q.kiev.ucomline.net (62.221.40.169) 10 ms 0 ms 0 ms
5 edge-1-1GE-212dot1q.kiev.ucomline.net (213.130.30.173) 10 ms 0 ms 0 ms
6 Frankfurt1.de.ALTER.NET (139.4.69.193) 40 ms 30 ms 30 ms
7 POS5-1-0.XR1.FFT4.ALTER.NET (149.227.16.33) 40 ms 30 ms 40 ms
8 so-0-1-0.TR2.FFT1.ALTER.NET (146.188.8.138) 30 ms 30 ms 40 ms
9 so-2-0-0.TR1.STK2.ALTER.NET (146.188.3.145) 60 ms 60 ms 50 ms
10 ge-7-3-0.XR1.STK3.ALTER.NET (146.188.11.229) 60 ms 60 ms 60 ms
11 POS1-0.GW9.STK3.ALTER.NET (146.188.7.78) 50 ms 60 ms 60 ms
12 Sovintel.gw9.stk3.alter.net (146.188.48.30) 80 ms 80 ms 80 ms
13 cisco13.Moscow.gldn.net (194.186.157.210) 80 ms 80 ms 80 ms
14 cat02.Moscow.gldn.net (194.186.157.229) 100 ms 80 ms 80 ms
15 ORC-gw.Moscow.gldn.net (194.186.0.130) 80 ms 80 ms 80 ms
16 * * *

Как мы видим, доступ получить удалось, пакеты успешно добрались до Москвы (хоть и через Франкфурт, что в общем-то нормально для сети).

2. Попытка доступа к сайту, используя услугу "беспарольный доступ к интернет по телефону" от "Укртелекома" (kv.ukrtel.net):

traceroute to flock0vhs.newmail.ru (212.48.140.151), 30 hops max, 38 byte packets
1 195.5.5.160 (195.5.5.160) 520 ms 160 ms 160 ms
2 213.179.224.73 (213.179.224.73) 150 ms 170 ms 160 ms
3 * * *
4 * * *
5 195.5.53.10
6 195.5.53.10
.... и так до бесконечености.

Проверив данные ip-адреса (они принадлежат "Укртелекому", Ukrtelecom IP backbone network), мы можем легко убедиться в том, что дальше этого госпровайдера пакеты не уходят. При этом остальные ресурсы из РФ (rambler.ru, ya.ru) работают без проблем.

Какие из этого следуют выводы:

1. Пакеты не уходят из "Укртелекома".

2. Имеет место быть либо очень странная техническая проблема с роутингом (но тогда непонятно почему работают остальные московские сайты), либо - сознательная блокировка "неугодного" властям ресурса.

Учитывая национальный статус оператора "Укртелеком", а также то, что во многих небольших городах все частные провайдеры используют каналы этой компании для передачи информации в сеть, проблема может быть у огромного количества пользователей.

Для того, чтобы разобраться с проблемой, я решил позвонить в службу поддержки для получения комментариев. Также я написал письмо по адресу support@kv.ukrtel.net.

По телефону 544-12-12 меня долго уверяли, что это проблемы данного ресурса, а мои аргументы о том, что пакеты дальше "Укртелекома" не уходят, слушать не хотели.

При этом сотрудник техподдержки имел крайне низкий технический уровень подготовки (чего стоили фразы "я не могу запустить traceroute, так как я в локальной сети" или "он, наверное, просто очень долго открывается").

При этом все мои просьбы соединить меня с системным администратором для того, чтобы я смог нормально описать суть проблемы, игнорировались.

Через трубку было хорошо слышно, как оператор техподдержки постоянно звонил по разным телефонам и пытался получить ответ на мой вопрос.

Также было хорошо слышно как некий "Рома" (админ что ли) советовал меня куда послать подальше. Потом, после 30 минут подобных "переговоров" мне дали телефон 574-18-38.

При этом там меня сразу послали в службу поддержки и положили трубку, не захотев слушать. Потом трубку долго не брали (великая штука - автодозвон). Дозвонился с мобилки. Мне опять сказали, что проблемы на сайте.

После этого я привёл им распечатки листинга traceroute и попросил прокомментировать их. И на каком основании они решили, что проблемы "там", если пакеты не выходят за пределы их сети.

Увы, и тут я не получил внятного ответа. Правда, меня сразу стали активно уверять, что "мы ничего не фильтруем, хоть на луну лазьте".

При этом все мои просьбы дать письменный комментарий к листингу игнорировались. Точно также как не признавалось нарушение договора с их стороны. Потом, наконец, они признали наличие проблем у себя в сети, но сказали, что проблемы "где-то выше".

Я ответил, что если проблемы "где-то выше" политические - то я бы хотел получить письменный ответ, если технические - давайте их решать. После чего произошёл стандартный советский лохотрон "угадай номер": мне дали телефон 543-35-50, по которому сказали, что это не их компетенция и дали ещё один номер, по которому никто не брал трубку. Ну, просто "московская служба отказов".

Некоторое послесловие:

По сообщениям с конференции украинских пользователей FreeBSD стало
известно о проблемах с доступом к сайту "5 канала" у пользователей "Укртелекома". В настоящий момент я не могу подтвердить или опровергнуть эту информацию, но учитывая отсутствие ответа на мой письменный запрос по поводу yanukovich.nm.ru, думаю, что это правда.

Огромная просьба к журналистам: опубликовать всю эту информацию на своих ресурсах. Если это не остановить сегодня, то завтра в "блэк-листе" будут pravda.com.ua и radio.org.ua, послезавтра – bbc.ua, а потом и ваш сайт.

Также просьба инициировать письменный запрос от издания по поводу данной проблемы. Ещё недавно мы слушали "Радио Континент", сегодня у нас остался только интернет и "5 канал".

Пользователям интернет - позвоните по телефону поддержки и спросите "почему у меня нет доступа к ресурсу yanukovich.nm.ru при использовании провайдера "Укртелеком", а при использовании других провайдеров - есть".

Если этого не сделать сегодня - завтра будем читать только "сливки" с заказных сайтов а-ля ukr.ru. Или "двойники" известных новостных ресурсов.

Кстати, технически изменить DNS в пределах одного провайдера и разворачивать, например, пользователей pravda.com.ua на "более корректные" ресурсы совсем не сложно.

Системным администраторам - позвоните (или напишите e-mail запрос) с грамотным описанием проблемы и просьбой ответить на него письменно. Вас будет сложнее послать. Если вы работаете на "Укртелекоме", - попытайтесь узнать и напишите (хотя бы анонимно) о реальных причинах и инициаторах этого безобразия. Наша задача решать проблемы сети, а не создавать их.

 

 

Расследование четвертое (от 17.10.2004)

Провел www@flock0vhs.newmail.ru 

 

Сайт по прежнему не открывается напрямую:

...

16    83 мс    96 мс    96 мс  cisco13.Moscow.gldn.net [194.186.157.210]
17    96 мс    96 мс    83 мс  cat02.Moscow.gldn.net [194.186.157.229]
18   164 мс    96 мс    83 мс  ORC-gw.Moscow.gldn.net [194.186.0.130]
19     *        *        *     Превышен интервал ожидания для запроса.
20     *        *        *     Превышен интервал ожидания для запроса.

 

 

 

Расследование пятое (от 18.10.2004)

Провел testquery

 

Не разблочили они ничего. Наоборот. Когда ещё только заваривалась каша вокруг фильтрующего УТК, у меня сайт ещё открывался нормально. Наш итнернет ещё не шёл тогда через УТК.
А на неделе уже перестало открываться. Смотрю трассу на www.yanukovich.nm.ru:
    52 ms    20 ms   165 ms  barracuda-e0.0.5.nbi.com.ua [80.78.34.1]
   505 ms   408 ms   409 ms  nbi.dg.net.ua [213.186.193.206]
   566 ms   590 ms   759 ms  kl72G1-1.dg.net.ua [213.186.193.3]
     *        *        *     Превышен интервал ожидания для запроса.
   989 ms  1090 ms     *     edge-1-1GE-212dot1q.kiev.ucomline.net [213.130.30.173]
                                                 ^^^^^^^^^^^^^^^^^
   696 ms   502 ms   972 ms  Frankfurt1.de.ALTER.NET [139.4.69.193]
  1021 ms   944 ms  1224 ms  POS2-1-0.XR2.FFT4.ALTER.NET [149.227.16.37]
  1538 ms     *     1331 ms  so-1-1-0.TR2.FFT1.ALTER.NET [146.188.8.146]
  1066 ms   774 ms   842 ms  so-2-0-0.TR1.STK2.ALTER.NET [146.188.3.145]
   560 ms   756 ms   874 ms  ge-7-3-0.XR1.STK3.ALTER.NET [146.188.11.229]
  1456 ms  1605 ms     *     POS1-0.GW9.STK3.ALTER.NET [146.188.7.78]
  1501 ms  1473 ms  1348 ms  mwx00090-gw.customer.ALTER.NET [146.188.69.182]
   956 ms   534 ms   393 ms  cisco13.Moscow.gldn.net [194.186.157.210]
   371 ms   386 ms   430 ms  cat02.Moscow.gldn.net [194.186.157.237]
  1071 ms   671 ms   759 ms  ORC-gw.Moscow.gldn.net [194.186.0.130]
     *        *        *     Превышен интервал ожидания для запроса.
     *        *        *     Превышен интервал ожидания для запроса.

Этого неделей раньше не было. И звёздочек тоже.
whois 213.130.30.173 показывает Одессу, Farlep (т.е. не УТК, хотя название edge-1-1GE-212dot1q.kiev.ucomline.net наводит на мысли)
Дальше можно только воображать. Неделей раньше этого не было - скорей всего, УТК заворачивает роутинг Украины в мир через себя?

Теперь. Трасса обрывается уже на ORC-gw.Moscow.gldn.net
www.yanukovich.nm.ru = 212.48.140.151
www.newmail.ru = 212.48.140.150
Трасса на www.newmail.ru :
...
   759 ms   806 ms  1070 ms  cat02.Moscow.gldn.net [194.186.157.229]
  1034 ms   499 ms   153 ms  ORC-gw.Moscow.gldn.net [194.186.0.130]
   185 ms   187 ms   180 ms  morda.newmail.ru [212.48.140.150]
Newmail сразу после ORC-...
Whois подтверждает принадлежность yanukovich.nm.ru сети Newmail.

Можно решить, что сайт отфилльтрован уже в Москве, на ORC-...
Но мне пришло в голову, что УТК теперь шифруется - как за этими звёздочками на трассе, так и фильтруя сайт. Достаточно на проходящем через шлюз УТК траффике на этот сайт поставить TTL равным количеству хопов до этого ORC-... (если только TTL не меньше) и будет полная видимость фильтрации пакетов в Москве.
А анонимайзеры за рубежом как ни в чём не бывало тянут сайт.
Грустно от таких мыслей становится...
Спасибо за внимание.

 

 

 

Расследование шестое, окончательное

Провел Sergey I. Goviadovskiy

Kyiv-1 ler1 Looking Glass Results

Query: trace
Addr: yanukovich.nm.ru

Translating "yanukovich.nm.ru"...domain server (80.70.66.33) [OK]

Type escape sequence to abort.

Tracing the route to flock0vhs.newmail.ru (212.48.140.151)

  1 213.179.224.61 [AS 6849] 4 msec 0 msec 0 msec

  2  *  *  * 

  3  *  *  * 

  4  *  *  * 

  5  *  *  * 

  6  *  *  * 

  7  *  *  * 

  8  *  *  * 

  9  *  *  * 

 10  *  *  * 

 11  *  *  * 

 12  *  *  * 

 

 

# whois 213.179.224.61                         ~

% This is the RIPE Whois secondary server.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

 

inetnum:      213.179.224.0 - 213.179.224.255

netname:      UKRTELNET

descr:        Ukrtelecom IP access network in KIEV

descr:        JSC Ukrtelecom

country:      ua

remarks:      E-mail for SPAM and abuse postmaster@ukrtel.net

admin-c:      ARM3-RIPE

tech-c:       ARM3-RIPE

status:       ASSIGNED PA

mnt-by:       AS6849-MNT

notify:       aremiga@ukrtel.net

changed:      aremiga@ukrtel.net 20031125

source:       RIPE

 

route:        213.179.224.0/19

descr:        AGGREGATE BLOCK FOR UKRTELECOM.

origin:       AS6849

mnt-by:       AS6849-MNT

changed:      aremiga@ukrtel.net 20030306

source:       RIPE

 

person:       Alexander Remiga

address:      JSC UKRTELECOM

address:      18, Shevchenko blvd.

address:      01030, Kiev , Ukraine

phone:        +380 (44) 246-4416

fax-no:       +380 (44) 226-2586

e-mail:       aremiga@ukrtel.net

nic-hdl:      ARM3-RIPE

changed:      aremiga@ukrtel.net 20010410

source:       RIPE

 

 

 

Информация от официального лица портала Newmail.ru:

Доступ ко всем сайтам, расположенным на NewMail'е, блокируются в Укртелекоме.