29.04.2017 18:20
marks 56 27900 Источник


Госкорпорация «Ростелеком» в течение нескольких дней вызывала проблемы в работе нескольких известных финансовых сервисов и организаций, включая Visa, MasterCard, Альфа-банк, HSBC. Причина сбоя пока что неясна, а сам он заключается в том, что «Ростелеком» перенаправлял трафик ряда сервисов и сайтов в свою внутреннюю сеть. Поэтому сами сервисы могли быть недоступными не только для абонентов «Ростелекома», но и других компаний, пишет «Коммерсант».

Первым тревогу забил сервис BGPmon, который отслеживает информацию о маршрутах трафика по всему мира. Специалисты компании сообщают, что «Ростелеком» вольно или невольно совершил «BGP-перехват». Другими словами, госорганизация проанонсировала по сети Интернет некорректные данные о маршрутизации до различных ресурсов. Компания Qrator Labs, по словам ее главы Александра Лямина, зафиксировала пять таких сбоев в течение нескольких дней. Первый сбой случился 18 апреля, его продолжительность составила около минуты. Затем повторный сбой случился днем 25 апреля, после чего подержался несколько часов, а потом еще несколько таких сбоев, которые проходили несколько раз за ночь 26-27 апреля.

Сам «Ростелеком» проблему признает, утверждая, что сбой был, но его локализовали в течение семи минут. Причиной, по заявлению сотрудников «Ростелекома», стал сбой маршрутизатора: «Из-за сбоя ПО маршрутизатора некорректно отработали фильтры, которые не пропускают во внешние сети анонсы внутренних статических маршрутов. При этом у ряда внешних операторов отсутствовали фильтры, проверяющие легитимность анонсов, в связи с чем неверная информация разошлась по интернету и нарушила маршрутизацию».

Специалисты по информационной безопасности пока обсуждают случившееся, стараясь понять, что именно произошло. Некоторые эксперты считают, что корень случившегося следует искать в ошибках в конфигурации ряда сервисов. В «Ростелекоме» говорят, что такие сбои случались и раньше, в сетях других операторов. Например, в 2008 году бразильская компания заблокировала почти всю глобальную паутину, поскольку ей было нужно оптимизировать хождение трафика через свою сеть. Но это было сделано некорректно, поэтому в глобальной сети были замечены масштабные сбои в работе.

Но ряд особенностей недавних неполадок, как говорят эксперты, не позволяют считать случившееся обычной оптимизацией трафика. «Если это была фактически попытка перенаправить трафик для некоторых из этих финансовых учреждений, это было сделано очень заметным и масштабным образом и поэтому, наверное, не слишком вероятно. С другой стороны, учитывая число префиксов из одной категории — финансовые учреждения и процессоры кредитных карт,— это кажется чем-то большим, чем просто невинный случайный перехват», — заявил руководитель компании сервиса BGPmon.


Источник: РБК

Скорее всего, «Ростелеком» пропустил различные маршруты трафика через один узел за определенное время. Специалисты по кибербезопасности утверждают, что случившееся могло стать результатом учений: «Поскольку „Ростелеком“ сам или через дочерние компании присутствует на территории всей страны, в один узел собирался трафик маршрутов со всей России. Это могло понадобиться, чтобы проверить, какой объем трафика может прокачать один узел в случае отключения, изоляции российского сегмента сети, как, например, в случае с Северной Кореей».

Кстати, ранее BGP-переход использовали некоторые провайдеры других стран для блокировки различных ресурсов. В качестве примера можно привести Pakistan Telecom, телекоммуникационную компанию из Ирана. Когда ее руководство решило заблокировать YouTube, трафик многих пользователей всемирной сети случайным образом был перенаправлен в Пакистан. Как результат — YouTube недоступен.

Что касается аномалий с «Ростелекомом», то за последние несколько дней Qrator.Radar зафиксировал с ним несколько событий такого типа:

  • 2017-04-18 23:02:00 — 2017-04-18 23:03:00
  • 2017-04-26 22:37:00 — 2017-04-26 22:50:00
  • 2017-04-27 01:06:00 — 2017-04-27 02:20:00
  • 2017-04-27 03:21:00 — 2017-04-27 04:26:00

Цифры, приведенные выше, показывают дату и время начала аномалии, и, соответственно, дату и время ее завершения. Это те MOAS, которые показал сервис BGPStream. Кроме них, был еще один, более значительный инцидент route leak на 933 пострадавших префикса.


Схема, визуализирующая изменения, вызванные «Ростелекомом».

«Я бы классифицировал этот случай, как довольно подозрительный. Обычно проблемы вроде этой более масштабны и носят случайных характер. В этом же случае идет речь о целенаправленном воздействии на финансовые организации… Выглядит странно, что кто-то ограничил трафик в своей сети лишь в отношении сетей финансовых организаций», — заявил глава компании Dyn Дуг Мэдори (Doug Madory).

Трафик, которым управляют подобным образом, можно расшифровать. В первую очередь, это касается данных, которые и не были зашифрованы. Но и зашифрованные данные можно раскодировать, если использовать атаки вроде Logjam и DROWN.

В целом, сбой в сети «Ростелекома» (никто не утверждает наверняка, что это было сделано целенаправленно, называя проблему «сбоем») затронул сети 36 организаций. Префиксы этих организаций с указанием владельцев перечислены ниже.

Список организаций
202.138.100.0/24 Reliance Communications Bangalore State of Karnataka IN
145.226.109.0/24 Euro-Information-Europeenne de Traitement de l'Information SAS Paris Ile-de-France FR
193.58.4.0/24 Fortis Bank N.V. Brussels Bruxelles-Capitale BE
217.75.242.0/24 Servicios de Hosting en Internet S.A. ES
194.153.135.0/24 Norvik Banka LV
93.190.87.0/24 Modrium Mdpay Oy NUF Oy Nord-Trondelag Fylke NO
217.117.65.0/24 NET_217_117_65 UA
195.76.9.0/24 REDSYS SERVICIOS DE PROCESAMIENTO SLU
64.75.29.0/24 Arcot Systems, Inc. Sunnyvale CA US
206.99.153.0/24 Savvis Singapore SG
198.241.161.0/24 VISA INTERNATIONAL CO US
203.112.91.0/24 HSBC banking and financial services Hong Kong HK
196.38.228.0/24 Internet Solutions Johannesburg Gauteng ZA
216.136.151.0/24 Savvis Arlington VA US
198.161.246.0/24 EMC Corporation Southborough MA US
212.243.129.0/24 UBS Card Center AG Glattbrugg Kanton Zurich CH
203.112.90.0/24 HSBC banking and financial services Hong Kong HK
216.150.144.0/24 Xand Corporation Farmingdale NY US
195.20.110.0/24 Bank Zachodni WBK S.A. Poznan Wojewodztwo Wielkopolskie PL
193.16.243.0/24 Servicios Para Medios De Pago S.A. ES
202.187.53.0/24 TIME DOTCOM BERHAD Shah Alam Selangor MY
160.92.181.0/24 Worldline France hosting FR
145.226.45.0/24 Euro-Information-Europeenne de Traitement de l'Information SAS Strasbourg Alsace FR
195.191.110.0/24 card complete Service Bank AG Vienna Wien AT
193.104.123.0/24 PROVUS SERVICE PROVIDER SA Bucharest Bucure?ti RO
69.58.181.0/24 Verisign, Inc. New York NY US
194.5.120.0/24 DOCAPOST BPO SAS FR
89.106.184.0/24 Worldline SA Frankfurt am Main Hessen DE
217.75.224.0/19 Servicios de Hosting en Internet S.A. Madrid Comunidad de Madrid ES
195.114.57.0/24 DNBNORD PLC LV
198.241.170.0/24 VISA INTERNATIONAL CO US
216.119.216.0/24 MasterCard Technologies LLC Wentzville MO US
193.203.231.0/24 SIA S.p.A. Milano Lombardia IT
65.205.249.0/24 Symantec Inc Mountain View CA US
194.126.145.0/24 Netcetera AG Zurich Kanton Zurich CH
65.205.248.0/24 Symantec Inc Mountain View CA US

Пока что «Ростелеком» не дал подробных комментариев о том, что произошло на самом деле.
Поделиться с друзьями
-->

Комментарии (56)


  1. TimsTims
    29.04.2017 22:59
    #10037624
    +5

    Причиной, по заявлению сотрудников «Ростелекома», стал сбой маршрутизатора
    Да-да, ни у кого в мире маршрутизаторы не сбоят вот так, а у ростелекома уж 4 раза и все разы ночью…
    Признайтесь уже, человеческая ошибка — посадили криворукого ночью дежурить за магистральными шлюзами, а должного контроля не сделали… вот он от скуки и начал в 3 часа «улучшать» сеть…


    1. KonstantinSpb
      30.04.2017 00:43
      #10037740
      +9

      Тестируют переход на православную карту Мир и обрубают способ вывода валюты зарубеж, т.к. невозможно будет ничего купить.


      1. unxed
        30.04.2017 12:01
        #10038020
        -3

        Биткойны сначала пусть заблокируют. Деньги уже давно прекрасно «текут» из страны в страну через них.

        Но блокировать идеальную прачечную в стране с запредельной коррупцией вряд ли кто-нибудь станет.

        Наворованное же тоже надо как-то выводить из страны :)


        1. Al_Azif
          01.05.2017 07:20
          #10038666

          А провоз любых сумм налом через границу в чемоданах уже отменили?


          1. unxed
            01.05.2017 12:34
            #10038844

            Незаметно купить много валюты, кмк, сложнее, чем незаметно купить много биткойнов.


      1. tandzan
        30.04.2017 12:20
        #10038026

        Вероятнее готовятся во время массовых народных волнений рубануть интернет, оставив только критичные сервисы, дабы не усугублять.


        1. peter23
          30.04.2017 15:45
          #10038158

          Вряд ли европейский или гонконгский банк можно отнести к критичным сервисам.


          1. pnetmon
            30.04.2017 18:11
            #10038252
            +2

            Смотря для кого.


        1. unxed
          30.04.2017 15:48
          #10038160

          Если будут работать критичные сервисы, будет работать и dns.
          А через dns можно гнать что угодно.
          Потренеруйтесь заранее :)


          1. Carburn
            30.04.2017 19:39
            #10038304

            DNS можно фильтровать.


            1. unxed
              30.04.2017 22:19
              #10038474

              Мне вот интересно, какие вычислительные ресурсы нужны, чтобы фильтровать DNS в масштабах страны. Если отлавливать туннели механически, короткий патч к софту для туннелирования решит проблему. Чтобы качественно отлавливать все возможные туннели вообще, нужна эвристика.


              1. Carburn
                30.04.2017 22:26
                #10038480

                Будут разрешены запросы только к DNS серdthe провайдера, а DNS провайдера будет разрешать адреса только домены критичных сервисов.


                1. unxed
                  01.05.2017 12:23
                  #10038830

                  Если у нас на самом деле будет dns whitelisting, будем гнать трафик через стеганографию и любую возможность публикации пользовательских данных на критичных сервисах.

                  Софт для этого уже написан, см. ссылку.

                  Вода дырочку найдёт.


                  1. Pakos
                    02.05.2017 15:20
                    #10040936

                    Масштабность только будет слегка другой, чего и добиваются. Очистка до 100% не нужна, достаточно 99.9% или даже 99%.


        1. Zidian
          30.04.2017 16:31
          #10038184
          +2

          А может банально неплатильщикам пытаются сделать доступными сайты банков, чтобы 3-D Secure можно было подтверждать? А мы тут панику развели.


          1. Labunsky
            30.04.2017 20:25
            #10038362

            Неплатильщики ростелекома давно могут его и так подтверждать


            1. Zidian
              30.04.2017 20:50
              #10038390

              Ну, может в этом месте что-то и сломалось.
              Я никого не оправдываю, просто часто сталкиваюсь у билайна, если забываю оплатить — сайты банков то открываются, то нет, то редирект срабатывает, то ещё что — когда интернет отключен. Жутко раздражает.


      1. mrrouter
        30.04.2017 20:37
        #10038374
        -12

        Американцы сами обрубили нам возможность что-либо купить за рубежом, обвалив цены на нефть и курс рубля по отношению к доллару. А своя платёжная система нам нужна на случай выходок с их стороны. У них до сих пор бомбит, что Крым вернулся в Россию.


        1. KonstantinSpb
          30.04.2017 20:41
          #10038380
          +4

          Какие негодяи америкосы, рубль нам уронили, цены на нефть нам обвалили, санкции ввели против конкретных лиц и компаний.


        1. Sheti
          30.04.2017 20:43
          #10038382
          +3

          Шапочка из фольги не жмёт?


        1. mokele
          02.05.2017 07:07
          #10040006
          +1

          Это еще что! У меня вчера в лифте кто-то кнопки сжег. Говорят, он был подозрительно темнокожий.


        1. Pakos
          02.05.2017 15:24
          #10040942

          И снег в субботу явно их рук дело (серьёзно — я такое от одного россиянина услышал, только, может, он рептилоидов имел в виду).


        1. Ugrum
          02.05.2017 15:52
          #10041028
          +1

          Мистер рутер, а почему у вас ник такой подозрительный странный?
          Дожно быть "Товарищ маршрутизатор".
          Вы уж определитесь, а кто как-то неаккуратненько получается.


    1. mtivkov
      30.04.2017 10:40
      #10037962
      +1

      В часы наименьшей нагрузки на сеть не скучают, а выполняют плановые работы.


  1. pnetmon
    29.04.2017 22:59
    #10037626

    Специалисты по кибербезопасности утверждают, что случившееся могло стать результатом учений: «Поскольку „Ростелеком“ сам или через дочерние компании присутствует на территории всей страны, в один узел собирался трафик маршрутов со всей России. Это могло понадобиться, чтобы проверить, какой объем трафика может прокачать один узел в случае отключения, изоляции российского сегмента сети, как, например, в случае с Северной Кореей»

    Какой-то специфический выбор для выбора именно объемного трафика ;)


    И в тоже время в новостях промелькнуло только это....


    http://www.interfax.ru/business/559721
    Сбербанк устранил сбой в обслуживании карт Visa
    Клиенты банка жаловались, что не могут снять средства с карт в банкоматах и провести платежные операции посредством Visa
    Москва. 24 апреля. INTERFAX.RU — Сбербанк России устранил неисправности в обслуживании карт Visa, сообщила пресс-служба банка.
    "В результате внедрения новых функциональных возможностей некоторое время наблюдались технические проблемы в работе банковских карт Visa. На текущий момент обслуживание карт восстановлено в полном объеме", — отметил представитель банка.

    http://www.rbc.ru/rbcfreenews/5901613d9a794726f1f0d681
    Сбой произошел из-за «изменения настройки маршрутизации запросов», — уточняется в сообщении. «Приносим извинения Сбербанку и его клиентам за связанные с этим неудобства», — говорится в сообщении OpenWay.


  1. Contriver
    29.04.2017 23:24
    #10037654

    Выбор трафика верный, более вероятно, что это учения по возможности реализации контроля и поиска неучтённых денежных потоков.
    Готовяться ловить тунеядцев, а может кого и покрупнее.
    А чтоб не получилось как с законом Яровой, проверяют возможность реализации в деле.
    Ну или взяли на работу хакера ,как тут, вот он и тренируется по ночам!


    1. areht
      30.04.2017 02:16
      #10037802
      +5

      Ростелеком учётом денежных потоков не занимается. А представители ЦБ есть во всех крупных банках, обрубить или контролировать их денежные потоки — не проблема.


      1. 9660
        02.05.2017 05:49
        #10039952

        Уверены что «представители ЦБ есть во всех крупных банках»?


        1. areht
          02.05.2017 06:30
          #10039968

          Уполномоченные представители Банка России, действующие в соответствии со статьей 76 Федерального закона «О Центральном банке Российской Федерации (Банке России)», по состоянию на 01.08.2016 назначены в 151 кредитную организацию.


          1. 9660
            02.05.2017 06:36
            #10039970

            Спасибо. Всегда интересно неожиданно узнать чего-то новое.


  1. mickvav
    30.04.2017 01:31
    #10037774
    +4

    Гхм, предлагаю внимательно прочитать ответ: «Из-за сбоя ПО маршрутизатора некорректно отработали фильтры, которые не пропускают во внешние сети анонсы внутренних статических маршрутов. При этом у ряда внешних операторов отсутствовали фильтры, проверяющие легитимность анонсов, в связи с чем неверная информация разошлась по интернету и нарушила маршрутизацию».

    То есть у ростелекома внутри сети есть IP-адреса и AS-номера автономных систем других организаций.
    Банальный вопрос, дорогой Ростелеком, зачем они тебе? А какие ещё виртуальные атономки у тебя есть?


    1. miksoft
      30.04.2017 04:28
      #10037834

      А это не может быть нужным для поддержки сервисов, для доступ к которым используется IP-адрес?
      Например, для гуглового DNS. Прямо в данный момент у меня пинг из Москвы до 8.8.4.4 всего 2 мс, а маршрут содержит всего один узел между сетью моего провайдера и этим хостом. Т.е. явно отзывается сервер расположенный совсем недалеко.


      1. mickvav
        30.04.2017 18:10
        #10038250

        google пирится на msk-ix и отдает там свои dns. Да, 8.8.4.4 в Москве и в Нью-йорке — это два разных физических сервера. Но оба — в AS гугла, а не в AS Ростелекома. Чувствуете разницу?

        Другое дело, что в контексте последних «сдвигов» в законодательстве я не удивлюсь, если окажется, что dns-резолв для вас будет делать ваш провайдер не глядя на то, к какому серверу вы сделали dns-запрос.


        1. click0
          30.04.2017 19:58
          #10038328

          Для подобного и придумали DNSsec.


    1. CrazyRoot
      30.04.2017 07:39
      #10037866

      Берем AS всего мира, вычитаем AS РФ, получаем кол-во виртуальных AS у Ростелекома :)


  1. pnetmon
    30.04.2017 07:49
    #10037870
    +2

    В целом, сбой в сети «Ростелекома» (никто не утверждает наверняка, что это было сделано целенаправленно, называя проблему «сбоем») затронул сети 36 организаций. Префиксы этих организаций с указанием владельцев перечислены ниже.

    В первоисточнике для https://arstechnica.com/security/2017/04/russian-controlled-telecom-hijacks-financial-services-internet-traffic/ ссылка на https://bgpmon.net/bgpstream-and-the-curious-case-of-as12389/ где так же в списке еще есть
    Below the list of affected networks (other Rostelecom networks excluded)
    49002 Federal State Unitary Enterprise Russian
    41268 LANTA Ltd
    5553 State Educational Institution of Higher
    8291 The Federal Guard Service of the Russian
    9162 The State Educational Institution of Hig
    15835 ROSNIIROS Russian Institute for Public N
    15468 38, Teatralnaya st.


    Интересно 1546 38, Teatralnaya st. это Публичные акционерные общества КФ ОАО "РосТелеком" — г.Калуга, ул.Театральная,38?


    1. a5b
      07.05.2017 05:07
      #10049847

      Да, AS 15468 (KLGELECS-AS) — Калуга, Ростелеком:
      https://www.ripe.net/ -> Search IP address or ASN -> as15468
      https://apps.db.ripe.net/search/query.html?searchtext=as15468#resultsAnchor


      aut-num: as15468 org: ORG-JR8-RIPE as-name: KLGELECS-AS descr: 38, Teatralnaya st. descr: Kaluga, Russia remarks: == our peer is: AS44237 CenterTelecom interregional backbone== ... organisation: ORG-JR8-RIPE org-name: PJSC Rostelecom org-type: LIR ... role: Kaluga Elecs NOC address: OJSC Rostelecom ... kaluga.ru


      Также:
      http://as-rank.caida.org/?mode0=as-info&mode1=as-table&as=15468&data-selected-id=42
      http://www.cidr-report.org/cgi-bin/as-report?as=15468&view=2.0
      http://bgp.he.net/AS15468
      История маршрутов в BGPlay: https://stat.ripe.net/widget/bgplay#w.resource=as15468


  1. BigD
    30.04.2017 11:11
    #10037988

    Ну что… Надо начинать бэкапить себе заграничный Интернет на всякий случай…
    А вот этот роутинг внутри России через Китай тоже порадовал.


    1. zikasak
      30.04.2017 12:37
      #10038038

      пиринговые войны продолжаются? ужас…


    1. mrrouter
      30.04.2017 22:51
      #10038494
      -2

      Рутинг.


      1. BigD
        30.04.2017 22:54
        #10038502
        +1

        Не согласен. Мои коллеги-сетевики-американцы чаще говорят «раутинг», имея в виду routing. Так что и роутинг вполне себе имеет право на существование.

        P.S. Сам с удовольствием поправляю, когда другие вариантыы заведомо неверные, но тут не этот случай.


        1. kosmos89
          03.05.2017 21:51
          #10043808
          +1

          Амер. Раутинг
          Брит. Рутинг


    1. Macilnor
      02.05.2017 16:48
      #10041188

      Помнится когда вышла локализация игры Айон там тоже были некие проблемы с коннектом к игровым серверам (пинг, дисконекты, потери пакетов). Позже, после долгих обсуждений с техподдержкой, прогонов бесчисленных tracert и пингов от клиента к серверу и обратно выяснилось что маршрут от клиента из Подмосковья к серверам в Москве шел так же через «Китай» (вроде бы те же Франкфурт и Стокгольм). Я так понимаю для наших провайдеров это вообще нормальное явление.


  1. NoRegrets
    30.04.2017 12:58
    #10038048
    +1

    — Обвиняемый, то есть вы утверждаете, что случайно попали топором в голову потерпевшего?
    — Да, совершенно случайно!
    — Все 4 раза?


  1. Sheti
    30.04.2017 13:00
    #10038050
    -2

    Интернет давно перерос масштабы гиковского междусобойчика и теперь мы все расплачиваемся за период романтического энтузиазма, когда и родились основные протоколы интернета. Это и огромное количество спама, корень которого в протоколах почты и отравление кэшей DNS и подмена их ответов и уже не раз происходившие ошибки маршрутизации. Фактом является, то что любое неосторожное движение или хуже, намеренный саботаж среди провайдеров средней руки может создать серьёзные проблемы для всего интернета. Попытки прикрутить к старым протоколам шифрование и защиту до сих пор остаются попытками хотя потребность созрела давно. Где DNSSEC? Где HTTP 2?
    Битва за интернет проигрывается корпорациям и правительствам. Это видит любой кто был в интернете хотя бы в начале 2000-х


    1. ximaera
      30.04.2017 13:24
      #10038088
      +4

      Вот так всегда: начали за здравие, а закончили DNSSEC.


      Вместо того, чтобы разобраться в мешанине старых протоколов, давайте сверху наворачивать новые.


      1. Sheti
        30.04.2017 20:37
        #10038376

        Никто не собирается разбираться в старых протоколах. Корпорациям это не нужно. Провайдерам услуг и подавно. Как показала практика последних лет сколько данные не сливай они только плечами пожимают. Крупные игроки погрязли в мелких войнах друг с другом. Тот же Mozilla упорствует во внедрении webp. Чего ради?
        История точно такая же как с IPv6. Про него говорят уже сколько лет? Каждые пол года статья о том, что у очередного LIR'a закончились адреса. Сейчас уже даже SoHo железо поддерживает IPv6, а воз и ныне там.
        По моему хватит ворошить старые протоколы, которые создавались во времена когда компьютеры были большие, а программы маленькие. Нужно решать проблему на корню, а не латать дыры пятью разными несовместимыми способами. Если бы не Google то мы бы HTTP 2 ещё лет 15 ждали в браузерах.


        1. ximaera
          01.05.2017 12:13
          #10038822
          +1

          Бинарный гипертекстовый протокол, не умеющий нормально работать с reverse proxy и не работающий без шифрования? Было бы неплохо, если бы мы его ещё лет 30 не увидели.

          Современные программисты — а в большей степени их менеджеры — очень любят вдохновляться тем фактом, что во время оно оперативной памяти было 640 Кб, а сейчас 8 Гб. В результате чего даже на телефонах 1 Гб — это уже слишком мало, а на серверах память уже терабайтами начинают считать. А делают все эти устройства все примерно то же самое, только в тысячу раз неэффективнее.

          Старые протоколы создавались в расчете на эффективность, а новые — в расчете на закон Мура. И в результате в IPv6 снова приходится в случае необходимости заблокировать доступ с одного адреса банить всю сеть, потому что а) SLAAC и б) таблица отдельных IPv6-адресов ни в какую таблицу в памяти не влезет никогда. При этом в IPv4 банить подсетями стало не модно ещё 10-15 лет назад. Легко видеть, что с теоретико-протокольной точки зрения у нас должен был быть прогресс, а с точки зрения решаемых практических задач случился регресс.

          В этом и проблема современных протоколов: когда инженеры, задолбавшиеся ловить утечки памяти и воображающие себе гигабайты RAM, пишут протоколы с расчетом реализовывать их потом на Java и C#, в итоге каждый из десятка этих протоколов начинает требовать эти гигабайты себе единолично, а задачи по этому решает все те же, что и старый добрый протокол 1979 года о 2 мбайт памяти. И еще хорошо, если решает не хуже.


          1. Sheti
            01.05.2017 15:00
            #10039046

            Извините, но вы тут пишете откровенную глупость. Для разбора бинарных протоколов нужно меньше памяти, чем для разбора текстовых. Они по определению компактнее. Ну а то что современный мир где не только правительство, но и каждый вшивый провайдер желает посмотреть, чего я там по сети гоняю — требует шифрования это уже издержки современного мира. Если стоит выбор между купить ещё оперативки или наслаждаться подменой данный и слежкой, то я куплю оперативку.

            А по поводу IPv6 просто почитайте документацию.


            1. ximaera
              01.05.2017 18:13
              #10039362
              +2

              Не извиню, потому что это не я пишу глупости, это вы читаете не написанное мной, а что-то из своей головы.

              Для разбора бинарных протоколов нужно меньше памяти, чем для разбора текстовых. Они по определению компактнее.
              Заявление про «компактность по определению» в общем случае фактически неверно. Простой пример: запись числа «ноль» в текстовом протоколе JSON («0») занимает 1 байт, в то время как в его бинарной версии BSON она занимает 11 байт.

              Поэтому рассмотрим не общий случай, а случай HTTP/2.

              В современном WWW тела HTTP-ответов (то есть, контент) весят на порядки больше, чем заголовки. Web-страница, на которой мы сейчас общаемся, весит около 3,5 мегабайт и формируется 65 HTTP-запросами, что даёт нам около 55 килобайт на каждый ответ (и около 15 килобайт в среднем после gzip-сжатия), в то время как заголовки каждого что запроса, что ответа весят примерно 200-400 байт. И в доброй половине случаев это именно текст: HTML, CSS, Javascript, JSON, XML. С точки зрения памяти, бинаризация заголовков — это экономия на спичках.

              Некоторая экономия могла бы быть разве что на стороне контент-сервера, который не парсит данные (включая тела POST- и других запросов), но вот беда: HTTP/2 на самом деле не вмешивается в сами заголовки, ограничиваясь сжатием и бинаризацией лишь формата передачи старого доброго текста. Ввиду этого что на сервере, что на клиенте памяти требуется ровно столько же, сколько и в HTTP/1. Более того, HTTP/2 добавляет обязательный overhead на хранение TLS-сессии, так что памяти требуется даже больше, чем в HTTP/1.

              В обмен на эту экономию HTTP/2 нельзя диагностировать и отлаживать из обычной консоли tcpdump'ом, нужно, по совету его авторов, брать GUI-приложение. Это уже не говоря о том, что де-факто обязательное шифрование делает эту отладку ещё более трудоёмкой, а в ряде случаев вообще невозможной. То есть это не просто экономия на спичках, это, знаете, как в Советском Союзе: когда газ в квартирах оплачивался фиксированной суммой без счётчиков, люди, чтобы не тратить спички, просто не тушили конфорки и весь день жгли газ.

              И да: можно было бы использовать для контента сжатие, но вот беда: ввиду всё того же шифрования и атак на него глава про сжатие в спецификации HTTP/2 написана эзоповым языком, предъявляет к реализациям протокола требование отличать конфиденциальные данные от неконфиденциальных (что вообще непонятно, как делать) и изобилует термином MUST NOT, что на практике будет в большинстве случаев приводить либо к отсутствию сжатия там, где оно надо, либо к компрометации данных там, где их нужно было защищать.

              современный мир [..] требует шифрования
              «Современный мир» не требует шифрования, его требуют определённые прикладные задачи, в то время как ряд других задач шифрования не требует. Именно по этой причине авторы HTTP/2 в конечном счёте не стали включать требования к шифрованию в спецификацию. Отсутствие поддержки HTTP/2 over TCP — это самодеятельность корпораций, выпускающих браузеры, что также многое говорит нам о характере развития протоколов в последние годы.

              не только правительство, но и каждый вшивый провайдер желает посмотреть, чего я там по сети гоняю
              Помните эту картинку?

              image

              Если правительство страны, где вы живёте, захочет узнать, чем вы занимаетесь, оно это узнает. Если вам это не нравится, вам нужно либо выбрать другое правительство, либо изменить род деятельности, либо сменить страну проживания. Повальное внедрение шифрования приводит к компрометации этого самого шифрования и на выходе обеспечивает лишь, в лучшем случае, невозможность тайного досмотра. В качестве побочного эффекта от неуклюжих действий правительства страдают невинные люди.

              А по поводу IPv6 вам, очевидно, просто нечего было сказать.


              1. Sheti
                01.05.2017 20:41
                #10039544
                -3

                Мне элементарно просто лень разбирать все очевидные глупости, что вы написали. Читайте спецификации, а не выдумывайте несуществующие проблемы.
                Одно только ваше сравнение JSON и BSON говорит о тотальной некомпетентности в вопросе.


                1. ximaera
                  01.05.2017 20:51
                  #10039554
                  +3

                  Да-да, конечно же, у вас есть ответ, вам просто лень. :-)


                  1. Sheti
                    01.05.2017 20:53
                    #10039556
                    -3

                    Я уже давно перерос возраст когда мне было важно, что в интернете кто-то не прав. Гораздо важнее для меня, что R&D продукта Qrator не разбирается в том в чем должен по идее разбираться.


  1. Wan-Derer
    30.04.2017 15:59
    #10038164
    +2

    <совпадение?>
    А почему у Ростелекома логотип похож на ухо?
    </совпадение?> :)


    1. kvaps
      01.05.2017 02:39
      #10038622

      <ирони>
      Ой, на что он только не похож…
      </ирони>


    1. Dmitry_4
      02.05.2017 07:29
      #10040034

      Пеявка же.