现在阿里的工程师技术可真水啊

2019-09-07 14:47:10 +08:00
 inter
背景:阿里 ecs 访问 azure cn 的 windows share 失败。经我们检查北京联通 4g 网络是可以访问 azure cn tcp 445 端口的,初步判断问题出在阿里云,遂开工单

1.阿里售后先表示不是阿里云的锅,经我们贴出测试结果之后( powershell Test-NetConnection,测试结果中有多处表明是 tcp 445 ),发现以前我们反馈过这个问题,直接转到后端技术人员
2.后端技术人员上来探测 udp 445,表示阿里云没有问题,世纪互联问题。
3.经指出为 tcp 445 之后,又说了一堆话表示反正我们就是木有封,找对方吧
4.我们要求阿里云做 tcp trace route,做 443 和 445 的对比测试
5.阿里云使用 traceroute -T 443 进行了检查,测试结果表示 443 和 445 是通的,并且表示很奇怪为啥 telnet 445 不通
6.我们指出阿里云测试错端口了,-T 443 表示 tos 是 443,端口 80.要求阿里云重测。
7.阿里云没有贴测试结果,直接说要求对端协助抓包
8 我们要求阿里云贴结果
9 根据结果,我们指出问题出在阿里云网络接入商
10.阿里云说是和域名备案有关,我们顿时黑人问号脸???不对外有任何端口的服务器,访问 azure cn 的 445 端口要域名备案正确?需要谁的域名备案正确呢?那为啥北京联通 4g 能直接访问呢?
11。阿里云贴出他们内部和联通的沟通,联通给阿里云回复“%……*&……%,请用户找客户经理检查备案情况”
12.我们认为联通是说阿里云的接入备案情况,还在和阿里扯皮中,未完待续...

目前似乎阿里云北京无法访问外部 445 端口
11235 次点击
所在节点    云计算
37 条回复
lloovve
2019-09-07 18:42:57 +08:00
阿里云天天打电话骚扰我
notreami
2019-09-07 19:08:01 +08:00
这个标题。。。。为啥没事开群讽呢???定位问题,解决问题不就可以了。
lulinux
2019-09-07 19:18:13 +08:00
其实阿里云的工程师都年薪百万的
ninjachen
2019-09-07 21:58:57 +08:00
楼主没错啊,发现 445 端口被禁了的事实。
但阿里的工程师没有承认也没有拿出数据反驳。
那么就是楼主说的对啊
wanacry
2019-09-07 22:15:32 +08:00
似乎有很多阿里云的工程师逛 v2
jeblur
2019-09-07 22:29:59 +08:00
首先得确保阿里云同样使用的是联通线路才能对比测试吧,另外运营商封 445 还真的有可能的,因为之前勒索病毒 wannacry 就是使用的 445 的相关漏洞,还有设备端一般都是在 inbound 做阻断的,outbound 既没用也浪费性能,不过在这个问题上感觉无论是否是 ISP 的问题都应该找阿里云
xfspace
2019-09-07 23:37:49 +08:00
对于 6.
来 悄悄 traceroute --help
-T --tcp Use TCP SYN for tracerouting (default port is 80)
-t tos --tos=tos Set the TOS (IPv4 type of service) or TC (IPv6
traffic class) value for outgoing packets


运营商 Block“高危”端口貌似是某厅的要求


Aliyun KB 也表明
xfspace
2019-09-07 23:38:59 +08:00
Aliyun KB 也表明
help.aliyun.com/knowledge_detail/40724.html
jucelin
2019-09-08 08:44:36 +08:00
联通说的备案,指的是端口备案。
我们 80/443/8080 端口都单独备案的
swulling
2019-09-08 09:07:04 +08:00
阿里的工程师确实经验不足,还各种定位干啥,直接说被运营商屏蔽就行了
realpg
2019-09-08 09:26:09 +08:00
@xduanx #19
@jeblur #26
@xfspace #27

135-139 445 这些端口是 2002 年-2004 年左右就开始公网全面封禁的……当然是按省逐渐的
尤其是当地 w 主流运营商(南电信北网通后来联通)的城域网汇聚层,基本跨 BRAS 的层面就直接丢了
基本也只有在同个 BRAS 下直接互访才能访到

IDC 看运营商架构,大部分地区都是在 BRAS 分层直接跳的那种也是在 BRAS 层面和主 IDC 核心层面

移动铁通那种 IDC 是独立逻辑池在核心互通的没关注在哪里丢

基本还能用的大部分都是一些策略的漏网之鱼,比如不是无脑丢有 dst 判定池之类的地区


另外,基本上 2002-2004 年都是封 inbound 的 135-139 445 包 往外发是不封的

所以那时候还用 IPC$管道去攻击国外服务器是轻松的,攻击国内稍微远一点的服务器基本是没戏的,90%是不通的,满地韩国肉机……

那个年代没有利用漏洞的蠕虫这种东西,基本都是手动攻击,写个批处理自动化就是大佬一天一宿能拿几千个服务器,尤其韩国服务器以不打补丁著名

在 2010 以后这几波蠕虫泛滥的情况下,运营商很多加了 445 发包检测,主要是 445 扫描蠕虫泛滥增加垃圾上行流量,而不是什么为了安全……
uppu
2019-09-08 10:28:52 +08:00
公网通讯如果用 135 - 139 和 445,遇到任何异常都是正常的。
jeblur
2019-09-08 11:53:38 +08:00
@realpg 写的很明白了「抱拳」
mytsing520
2019-09-08 12:24:03 +08:00
wannacry 出来之后,国内几大运营商被要求全网封 135-139 还有 445 端口,有一段时间视用户需求单独针对 IP 开放。。。

不知道现在是否已经放开了
xduanx
2019-09-08 13:26:25 +08:00
@realpg,真正体会到了什么叫听君一席话 胜读十年书
,感谢大佬如此详尽的科普
ackoly
2019-09-08 14:34:08 +08:00
走工单大都是水货在处理,即使是大客户群的工单,没几次体验好的,效率最好还是由客户经理拉的群,有问题直接 @客户经理,由他来推动。
wnpllrzodiac
2019-09-08 19:19:59 +08:00
996 状态给搞的。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/598846

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX