V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
inter
V2EX  ›  云计算

现在阿里的工程师技术可真水啊

  •  
  •   inter · 2019-09-07 14:47:10 +08:00 · 10371 次点击
    这是一个创建于 816 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:阿里 ecs 访问 azure cn 的 windows share 失败。经我们检查北京联通 4g 网络是可以访问 azure cn tcp 445 端口的,初步判断问题出在阿里云,遂开工单

    1.阿里售后先表示不是阿里云的锅,经我们贴出测试结果之后( powershell Test-NetConnection,测试结果中有多处表明是 tcp 445 ),发现以前我们反馈过这个问题,直接转到后端技术人员
    2.后端技术人员上来探测 udp 445,表示阿里云没有问题,世纪互联问题。
    3.经指出为 tcp 445 之后,又说了一堆话表示反正我们就是木有封,找对方吧
    4.我们要求阿里云做 tcp trace route,做 443 和 445 的对比测试
    5.阿里云使用 traceroute -T 443 进行了检查,测试结果表示 443 和 445 是通的,并且表示很奇怪为啥 telnet 445 不通
    6.我们指出阿里云测试错端口了,-T 443 表示 tos 是 443,端口 80.要求阿里云重测。
    7.阿里云没有贴测试结果,直接说要求对端协助抓包
    8 我们要求阿里云贴结果
    9 根据结果,我们指出问题出在阿里云网络接入商
    10.阿里云说是和域名备案有关,我们顿时黑人问号脸???不对外有任何端口的服务器,访问 azure cn 的 445 端口要域名备案正确?需要谁的域名备案正确呢?那为啥北京联通 4g 能直接访问呢?
    11。阿里云贴出他们内部和联通的沟通,联通给阿里云回复“%……*&……%,请用户找客户经理检查备案情况”
    12.我们认为联通是说阿里云的接入备案情况,还在和阿里扯皮中,未完待续...

    目前似乎阿里云北京无法访问外部 445 端口
    37 条回复    2019-09-08 19:19:59 +08:00
    realpg
        1
    realpg   2019-09-07 14:52:32 +08:00 via Android   ❤️ 4
    跨网段 445 135-139 就不要去研究了

    如有需求请 vpn

    这是互联网资深工程师的基本常识
    cq65617875
        2
    cq65617875   2019-09-07 15:07:50 +08:00
    (肯定是钱没花够 不重视
    ifaii
        3
    ifaii   2019-09-07 15:09:14 +08:00
    这几个端口我好像在哪看到说是运营商阻止的,还是和楼上说的一样老老实实 vpn,别直接在公网搞有的没的
    lihongjie0209
        4
    lihongjie0209   2019-09-07 15:09:49 +08:00
    windows 的服务依赖一大堆, 又不安全, 从来没想过在公网上使用
    inter
        5
    inter   2019-09-07 15:12:29 +08:00
    @realpg 能开工单解决的搭啥 vpn,不够麻烦呢。另外这个一般是对于 pc 网段的 outboound 阻断,移动网络和服务器网络不应该阻断的
    ragnaroks
        6
    ragnaroks   2019-09-07 15:24:19 +08:00   ❤️ 1
    445 / 139 有些地方(ISP)默认阻断
    dnsaq
        7
    dnsaq   2019-09-07 15:59:32 +08:00 via iPhone   ❤️ 1
    samba 端口还有楼上说的这些,运营商都是默认禁止的,关阿里工程师屁事
    realpg
        8
    realpg   2019-09-07 16:14:18 +08:00
    @inter #5
    你认为能开工单解决那就开工单吧
    算了 抑制住骂人的冲动
    cjpjxjx
        9
    cjpjxjx   2019-09-07 16:26:25 +08:00 via iPhone   ❤️ 1
    我觉得题主也很水
    inter
        10
    inter   2019-09-07 17:01:51 +08:00
    445 一般是对于 pc 网段的 outboound 阻断,是分情况的.
    不要啥都说运营商怎么样,啥锅都扔给运营商
    @dnsaq
    inter
        11
    inter   2019-09-07 17:19:23 +08:00
    @realpg 有问题的时候总是要有人推动,让阿里云拿出个具体文档说他们不支持对外 445 访问,或是让阿里云解决 445 访问问题
    inter
        12
    inter   2019-09-07 17:20:25 +08:00
    随便看看 /t/598810,下面很多复杂的方案在吓唬初学用户
    如果 445 能用,随便开个文件 nas 服务,一个月几块钱的事情,挂到 windows 当普通磁盘用,用的时候复制粘贴,多方便
    tomczhen
        13
    tomczhen   2019-09-07 17:58:25 +08:00
    20 多年前最初还是电话拨号上网的时候 139、445 这些端口都是可以访问的,你猜后面为啥不能了。
    wdlth
        14
    wdlth   2019-09-07 18:09:13 +08:00
    经历过冲击波震荡波时期后,ISP 把系统开放端口封了。
    seanseek
        15
    seanseek   2019-09-07 18:13:32 +08:00
    这些端口好像又问题,换一个吧
    janxin
        16
    janxin   2019-09-07 18:14:37 +08:00
    这种大概率是外包...

    大公司人多了,水货也多很正常的
    reus
        17
    reus   2019-09-07 18:16:07 +08:00
    这些被 ISP 封的端口,都是被广泛传播的病毒利用的,netbios 和 smb 暴露在广域网是很危险的
    要怪就怪 windows 工程师技术水吧……
    crazykylin
        18
    crazykylin   2019-09-07 18:18:33 +08:00
    我这里电信除了 80 和 8080 其他的都是通的,包括 443,445 等
    xduanx
        19
    xduanx   2019-09-07 18:19:00 +08:00
    经楼上各位大佬提点,楼主可以搜下关键词
    “电信链路网络出口添加病毒防护策略”

    看下阿里云是不是走电信线路过去的呢?
    测试下其他电信电路呢?

    说不定电信就是双向屏蔽 445 呢
    reus
        20
    reus   2019-09-07 18:20:56 +08:00   ❤️ 1
    还有 windows 本身的 smb 实现不支持自定义端口,这个是微软工程师水的又一证明
    只能用 445,445 又被干扰,那就没办法了,wsl 的 smb 客户端应该可以指定服务端端口。
    lloovve
        21
    lloovve   2019-09-07 18:42:57 +08:00 via iPhone
    阿里云天天打电话骚扰我
    notreami
        22
    notreami   2019-09-07 19:08:01 +08:00
    这个标题。。。。为啥没事开群讽呢???定位问题,解决问题不就可以了。
    lulinux
        23
    lulinux   2019-09-07 19:18:13 +08:00 via Android
    其实阿里云的工程师都年薪百万的
    ninjachen
        24
    ninjachen   2019-09-07 21:58:57 +08:00 via Android
    楼主没错啊,发现 445 端口被禁了的事实。
    但阿里的工程师没有承认也没有拿出数据反驳。
    那么就是楼主说的对啊
    wanacry
        25
    wanacry   2019-09-07 22:15:32 +08:00 via iPhone   ❤️ 1
    似乎有很多阿里云的工程师逛 v2
    jeblur
        26
    jeblur   2019-09-07 22:29:59 +08:00 via Android
    首先得确保阿里云同样使用的是联通线路才能对比测试吧,另外运营商封 445 还真的有可能的,因为之前勒索病毒 wannacry 就是使用的 445 的相关漏洞,还有设备端一般都是在 inbound 做阻断的,outbound 既没用也浪费性能,不过在这个问题上感觉无论是否是 ISP 的问题都应该找阿里云
    xfspace
        27
    xfspace   2019-09-07 23:37:49 +08:00 via Android
    对于 6.
    来 悄悄 traceroute --help
    -T --tcp Use TCP SYN for tracerouting (default port is 80)
    -t tos --tos=tos Set the TOS (IPv4 type of service) or TC (IPv6
    traffic class) value for outgoing packets


    运营商 Block“高危”端口貌似是某厅的要求


    Aliyun KB 也表明
    xfspace
        28
    xfspace   2019-09-07 23:38:59 +08:00 via Android   ❤️ 2
    jucelin
        29
    jucelin   2019-09-08 08:44:36 +08:00
    联通说的备案,指的是端口备案。
    我们 80/443/8080 端口都单独备案的
    swulling
        30
    swulling   2019-09-08 09:07:04 +08:00
    阿里的工程师确实经验不足,还各种定位干啥,直接说被运营商屏蔽就行了
    realpg
        31
    realpg   2019-09-08 09:26:09 +08:00   ❤️ 4
    @xduanx #19
    @jeblur #26
    @xfspace #27

    135-139 445 这些端口是 2002 年-2004 年左右就开始公网全面封禁的……当然是按省逐渐的
    尤其是当地 w 主流运营商(南电信北网通后来联通)的城域网汇聚层,基本跨 BRAS 的层面就直接丢了
    基本也只有在同个 BRAS 下直接互访才能访到

    IDC 看运营商架构,大部分地区都是在 BRAS 分层直接跳的那种也是在 BRAS 层面和主 IDC 核心层面

    移动铁通那种 IDC 是独立逻辑池在核心互通的没关注在哪里丢

    基本还能用的大部分都是一些策略的漏网之鱼,比如不是无脑丢有 dst 判定池之类的地区


    另外,基本上 2002-2004 年都是封 inbound 的 135-139 445 包 往外发是不封的

    所以那时候还用 IPC$管道去攻击国外服务器是轻松的,攻击国内稍微远一点的服务器基本是没戏的,90%是不通的,满地韩国肉机……

    那个年代没有利用漏洞的蠕虫这种东西,基本都是手动攻击,写个批处理自动化就是大佬一天一宿能拿几千个服务器,尤其韩国服务器以不打补丁著名

    在 2010 以后这几波蠕虫泛滥的情况下,运营商很多加了 445 发包检测,主要是 445 扫描蠕虫泛滥增加垃圾上行流量,而不是什么为了安全……
    uppu
        32
    uppu   2019-09-08 10:28:52 +08:00
    公网通讯如果用 135 - 139 和 445,遇到任何异常都是正常的。
    jeblur
        33
    jeblur   2019-09-08 11:53:38 +08:00 via Android
    @realpg 写的很明白了「抱拳」
    mytsing520
        34
    mytsing520   2019-09-08 12:24:03 +08:00
    wannacry 出来之后,国内几大运营商被要求全网封 135-139 还有 445 端口,有一段时间视用户需求单独针对 IP 开放。。。

    不知道现在是否已经放开了
    xduanx
        35
    xduanx   2019-09-08 13:26:25 +08:00 via iPhone
    @realpg,真正体会到了什么叫听君一席话 胜读十年书
    ,感谢大佬如此详尽的科普
    ackoly
        36
    ackoly   2019-09-08 14:34:08 +08:00 via iPhone
    走工单大都是水货在处理,即使是大客户群的工单,没几次体验好的,效率最好还是由客户经理拉的群,有问题直接 @客户经理,由他来推动。
    wnpllrzodiac
        37
    wnpllrzodiac   2019-09-08 19:19:59 +08:00 via Android
    996 状态给搞的。。。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2628 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 100ms · UTC 12:31 · PVG 20:31 · LAX 04:31 · JFK 07:31
    ♥ Do have faith in what you're doing.