首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
Coding
V2EX  ›  云计算

现在阿里的工程师技术可真水啊

  •  
  •   inter · 96 天前 · 7962 次点击
    这是一个创建于 96 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:阿里 ecs 访问 azure cn 的 windows share 失败。经我们检查北京联通 4g 网络是可以访问 azure cn tcp 445 端口的,初步判断问题出在阿里云,遂开工单

    1.阿里售后先表示不是阿里云的锅,经我们贴出测试结果之后( powershell Test-NetConnection,测试结果中有多处表明是 tcp 445 ),发现以前我们反馈过这个问题,直接转到后端技术人员
    2.后端技术人员上来探测 udp 445,表示阿里云没有问题,世纪互联问题。
    3.经指出为 tcp 445 之后,又说了一堆话表示反正我们就是木有封,找对方吧
    4.我们要求阿里云做 tcp trace route,做 443 和 445 的对比测试
    5.阿里云使用 traceroute -T 443 进行了检查,测试结果表示 443 和 445 是通的,并且表示很奇怪为啥 telnet 445 不通
    6.我们指出阿里云测试错端口了,-T 443 表示 tos 是 443,端口 80.要求阿里云重测。
    7.阿里云没有贴测试结果,直接说要求对端协助抓包
    8 我们要求阿里云贴结果
    9 根据结果,我们指出问题出在阿里云网络接入商
    10.阿里云说是和域名备案有关,我们顿时黑人问号脸???不对外有任何端口的服务器,访问 azure cn 的 445 端口要域名备案正确?需要谁的域名备案正确呢?那为啥北京联通 4g 能直接访问呢?
    11。阿里云贴出他们内部和联通的沟通,联通给阿里云回复“%……*&……%,请用户找客户经理检查备案情况”
    12.我们认为联通是说阿里云的接入备案情况,还在和阿里扯皮中,未完待续...

    目前似乎阿里云北京无法访问外部 445 端口
    37 回复  |  直到 2019-09-08 19:19:59 +08:00
        1
    realpg   96 天前 via Android   ♥ 4
    跨网段 445 135-139 就不要去研究了

    如有需求请 vpn

    这是互联网资深工程师的基本常识
        2
    cq65617875   96 天前
    (肯定是钱没花够 不重视
        3
    ifaii   96 天前
    这几个端口我好像在哪看到说是运营商阻止的,还是和楼上说的一样老老实实 vpn,别直接在公网搞有的没的
        4
    lihongjie0209   96 天前
    windows 的服务依赖一大堆, 又不安全, 从来没想过在公网上使用
        5
    inter   96 天前
    @realpg 能开工单解决的搭啥 vpn,不够麻烦呢。另外这个一般是对于 pc 网段的 outboound 阻断,移动网络和服务器网络不应该阻断的
        6
    ragnaroks   96 天前   ♥ 1
    445 / 139 有些地方(ISP)默认阻断
        7
    dnsaq   96 天前 via iPhone   ♥ 1
    samba 端口还有楼上说的这些,运营商都是默认禁止的,关阿里工程师屁事
        8
    realpg   96 天前
    @inter #5
    你认为能开工单解决那就开工单吧
    算了 抑制住骂人的冲动
        9
    cjpjxjx   96 天前 via iPhone   ♥ 1
    我觉得题主也很水
        10
    inter   96 天前
    445 一般是对于 pc 网段的 outboound 阻断,是分情况的.
    不要啥都说运营商怎么样,啥锅都扔给运营商
    @dnsaq
        11
    inter   96 天前
    @realpg 有问题的时候总是要有人推动,让阿里云拿出个具体文档说他们不支持对外 445 访问,或是让阿里云解决 445 访问问题
        12
    inter   96 天前
    随便看看 /t/598810,下面很多复杂的方案在吓唬初学用户
    如果 445 能用,随便开个文件 nas 服务,一个月几块钱的事情,挂到 windows 当普通磁盘用,用的时候复制粘贴,多方便
        13
    tomczhen   95 天前
    20 多年前最初还是电话拨号上网的时候 139、445 这些端口都是可以访问的,你猜后面为啥不能了。
        14
    wdlth   95 天前
    经历过冲击波震荡波时期后,ISP 把系统开放端口封了。
        15
    seanseek   95 天前
    这些端口好像又问题,换一个吧
        16
    janxin   95 天前
    这种大概率是外包...

    大公司人多了,水货也多很正常的
        17
    reus   95 天前
    这些被 ISP 封的端口,都是被广泛传播的病毒利用的,netbios 和 smb 暴露在广域网是很危险的
    要怪就怪 windows 工程师技术水吧……
        18
    crazykylin   95 天前
    我这里电信除了 80 和 8080 其他的都是通的,包括 443,445 等
        19
    xduanx   95 天前
    经楼上各位大佬提点,楼主可以搜下关键词
    “电信链路网络出口添加病毒防护策略”

    看下阿里云是不是走电信线路过去的呢?
    测试下其他电信电路呢?

    说不定电信就是双向屏蔽 445 呢
        20
    reus   95 天前   ♥ 1
    还有 windows 本身的 smb 实现不支持自定义端口,这个是微软工程师水的又一证明
    只能用 445,445 又被干扰,那就没办法了,wsl 的 smb 客户端应该可以指定服务端端口。
        21
    lloovve   95 天前 via iPhone
    阿里云天天打电话骚扰我
        22
    notreami   95 天前
    这个标题。。。。为啥没事开群讽呢???定位问题,解决问题不就可以了。
        23
    lulinux   95 天前 via Android
    其实阿里云的工程师都年薪百万的
        24
    ninjachen   95 天前 via Android
    楼主没错啊,发现 445 端口被禁了的事实。
    但阿里的工程师没有承认也没有拿出数据反驳。
    那么就是楼主说的对啊
        25
    wanacry   95 天前 via iPhone   ♥ 1
    似乎有很多阿里云的工程师逛 v2
        26
    jeblur   95 天前 via Android
    首先得确保阿里云同样使用的是联通线路才能对比测试吧,另外运营商封 445 还真的有可能的,因为之前勒索病毒 wannacry 就是使用的 445 的相关漏洞,还有设备端一般都是在 inbound 做阻断的,outbound 既没用也浪费性能,不过在这个问题上感觉无论是否是 ISP 的问题都应该找阿里云
        27
    xfspace   95 天前 via Android
    对于 6.
    来 悄悄 traceroute --help
    -T --tcp Use TCP SYN for tracerouting (default port is 80)
    -t tos --tos=tos Set the TOS (IPv4 type of service) or TC (IPv6
    traffic class) value for outgoing packets


    运营商 Block“高危”端口貌似是某厅的要求


    Aliyun KB 也表明
        28
    xfspace   95 天前 via Android   ♥ 2
        29
    jucelin   95 天前
    联通说的备案,指的是端口备案。
    我们 80/443/8080 端口都单独备案的
        30
    swulling   95 天前
    阿里的工程师确实经验不足,还各种定位干啥,直接说被运营商屏蔽就行了
        31
    realpg   95 天前   ♥ 4
    @xduanx #19
    @jeblur #26
    @xfspace #27

    135-139 445 这些端口是 2002 年-2004 年左右就开始公网全面封禁的……当然是按省逐渐的
    尤其是当地 w 主流运营商(南电信北网通后来联通)的城域网汇聚层,基本跨 BRAS 的层面就直接丢了
    基本也只有在同个 BRAS 下直接互访才能访到

    IDC 看运营商架构,大部分地区都是在 BRAS 分层直接跳的那种也是在 BRAS 层面和主 IDC 核心层面

    移动铁通那种 IDC 是独立逻辑池在核心互通的没关注在哪里丢

    基本还能用的大部分都是一些策略的漏网之鱼,比如不是无脑丢有 dst 判定池之类的地区


    另外,基本上 2002-2004 年都是封 inbound 的 135-139 445 包 往外发是不封的

    所以那时候还用 IPC$管道去攻击国外服务器是轻松的,攻击国内稍微远一点的服务器基本是没戏的,90%是不通的,满地韩国肉机……

    那个年代没有利用漏洞的蠕虫这种东西,基本都是手动攻击,写个批处理自动化就是大佬一天一宿能拿几千个服务器,尤其韩国服务器以不打补丁著名

    在 2010 以后这几波蠕虫泛滥的情况下,运营商很多加了 445 发包检测,主要是 445 扫描蠕虫泛滥增加垃圾上行流量,而不是什么为了安全……
        32
    uppu   95 天前
    公网通讯如果用 135 - 139 和 445,遇到任何异常都是正常的。
        33
    jeblur   95 天前 via Android
    @realpg 写的很明白了「抱拳」
        34
    mytsing520   95 天前
    wannacry 出来之后,国内几大运营商被要求全网封 135-139 还有 445 端口,有一段时间视用户需求单独针对 IP 开放。。。

    不知道现在是否已经放开了
        35
    xduanx   95 天前 via iPhone
    @realpg,真正体会到了什么叫听君一席话 胜读十年书
    ,感谢大佬如此详尽的科普
        36
    ackoly   95 天前 via iPhone
    走工单大都是水货在处理,即使是大客户群的工单,没几次体验好的,效率最好还是由客户经理拉的群,有问题直接 @客户经理,由他来推动。
        37
    wnpllrzodiac   94 天前 via Android
    996 状态给搞的。。。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4084 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 41ms · UTC 09:31 · PVG 17:31 · LAX 01:31 · JFK 04:31
    ♥ Do have faith in what you're doing.