Graag weer een volledige MTR / Traceroute / Sniffing / DPI

@Amy @Hajar @David @Willem @Mitch @Sander @Brian 
Mocht een klant nu een storing melden en jullie hebben voor analyse een mrt / Traceroute nodig. Dit gaat zolang die TTL nog word herschreven / verhoogt niet helpen.

Volgens mij is die niet helemaal compleet, tenminste … laatste keer dat ik een volledige traceroute had, zaten er heel wat meer IP-Adressen (hops) tussen. Volgens mij ontbreken er dus nog best een aantal. 

Maar goed, is het niet gewoon een kwestie voor kwaadwillende om een kijkje te nemen naar een lijst en daar gewoon te sniffen of gewoon direct ip-addressen binnen de subnet's eindigend op .1 en .254 een flinke DDos voor de kiezen te gooien?

Waar het mij om ging was dat hoe jij netneutraliteit omschreef onjuist was en ook het verkeer via DTAG - wat inderdaad zwaar vertragend functioneerde - gewoon onder netneutraliteit viel. Netneutraliteit houdt n.l. ook in dat providers verplicht zijn om zo goed mogelijk de internet snelheden te communiceren die men (mogelijk) zou moeten kunnen behalen. Net zoals men moet informeren wanneer men als provider besluit bepaalde wijzigingen aan te brengen die nadelig kunnen uitpakken voor de consument.

Niet alleen werd de wijziging van DTAG niet aan de consument medegedeeld, ook werden snelheden veelal niet behaald welke in de praktijk gewoon haalbaar hadden moeten zijn.

Zo zie/ervaar ik het ook niet, ook mijn reacties zijn vanzelfsprekend niet persoonlijk (als persoonlijke aanval bedoeld).

Overigens wel opvallend, we zijn inmiddels bijna twee weken verder en een officiële statement is vanuit T-Mobile uitgebleven, evenals verdere reacties. Mogelijk gevalletje doofpot dus ?

nu.nl draait bij Cloudfront, 

Als je die timeouts er tussenuit haalt zit je op 17-18 hops.

Was in het verleden ook niet veel anders trouwens.

@Boris 

vanaf 81.21.136.3 naar 31.201.232.247 zijn de ping gegevens

64 bytes from 247-232-201-31.ftth.glasoperator.nl (31.201.232.247): icmp_seq=1 ttl=248 time=7.84 ms

vanaf 31.201.232.247 naar 81.21.136.3

64 bytes from 81.21.136.3: icmp_seq=0 ttl=57 time=8.957 ms

Ik heb de TTL tijden vet gemaakt zodat het duidelijk zichtbaar is.

Zelfs naar Australië heb je geen TTL van 248 nodig.

Trace met TTL verandering.

                                                     My traceroute  [v0.93]
MV-Mac (172.17.102.4)                                                                                   2021-02-02T12:23:48+0100
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                        Packets               Pings
 Host                                                                                 Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS???    172.17.102.254 (172.17.102.254)                                           0.0%    14    1.7   1.9   1.3   3.6   0.7
 2. AS50266  1-16-144-85.ftth.glasoperator.nl (85.144.16.1)                            0.0%    14    4.8   4.0   2.5   9.5   1.9
 3. AS16509  ec2-13-210-46-145.ap-southeast-2.compute.amazonaws.com (13.210.46.145)    0.0%    13  283.2 284.5 282.8 289.5   2.2

Trace zonder TTL verandering

                                                             My traceroute  [v0.92]
signet01.ring.nlnog.net (81.21.136.3)                                                                                  2021-02-02T11:24:45+0000
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                                       Packets               Pings
 Host                                                                                                Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. son-er-dc1.signet.nl                                                                              0.0%     7    3.9   3.6   0.4   8.2   3.2
 2. ams-cr2-sara.v92.signet.nl                                                                        0.0%     7   13.4   5.5   1.8  13.4   4.2
 3. ams-cr1-gls.tc.signet.nl                                                                          0.0%     7    2.6   2.5   2.3   2.6   0.1
 4. be10-300.cr1.nkf.as49685.net                                                                      0.0%     7    4.0   4.3   2.6  11.8   3.4
 5. a3718.as49685.atom86.net                                                                          0.0%     7    3.8   3.3   2.4   5.4   1.1
 6. available.atom86.net                                                                              0.0%     7    2.5   3.6   2.4   6.4   1.6
 7. ???
 8. i-1008.ulcn-core01.telstraglobal.net                                                              0.0%     7   16.9  16.8  16.7  16.9   0.1
 9. 202.84.249.174                                                                                    0.0%     7   83.1  81.7  80.3  83.1   1.2
10. i-10748.paix-core02.telstraglobal.net                                                             0.0%     7  147.0 148.3 147.0 149.0   0.7
11. i-37.sydo-core03.telstraglobal.net                                                                0.0%     7  286.8 287.1 286.4 288.1   0.7
12. bundle-ether3.oxf-gw11.sydney.telstra.net                                                         0.0%     7  285.4 286.0 285.4 286.5   0.4
13. bundle-ether1.chw-core10.sydney.telstra.net                                                       0.0%     7  287.3 287.3 286.6 287.7   0.3
14. bundle-ether1.chw-edge903.sydney.telstra.net                                                      0.0%     7  286.1 286.3 286.1 286.6   0.2
15. ama3305026.lnk.telstra.net                                                                        0.0%     7  286.3 286.5 286.2 287.1   0.3
16. ???
17. ???
18. ???
19. ???
20. ???
21. ???
22. ???
23. ???
24. ???
25. ???
26. ???
27. amazon08.ring.nlnog.net                                                                           0.0%     6  286.9 286.9 286.9 287.0   0.0

Voor zover ik begrepen heb van ACM/Consuwijzer valt het verbergen dat men nu doet onder overschrijding van het verbod. Let wel, dit was gewoon een 1.2.3. antwoord, om werkelijk die conclusie te trekken zijn voldoende klachten benodigd.

Overigens had T-Mobile haar klanten wel officieel in moeten lichten over deze verandering al is het in het kader van het beveiligen van haar eigen infrastructuur. Let wel, dit beveiligen gaat over de eigen infrastructuur van het internet, niet wat zich daarbuiten (derde partijen) bevind. Zonder verder onderzoek mag dus eigenlijk best worden geconcludeerd op basis van die informatie, dat het verbergen van hops buiten de eigen infrastructuur van T-Mobile per definitie dus niet eens toegestaan is.

Daar bovenop wordt niet alleen per klacht gekeken maar ook naar het geheel, als providers - zoals T-Mobile - lekker blijven aanmodderen en het aantal klachten, problemen, onduidelijkheden toeneemt wordt op den duur gewoonweg gekeken of de wetgever moet worden ingelicht over eventuele wijzigingen, verduidelijking etc. in de wetgeving of niet.

Die uitspraak kun je ook andersom zien. T-Mobile die de weg kwijt is en nu onder het mom van beveiliging allerlei zaken gaat uitvreten over de rug van klanten. Terwijl het zoals meerderen al zeggen eigenlijk gewoon security by obsecurity is.

Ik kan ook niet wachten tot de nodige sancties worden uitgedeeld, dat aanmodderen komt steeds meer mensen de spuigaten uitlopen.

Qua melding aan de ACM, “Baat het niet, dan schaad het niet". Melding doen kost hooguit een paar minuten en voor het zelfde geldt wordt er wel tegen opgetreden. Als de mensen met snelheidsissues dit ook meteen doen wordt er alleen maar meer dossier opgebouwd.

Je eigen tekst kun je gerust kwijt, maar T-Mobile lijkt het bewust te hebben verstopt zodat iedereen naar het forum gaat, ook als je belt worden mensen in dit soort gevallen doorverwezen naar jawel… verrassing het forum!

Mensen die klachten/problemen hebben of T-Mobile gewoonweg in gebreke willen stellen, kunnen aankaarten door een e-mail sturen naar klantenservice@t-mobilethuis.nl. met in de subject hun klantnummer. Nog mooier wordt het als je hierin ook direct ACM Consuwijzer ( info@consuwijzer.nl ) even CC't 

Mooiste is wanneer iedereen in dat geval direct screenshots stuurt en alles zo goed mogelijk onderbouwt.  Vergeet niet ook even te verwijzen naar dit forum topic, zodat de ACM hier eventueel nog meer kan terugvinden.

@Gerrit078 

Hier het topic over de toemalige DTAG probleem, waarbij de routing een dusdanige latency opleverde dat bijna elke klant van TMT er last van had (dus die 99%) .. zelfs ik.

Dit was toen een heel ander probleem, maar ook gewoon merkbaar door het hele netwerk van TMT.

Godzijdank is er wet en regelgeving en is het aan toezichthouders om te bepalen of en zo ja, iets wel of niet toegestaan is.

Daarom, in afwachting van een uitspraak vanuit de toezichthouder.

BTW, alles wat ik schrijf of schreef is niet persoonlijk bedoeld, mocht het wel zo aanvoelen .. mijn excuus daarvoor.

sluit ik me graag bij aan.

pff zucht.

MacBook-Pro.local (172.17.102.6) -> transip.nl                                2021-05-23T14:29:24+0200
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                              Packets               Pings
 Host                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS???    172.17.102.254 (172.17.102.254)                 0.0%    11  104.8  40.1   1.2 104.8  40.7
 2. AS50266  1-16-144-85.ftth.glasoperator.nl (85.144.16.1)  0.0%    11    2.5  65.9   2.0 223.6  82.2
 3. AS???    10.10.10.153 (10.10.10.153)                     0.0%    11  125.3  95.9   7.2 196.6  61.6
 4. AS???    10.10.80.137 (10.10.80.137)                     0.0%    11   27.3  31.9   7.8 102.7  30.1
 5. AS20857  e1-a0.r1.ams0.transip.net (157.97.168.8)        0.0%    11   11.0  57.5   8.1 154.7  61.0
 6. AS???    m6.e1.ams0.transip.net (80.249.208.244)         0.0%    10  128.8  60.2   7.2 155.9  57.5
 7. AS20857  e1-a0.r1.ams0.transip.net (157.97.168.8)        0.0%    10   27.1  58.6   7.1 145.2  51.5
 8. AS20857  r1.s2.t2.ams0.transip.net (37.97.252.131)       0.0%    10  163.9  90.8  21.9 183.4  62.5
 9. AS20857  s2.l4.t2.ams0.transip.net (37.97.252.71)        0.0%    10   49.8  99.7  26.6 181.3  48.3
10. AS20857  www.transip.nl (37.97.254.1)                    0.0%    10    8.0  60.0   7.5 189.7  64.1

Geen idee wat ze nu weer aan het doen zijn.

Maar een router bereiken bij hop 5 die je ook bij hop 7 heb …

Nee transip is niet de enige:

MacBook-Pro.local (172.17.102.6) -> google.nl                                 2021-05-23T14:30:20+0200
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                              Packets               Pings
 Host                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS???    172.17.102.254 (172.17.102.254)                 0.0%    10    2.3   1.7   0.9   3.2   0.7
 2. AS50266  1-16-144-85.ftth.glasoperator.nl (85.144.16.1)  0.0%    10    2.4   3.0   2.2   4.6   0.8
 3. AS???    10.10.10.153 (10.10.10.153)                     0.0%    10    8.4   8.1   7.0   9.4   0.8
 4. AS???    10.10.80.137 (10.10.80.137)                     0.0%    10    7.7   7.7   7.3   9.0   0.5
 5. AS15169  108.170.241.225 (108.170.241.225)               0.0%    10    9.0   9.4   8.1  10.7   0.9
 6. (waiting for reply)
 7. AS15169  108.170.241.225 (108.170.241.225)               0.0%    10    9.3   8.8   7.8  10.3   0.7
 8. AS15169  108.170.241.236 (108.170.241.236)               0.0%    10    7.5   8.5   7.0  12.3   1.5
 9. AS15169  209.85.255.230 (209.85.255.230)                66.7%    10   24.7  18.9   8.7  24.7   8.8
10. AS15169  108.170.234.119 (108.170.234.119)              75.0%     9   13.9  14.2  13.9  14.5   0.4
11. AS15169  216.239.59.4 (216.239.59.4)                     0.0%     9   13.5  14.0  13.3  16.2   0.8
12. AS15169  74.125.242.65 (74.125.242.65)                   0.0%     9   13.0  13.6  12.8  15.1   0.7
13. AS15169  142.250.215.125 (142.250.215.125)               0.0%     9   12.9  13.2  12.7  14.6   0.6
14. AS15169  lhr48s27-in-f3.1e100.net (142.250.178.3)        0.0%     9   15.4  14.4  13.8  15.6   0.7

en 

MacBook-Pro.local (172.17.102.6) -> community.t-mobile.nl                     2021-05-23T14:31:15+0200
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                              Packets               Pings
 Host                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS???    172.17.102.254 (172.17.102.254)                 0.0%     6    0.9   1.5   0.9   2.1   0.4
 2. AS50266  1-16-144-85.ftth.glasoperator.nl (85.144.16.1)  0.0%     6    2.0   2.4   2.0   3.5   0.6
 3. AS???    10.10.10.153 (10.10.10.153)                     0.0%     6    6.9   7.8   6.9   9.4   0.9
 4. AS???    10.10.80.137 (10.10.80.137)                     0.0%     6    7.9   8.3   7.3   9.9   1.1
 5. AS???    52.93.0.102 (52.93.0.102)                       0.0%     6    9.2   8.6   8.1   9.2   0.4
 6. AS???    amsix01-ams1.amazon.com (80.249.210.100)        0.0%     6    6.9   8.8   6.9  11.4   1.5
 7. AS???    52.93.0.102 (52.93.0.102)                       0.0%     6   13.2  10.0   8.4  13.2   1.7
 8. AS???    150.222.107.9 (150.222.107.9)                   0.0%     6    7.6   8.3   7.6   9.9   0.9
 9. (waiting for reply)
10. (waiting for reply)
11. (waiting for reply)
12. (waiting for reply)
13. (waiting for reply)
14. AS16509  server-52-222-139-107.ams50.r.cloudfront.net (  0.0%     5    7.5   8.1   7.2   9.1   0.9

Kan al die “slimmigheid” en “industrie standaard” geneuzel er gewoon uit?

@Brian 

Twee simpele vragen.

1. Hoe  leggen jullie uit dat de ttl  een packet aangepast wordt, naast wat een router default doet? Leg ook uit waarom je, onterecht, de packets van de klant modificeert.
2. Hoe verklaren jullie dingen als ‘dit is industry standard’ in deze context en dat dit overal gebeurt. Hier ben ik wel benieuwd naar. Ik zie namelijk niemand dit doen

Dit waren de vragen die ik acht dagen geleden stelde. Je zou destijds daar ‘volgende week’ antwoord op geven. Tot op heden heb ik nog geen antwoord gezien, nog sterker geen enkele reactie meer.

Om heel eerlijk te zijn snap ik niet dat je dit uberhaupt moet navragen. Het lijkt me dat een change als het slopen van alle traceroutes eerst intern besproken wordt en iedereen daarvan op de hoogte is.

@Brian of @Jason 

Dit topic trek ik toch maar weer even omhoog gezien er nog geen reactie is van jullie zijde. Punt blijft dat het vreselijk onhandig is om geen fatsoenlijke traceroute uit te kunnen voeren. Traceroute is na een simpele echo request een van de basis tools waar eenieder naartoe grijpt om een netwerk probleem op te lossen. Neem hier dus ook in mee dat jullie het ook andere bedrijven lastiger maken om support te kunnen geven. Zo had ik zelf laatst een collega die problemen had met ons vpn, vpn problemen van T-Mobile daargelaten, aan wie ik een traceroute vroeg waar ik niks mee kon. Bel de overbelaste klantenservice maar was m’n reactie. 

In bovenstaand geval lostte het probleem zich automagisch op. Waarschijnlijk omdat het vpn probleem toen wel redelijk bekend was. Punt blijft dat er niks zichtbaar is.

Maar… Wat ik nog veel erger vind. T-Mobile rommelt bewust met de packets van haar klanten. Dat een router de ttl verlaagt met 1 dat is niet rommelen, zo werkt een traceroute. De ttl naar een vaste waarde zetten is een heel ander issue. Ik kan niets anders dan concluderen dat traceroutes bewust gefrustreerd worden. Dit laatste ook niet vanuit security, daarover is hierboven al genoeg gezegd. Mijn gevoel is dat we dtag weer gaan doen en T-Mobile daar niet open over wil zijn.

Dus in het kader van TLDR (gebeurt wel vaker bij brian en jason) Gewoon geen antwoord op de vragen geven of e.a half lezen.

Afijn, @Brian en @Jason ….

Twee simpele vragen.

1. Hoe  leggen jullie uit dat de ttl  een packet aangepast wordt, naast wat een router default doet? Leg ook uit waarom je, onterecht, de packets van de klant modificeert.
2. Hoe verklaren jullie dingen als ‘dit is industry standard’ in deze context en dat dit overal gebeurt. Hier ben ik wel benieuwd naar. Ik zie namelijk niemand dit doen.