Beantwoord

Graag weer een volledige MTR / Traceroute / Sniffing / DPI


Reputatie 3

Hoe kom ik weer aan een volledige Traceroute / MTR?

                             My traceroute  [v0.93]
MV-Mac (172.17.102.3)                                  2021-01-28T11:17:37+0100
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
 Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS???    172.17.102.254 (172.17.  0.0%   113    1.5   1.9   1.2  13.0   1.3
 2. AS50266  1-16-144-85.ftth.glasop  0.9%   112    3.1   3.8   2.3  16.5   1.9
 3. AS3265   ring01.xs4all.nl (82.94  0.0%   112    7.5   7.6   6.2  23.5   2.3

 

Tussen hop 2 en 3 zitten gegarandeerd wat meer routers dan nu word weergegeven.

Met wat tcpdumping blijkt dat iets in het netwerk de TTL van de pakketen verhoogd.

Dankzij deze packet rewrite / manipulatie vraag ik me af wat voor sniffing en andere packet inspectie er nog meer gedaan word in het netwerk.

 

Voor werk gerelateerde dingen heb ik nu de uitdaging met debugging om te herleiden wat er voor problemen zorgt.

 

Of is de bedoeling dat 

de volgende keer iets lastiger zichtbaar word?

icon

Beste antwoord door Brian 29 March 2021, 12:08

Bekijk origineel

110 reacties

@Brian iets wijzer geworden?

Zelf gisteren maar een e-mail gestuurd naar T-Mobile nadat een klantenservice medewerkster mij erop attendeerde dat dit een stuk beter zou zijn.

Ergens ook te begrijpen, de community is tenslotte voor en door klanten dus echt hulp of ondersteuning van een T-Mobile medewerker hoef je niet te verwachten.

Mijn e-mail bestond uit een grafiek alwaar te zien was wat het aantal hops betrof naar diverse targets en dat deze in Januari compleet instortte. Daaropvolgend ook een aantal traceroutes toegevoegd… deze traceroutes betroffen zowel van mijn T-Mobile Thuis verbinding naar diverse servers. Maar ook vanaf die servers naar mijn T-Mobile Thuis verbinding.

Zo heb ik bijvoorbeeld een traceroute gedaan vanaf mijn aansluiting naar 23.94.101.88 en met behulp van de Looking Glass van diezelfde server naar mijn thuis verbinding. Zelfde kun je overigens ook doen als je ergens een server hebt natuurlijk, mtr naar die server en mtr vanaf die server naar jezelf.

 

Vandaag al teruggebeld (nog geen 24 uur later) 

 

De mail heb ik trouwens gestuurd naar het klantenservice e-mail adres die sommigen inmiddels wel kennen of kunnen vinden in de Algemene Voorwaarden. (E-mail adres vermeld ik niet in dit topic om spam e.a. ellende te voorkomen).

Die gemanipuleerde routes zijn knap k…. toch echt nodig voor analyses . Heb niks meer aan tools als mtr etc. alles in 1 hop bereikt. ja ja.

Tijd om verder te gaan kijken naar een andere partij.

 

 

Hallo heren @Mdevries @mdanielsnl @DirkTe  ,

Ik heb zojuist vernomen dat het onderzoek wat is uitgezet bij onze IT specialisten is gesloten. De terugkoppeling die ik heb ontvangen hierover, is dat de trace routes aankomen en dat er daardoor geen problemen zijn aan de routering. 

Ik begrijp dat dit niet het antwoord is wat duidelijkheid geeft en wil daarom kijken hoe we het best het probleem kunnen aankaarten. Ik wil jullie daarom vragen om na te gaan hoe de problemen met de trace hops zich manifesteren. Hoe ervaar je het probleem en hoe zie je dit terug? Op die manier kunnen we het concreter maken voor onze specialisten en werken naar een oplossing voor jullie. Ik hoor het graag! 

 

hahaha. die is goed. de traceroutes die komen aan dus er is niks aan de hand. Komt het probleem:

Het woord “traceroute” is om de route te tracen. En de route is door aanpassingen niet meer te tracen. Dus ja de traceroute komt aan, maar tracet niet meer.  ;-)

Dus je kan beter zeggen, als de andere kant icmp toelaat dan werk Ping nog en komt aan. Maar een traceoute laat geen route meer zien= STUK. 

 

Een traceroute “komt niet aan”  en als je het dan toch zo slecht wil verwoorden. Dan spreken we dus overt een traceroute die op zijn route de tussenliggende punten niet meer aankomt en zo die niet laat zien. Dus in deze lijn. “nee hij komt niet meer aan”, te slecht dit….

 

Sinds kort is Nieuw Zeeland voor mij in een hop bereikbaar. ;-) ben benieuwd hoe ik daar technisch in een hop kom.

 

Maar het technische antwoord zegt genoeg. de vertaling is “we willen hier niet over communiceren”. Dat had alles wel duidelijker gemaakt.

 

Niks te klagen hoor. prijs is goedkoop, verbinding is goed. (in mijn geval) maar verder blijven dit vreemde dingen. En als netwerkbeheerder zie ik graag hoe de routes vanaf thuis naar de door mij beheerde netwerken lopen. 

 

Maja Ziggo ook lekker bezig met hun DS-lite implementaties, zo loopt er bij elke provider wel wat…. 

 

 

 

 

 

 

Die gemanipuleerde routes zijn knap k…. toch echt nodig voor analyses . Heb niks meer aan tools als mtr etc. alles in 1 hop bereikt. ja ja.

Tijd om verder te gaan kijken naar een andere partij.

  

Wat let je om een e-mail te sturen en je probleem inclusief screenshots kenbaar te maken? De community is er voor en door iedereen maar niet bedoeld voor dit soort zaken - blijkt achteraf.

Zelf heb ik gisteren weer contact gehad met T-Mobile, waarna vanuit de backoffice is gecommuniceerd dat webcare hen nimmer een ticket gestuurd heeft en deze mogelijk rechtstreeks bij IT schijnt te zijn ingeschoten. Dat soort tickets zijn vaak “storingsmeldingen” die op een andere wijze en prioriteit worden opgepakt dan wanneer dit via de 1e en 2e lijn backoffice gaat. Storingsmelding is, dienst {abc} werkt of dienst {abc} werkt niet. Werkt het? “No issues, ticket closed!". In principe had de geen (webcare) die het ticket had ingeschoten, dit op voorhand moeten weten!

Blijkbaar wordt er intern ook niet echt (veel) waarde gehecht aan de community aangezien er wel vaker issues blijven liggen die - wanneer de juiste weg zou zijn bewandeld - allang opgelost hadden kunnen zijn. Tussen neus en lippen door werd mij ook verteld dat; “de community is ooit in gebruik genomen om een enorme druk op de klantenservice te beperken/voorkomen omdat mensen onder elkaar vaak een voor hun passende oplossing kunnen vinden”. Of te wel, interpreteer het op deze wijze: Het is een stuk goedkoper als mensen elkaar onderling helpen dan extra mankracht in te zetten op de klantenservice. Advies hierin was dan dus ook om bij dit soort zaken “nooit” het forum te gebruiken maar gewoon een e-mail te sturen.

 

Maar feit blijft, als niemand verder een e-mail stuurt naar de klantenservice (zodat ze dit kunnen doorsturen naar de BO), dan kan het probleem nog wel enige tijd blijven liggen. Zoals men in deze thread tenslotte ziet, zit T-Mobile er nou niet echt serieus bovenop.

Als Boris de t-mobile moderator meld :

“Dank jullie wel voor het aangeven van de situatie! Ik ga dit graag voor jullie oppakken”

en

“Ik heb onze experts gevraagd om dit issue te bekijken en een onderzoek uit te sturen”

 

Dan lijkt het me niet slim het nogmaals te gaan melden. toch ?

1 iemand (boris de t-mobile moderator) heeft het op zich genomen dit aan te melden voor initieel een 3 tal personen (en wat zich daar nog bijvoegt). 

 

Er word nu gesproken dat de klantenservice “van niks” weet. de 2 quotes kunnen dus de prullenbak in ?

 

Maar ik zal er eens een mooie mail van maken.

 

UPDATE: klantenservice is niet te mailen (dus benieuwd naar het adres) en rondjes in de bot draaien is nou ook niet wat ik wil.

 

 

 

 

 

Als Boris de t-mobile moderator meld :

“Dank jullie wel voor het aangeven van de situatie! Ik ga dit graag voor jullie oppakken”

en

“Ik heb onze experts gevraagd om dit issue te bekijken en een onderzoek uit te sturen”

 

En daarop heeft Boris dan dus ook een reactie gekregen en gegeven. Uit één van de berichten blijkt ook dat dit rechtstreeks aan IT kenbaar is gemaakt waar de BO (lees; niet de klantenservice dus), blijkbaar niet van op de hoogte was of is (gebracht).

Het is dus eerder vreemd dat de BO het tegenovergestelde zegt en zelfs bij weer een aantal achterliggende afdelingen - alwaar men contact mee gehad heeft - ook niets bekend is en er vanuit geen enkele TMT staff member sindsdien geen enkele berichtgeving meer is geweest.

ik blijf na mijn werk (onder kantoortijd geen tijd) hangen in een chatbot en verder geen mailadres bij de contact opties.

 

“Zelf gisteren maar een e-mail gestuurd naar T-Mobile nadat een klantenservice me”

 

iets om te delen ?

 

 

ik blijf na mijn werk (onder kantoortijd geen tijd) hangen in een chatbot en verder geen mailadres bij de contact opties.

 

“Zelf gisteren maar een e-mail gestuurd naar T-Mobile nadat een klantenservice me”

 

iets om te delen ?

 

Wat ik al aangaf, staat hier onderin

ik blijf na mijn werk (onder kantoortijd geen tijd) hangen in een chatbot en verder geen mailadres bij de contact opties.

 

“Zelf gisteren maar een e-mail gestuurd naar T-Mobile nadat een klantenservice me”

 

iets om te delen ?

 

Wat ik al aangaf, staat hier onderin

Top bedankt. had ik even gemist kennelijk. heb ze gemaild. ik ben benieuwd wat het antwoord is op het manipuleren van die routes.

 

Reputatie 7

Hi all, excuses dat het even heeft geduurd maar we willen zorgen dat we duidelijk uit kunnen leggen hoe de vork in de steel zit. Een uitgebreidere uitleg volgt, maar de korte samenvatting is dat het zichtbaar zijn van de tussenliggende hops en de core routers een veiligheidsrisico met zich meebrengt. Het is ook niet 'industry standard’ dat deze netwerk informatie zichtbaar is. Als onderdeel van een aantal verbeteringen aan ons netwerk, waaronder een verbetering van de veiligheid bij bijvoorbeeld bij DDoS aanvallen, is de informatie die zichtbaar is bij een trace aangepast en is alleen het eindpunt nog zichtbaar. Ik kan mij voorstellen dat dit mogelijk wat vragen oproept en een uitgebreidere technische uitleg volgt!

Reputatie 1

@Brian Dan wordt dit dus de reden dat ik het abonnementga opzeggen. 

 

@Brian Dan wordt dit dus de reden dat ik het abonnementga opzeggen. 

me2

 

De route heen is niet direct de route terug.

en de route heen (uit klant oogpunt) is niet meer te zien. maar de route terug.

 

Op de route terug. (laat ik eens wat routes langs AMS-IX nemen) zie ik ook wat vreemde zaken…..

 

@Brian bedankt voor je input. Voor velen nu duidelijk dat t-mobile thuis wel het goedkoopste is maar dat je daarvoor wel wat moet inleveren. Maar voor veel huis tuin en keuken gebruikers voldoende is.

 

 

Reputatie 3

Hi all, excuses dat het even heeft geduurd maar we willen zorgen dat we duidelijk uit kunnen leggen hoe de vork in de steel zit. Een uitgebreidere uitleg volgt, maar de korte samenvatting is dat het zichtbaar zijn van de tussenliggende hops en de core routers een veiligheidsrisico met zich meebrengt. Het is ook niet 'industry standard’ dat deze netwerk informatie zichtbaar is. Als onderdeel van een aantal verbeteringen aan ons netwerk, waaronder een verbetering van de veiligheid bij bijvoorbeeld bij DDoS aanvallen, is de informatie die zichtbaar is bij een trace aangepast en is alleen het eindpunt nog zichtbaar. Ik kan mij voorstellen dat dit mogelijk wat vragen oproept en een uitgebreidere technische uitleg volgt!

 

Bedankt voor je antwoord. Vanuit het oogpunt van veiligheid snap ik ook zeker dat jullie liever niet de tussenliggende informatie zichtbaar willen hebben in de traceroute. En dat is ook prima. Providers als KPN hebben dit ook niet zichtbaar. De ‘normale’ manier om dit te bereiken is het filteren van ICMP vanuit het corenetwerk naar hosts op het internet en klanten. Hierdoor zie je in een traceroute onbekende hops met sterretjes. Dat is zoals je benoemt de “industry standard” manier om dit te bereiken.

De manier waarop T-Mobile dit nu doet gaat nog een stap verder dan dat, door de TTL van alle IP packets zo aan te passen dat het lijkt dat de hops helemaal niet bestaan (traceroutes werken op basis van verlaging van TTL). Daarmee kunnen we de traceroute tools ook niet meer gebruiken om te kijken hoe routes buiten het T-Mobile netwerk lopen. Als systeem/netwerkbeheerder is dit iets wat ik dagelijks meerdere keren gebruik. Ik ben inderdaad niet geinteresseerd in hoe het T-Mobile netwerk inelkaar zit, maar juist in hoe routes lopen buiten het T-Mobile netwerk. Deze oplossing is alles behalve “industry standard”. Ik ken in Europa geen enkel netwerk die dit ook zo doet. Het is ook nog eens een oplossing die voor irritante routingloops of storingen kan zorgen in het T-Mobile corenetwerk. Daarnaast weet ik 100% zeker dat er binnen T-Mobile geen enkele techneut is die dit een goed idee vindt, vergeleken met de “normale” manier om dit te doen, namelijk het filteren van ICMP zoals hierboven beschreven.

Ik vraag absoluut niet om te zien hoe het T-Mobile corenetwerk in elkaar zit, maar zorg er op zijn minst voor dat mijn traceroute ‘normaal’ werkt voor hops buiten het T-Mobile netwerk, op de “industry standard" manier. Het verbergen van deze informatie zal voor mij in een ICT rol in combinatie met thuiswerken al een reden zijn om mijn abonnement niet te verlengen, en ik weet zeker dat ik niet de enige ben.

Hi all, excuses dat het even heeft geduurd maar we willen zorgen dat we duidelijk uit kunnen leggen hoe de vork in de steel zit. Een uitgebreidere uitleg volgt, maar de korte samenvatting is dat het zichtbaar zijn van de tussenliggende hops en de core routers een veiligheidsrisico met zich meebrengt. Het is ook niet 'industry standard’ dat deze netwerk informatie zichtbaar is.

 

Gatverdamme, dit klinkt een beetje dezelfde smoes die providers ook veelal gebruiken wanneer ze hun jaarlijkse tarieven verhogen. Alles onder het mom van verbeteringen en beveiligen, hoewel er op T-Mobile na wereldwijd hooguit een handje vol providers zijn die dit soort (eigenlijk, schijnheilige) praktijken uithalen.

Dit alleen al zet mij eigenlijk aan het denken over hoe ver T-Mobile nog kan of juist zal gaan om onder het mom van “beveiligen” zaken door te voeren. Volgende stap wellicht iedereen achter een NAT’ted verbinding of zelfs surfen via een proxy server van T-Mobile?

. Als onderdeel van een aantal verbeteringen aan ons netwerk, waaronder een verbetering van de veiligheid bij bijvoorbeeld bij DDoS aanvallen, is de informatie die zichtbaar is bij een trace aangepast en is alleen het eindpunt nog zichtbaar. Ik kan mij voorstellen dat dit mogelijk wat vragen oproept en een uitgebreidere technische uitleg volgt!

Zelfs met het verbergen blijven er risico's, iedere malloot die het voorziet op een gateway pakt gewoon IP-Adressen binnen de subnets die eindigen op .1 of .254.

En zelfs al is het geen industry standard, voor zover ik mij kan herinneren wordt er in de netneutraliteit niet expliciet gesproken over een standaard. Over standaarden heb ik weinig kaas gegeten, wel weet ik dat ICMP standaard onderdeel is van internet en is gespecificeerd bij de IETF. En ook dan nog geldt… dit soort zaken horen op voorhand te worden gecommuniceerd, 

Uw internetaanbieder moet zorgen dat het internetverkeer goed verloopt. Hij mag maatregelen nemen om problemen te voorkomen. Deze maatregelen moeten redelijk en begrijpelijk zijn. Ze moeten in verhouding staan tot de problemen die de aanbieder wil voorkomen.

Ze mogen geen onderscheid maken naar inhoud of toepassingen. En uw aanbieder moet u vertellen welke gevolgen deze maatregelen kunnen hebben voor de kwaliteit van uw internettoegang, uw privacy en de bescherming van uw persoonsgegevens.

 

Niet gebeurt, net zo min als de problematiek rondom DTAG of de deal met het CBS (remember). Of wat te denken van deze?

 

Internetaanbieders mogen geen diensten blokkeren, vertragen of beperken. Bijvoorbeeld als het gaat om apps waarmee je gratis kunt bellen of berichten kunt sturen. Ook moeten internetaanbieders voor het verbruik van alle data hetzelfde rekenen. Dus ze mogen er niet meer, maar ook niet minder voor vragen.

Een open internet is belangrijk zodat alle consumenten vrij toegang hebben tot dezelfde informatie. Ook is het goed voor de ontwikkeling van nieuwe internetdiensten, zoals ‘video on demand’.

 

Wellicht toch maar een paar tientjes extra per maand gaan betalen bij een provider die transparant is… Een niet transparante provider is nou niet echt iets waar ik mee door één deur kan.

Reputatie 3

Hi all, excuses dat het even heeft geduurd maar we willen zorgen dat we duidelijk uit kunnen leggen hoe de vork in de steel zit. Een uitgebreidere uitleg volgt, maar de korte samenvatting is dat het zichtbaar zijn van de tussenliggende hops en de core routers een veiligheidsrisico met zich meebrengt. Het is ook niet 'industry standard’ dat deze netwerk informatie zichtbaar is. Als onderdeel van een aantal verbeteringen aan ons netwerk, waaronder een verbetering van de veiligheid bij bijvoorbeeld bij DDoS aanvallen, is de informatie die zichtbaar is bij een trace aangepast en is alleen het eindpunt nog zichtbaar. Ik kan mij voorstellen dat dit mogelijk wat vragen oproept en een uitgebreidere technische uitleg volgt!

@Brian Ofwel je bent voor de 2e keer met een mooi verhaal terug gestuurd.

 

Zoals hier boven al gezegd prima als t-mobile niet wil laten zien hoe hun eigen netwerk eruit ziet.

Maar het verbergen / niet inzichtelijk maken van netwerken van andere partijen ….

Maar goed om te weten dat t-mobile zich aan de 'industry standard’ houd en de rest van de wereld niet. 

Voor een klein overzichtje van netwerken dat zich dan niet aan de 'industry standard’  houd.

kpn

ziggo

ntt

lumen / level3 

upc

bit

unet

eurofiber

comcast

surfnet

amazon

microsoft

google

bt

RIPE NCC 

DigitalOcean

Magyar Telekom Nyrt (mm grappig heeft hetzelfde logo.)

@Gerrit078 kan je delen hoever jij komt met dit verhaal. Gezien jij contact het via de mail. (een van de andere wegen die t-mobile zelf aanbied om in contact te komen..)

Volgens https://www.t-mobile.nl/klantenservice#contact heb je 3 opties tot contact. Lijkt me handig dat ze dan deze opties ook allemaal juist ondersteunen.

 

….

@Brian Ofwel je bent voor de 2e keer met een mooi verhaal terug gestuurd.

 

Zoals hier boven al gezegd prima als t-mobile niet wil laten zien hoe hun eigen netwerk eruit ziet.

Maar het verbergen / niet inzichtelijk maken van netwerken van andere partijen ….

Maar goed om te weten dat t-mobile zich aan de 'industry standard’ houd en de rest van de wereld niet. 

 

 

Ik dacht zelf altijd dat wanneer bij IETF een standaard vermeld werd, dit gewoon een industry standaard betreft. En daar staat voor ICMP wel enkele zaken beschreven/omschreven. Maar goed, ik begrijp dat dit dan nog niet per definitie een industry standaard betreft. Grappig want als je zoekt op internet industry standard dan is er ook niet echt op het eerste oog een standaard te vinden. Heeft T-Mobile dan niet nu plotsklaps gewoon een industry standard bedacht? :joy:

 

Zoals hier boven al gezegd prima als t-mobile niet wil laten zien hoe hun eigen netwerk eruit ziet.

Maar het verbergen / niet inzichtelijk maken van netwerken van andere partijen ….

Juist en vooral dat maakt het een zaak die stinkt. Dat je, binnen je eigen infrastructuur zaken verbergt c.q. niet wilt delen/prijsgeven snap ik dan nog wel… maar het “hele” internet is naast dat het op zwaar achterbakse wijze heeft plaatsgevonden, gewoonweg onnodig en zelfs eigenlijk gewoon onacceptabel.

 

​​​​​​Maar goed om te weten dat t-mobile zich aan de 'industry standard’ houd en de rest van de wereld niet. 

Voor een klein overzichtje van netwerken dat zich dan niet aan de 'industry standard’  houd.….

En langzaam aan leren we de ware T-Mobile NL aard kennen.

 

 

@Gerrit078 kan je delen hoever jij komt met dit verhaal. Gezien jij contact het via de mail. (een van de andere wegen die t-mobile zelf aanbied om in contact te komen..)

Volgens https://www.t-mobile.nl/klantenservice#contact heb je 3 opties tot contact. Lijkt me handig dat ze dan deze opties ook allemaal juist ondersteunen.….

 

Ik ben verder nog niet benaderd aangezien het wat tijd in beslag kon nemen. Achteraf gezien snap ik ook waarom het tijd in beslag kan nemen, van interne communicatie of een systeem waarin dergelijke wijzigingen worden bijgehouden, is dus eigenlijk gewoon geen sprake. Als het nou bij interne communicatie zou blijven zou ik het nog niet eens zo heel erg vinden, maar het feit dat bepaalde besluiten zijn genomen zonder dat de consument daarvan is geïnformeerd geeft toch wel een hele vieze nasmaak.

Dat verklaart dan ook wel waarom de persoon die ik laatst sprak redelijk gedeprimeerd over kwam… 

 

Hi all, excuses dat het even heeft geduurd maar we willen zorgen dat we duidelijk uit kunnen leggen hoe de vork in de steel zit. Een uitgebreidere uitleg volgt, maar de korte samenvatting is dat het zichtbaar zijn van de tussenliggende hops en de core routers een veiligheidsrisico met zich meebrengt. Het is ook niet 'industry standard’ dat deze netwerk informatie zichtbaar is. Als onderdeel van een aantal verbeteringen aan ons netwerk, waaronder een verbetering van de veiligheid bij bijvoorbeeld bij DDoS aanvallen, is de informatie die zichtbaar is bij een trace aangepast en is alleen het eindpunt nog zichtbaar. Ik kan mij voorstellen dat dit mogelijk wat vragen oproept en een uitgebreidere technische uitleg volgt!

Bedankt voor het doorsturen van de uitleg van je netwerk collega’s.

Het filteren van ICMP pakketten in netwerkverkeer om zo IP adressen van jullie routers te verbergen is schijnveiligheid (“security by obscurity”). Het zal het aanvallers misschien iets lastiger maken maar er zijn voldoende andere manieren voor aanvallers om deze IP adressen van jullie routers alsnog te achterhalen zoals kijken naar de edge routers, rDNS records, oude traceroutes van jullie klanten die overal op het internet rondzwerven, (poort)scans op jullie IP reeksen, etc.

Hoe verkeer binnen jullie netwerk wordt gerouteerd maakt mij niet zoveel uit, dus prima om ICMP uit te zetten op jullie eigen routers. Het zou wel netjes zijn om ICMP verkeer dat buiten jullie netwerk komt niet actief te filteren. Dat maakt netwerkproblemen troubleshooten een stuk makkelijker.

Reputatie 3

@Brian Aanvullend op wat @Thomas_R hierboven al zegt, en ik in mijn uiteenzetting hierboven:

Zoals Thomas stelt is de huidige manier een fix met schijnveiligheid. Met een IP Record Route ping kun je dit al omzeilen, met dus ook een aantal hops intern uit het T-Mobile netwerk.

jk-5@pc-jeffrey:~$ ping -R antennekaart.nl
PING antennekaart.nl (178.251.25.37) 56(124) bytes of data.
64 bytes from antennekaart.nl (178.251.25.37): icmp_seq=1 ttl=60 time=25.4 ms
RR: pc-jeffrey.vl220.7815xg-32.as64516.net (172.24.136.16)
69-101-145-85.ftth.glasoperator.nl (85.145.101.69)
10.10.10.254 (10.10.10.254)
t-mobilethuis.interxionams5.nl-ix.net (193.239.117.50)
178.251.25.2 (178.251.25.2)
antennekaart.nl (178.251.25.37)
antennekaart.nl (178.251.25.37)
interracks.previder-pdc2.nl-ix.net (193.239.116.140)
10.10.12.53 (10.10.12.53)

Omdat het 10.x.x.x adressen zijn zijn ze niet benaderbaar vanaf het internet, en vormt het in dit geval niet echt een beveiligingsrisico. Maar omdat hier wordt afgeweken van de “industry standard” manier om hops te verbergen in een traceroute, namelijk het filteren van ICMP, wordt hier iets over het hoofd gezien waardoor het gestelde doel niet wordt bereikt.

Dit is vanuit mij een extra argument om het anders op te lossen. De huidige manier werkt niet betrouwbaar en is irritant voor de klanten die dit inzicht willen hebben. In mijn ogen is het beter om deze TTL filtering op te heffen en het op de normale manier te doen, door te voorkomen dat het corenetwerk ICMP verstuurt naar klanten en naar het internet.

@Brian Aanvullend op wat @Thomas_R hierboven al zegt, en ik in mijn uiteenzetting hierboven:

Zoals Thomas stelt is de huidige manier een fix met schijnveiligheid. Met een IP Record Route ping kun je dit al omzeilen, met dus ook een aantal hops intern uit het T-Mobile netwerk.

Volgens mij is die niet helemaal compleet, tenminste … laatste keer dat ik een volledige traceroute had, zaten er heel wat meer IP-Adressen (hops) tussen. Volgens mij ontbreken er dus nog best een aantal. 

Maar goed, is het niet gewoon een kwestie voor kwaadwillende om een kijkje te nemen naar een lijst en daar gewoon te sniffen of gewoon direct ip-addressen binnen de subnet's eindigend op .1 en .254 een flinke DDos voor de kiezen te gooien?

 

Reputatie 7

Dit klinkt meer naar security by obsecurity.

laten we dan ook iedereen maar niet een extern ip geven. dat is veiliger…..

Debuggen is gewoon totaal niet meer mogelijk op deze manier. en om nou te zeggen dat T-Mobile hier goed in is kan ik ook niet echt zeggen. zorg eerst er maar eens voor dat je zelf de zaken op orde heb!

ik heb hier dan ook geen goed woord voor over…. zou wel eens willen spreken met die gene die dit heeft bedacht. (die zou het eens van uit een andere hoek moeten bekijken)

Reputatie 2

@Brian, industry-standard? welke Nederlandse providers verbergen nog meer de route die data aflegt voor klanten die vreemde afwijkingen constateren in de prestaties van hun intrernetverbinding?  

 

Weet je wat echt niet industry-standard is? Je niet houden aan je eigen gedragscode voor transparantie:

 

https://www.t-mobile.nl/Consumer/media/pdf/klantenservice/netwerk-en-bereik/gedragscode-transparantie-internetsnelheden.pdf

 

 

Dit klinkt meer naar security by obsecurity.

laten we dan ook iedereen maar niet een extern ip geven. dat is veiliger…..

Precies wat ik al aangaf, met hoe T-Mobile zich meer en meer gedraagt zal het niet meer de vraag worden of maar wanneer T-Mobile overgaat tot NAT'ted verbindingen. Blijkbaar zijn ze tot alles toe in staat!

zorg eerst er maar eens voor dat je zelf de zaken op orde heb!

Het nadeel is, dat T-Mobile meer en meer bewijst dat het geen zaken op orde heeft en niet in staat is deze ook werkelijk in orde te hebben. Ze willen een grote speler in de markt worden maar door eigen achterlijke fouten en gebrek aan communicatie maken ze zichzelf steeds minder geliefd.

 

ik heb hier dan ook geen goed woord voor over…. zou wel eens willen spreken met die gene die dit heeft bedacht. (die zou het eens van uit een andere hoek moeten bekijken)

Kijkende naar hoe er gedacht en gehandeld wordt krijg ik sterk de indruk dat we het hebben over wat lui die ooit het woord “beveiliging” hebben horen vallen … je weet wel, wel de klok horen luiden maar niet weten waar de klepel hangt.

Weet je wat echt niet industry-standard is? Je niet houden aan je eigen gedragscode voor transparantie:

https://www.t-mobile.nl/Consumer/media/pdf/klantenservice/netwerk-en-bereik/gedragscode-transparantie-internetsnelheden.pdf

En het ergste is nog, dit is dan een gedragscode welke onderling is afgesproken voor zover ik mij kan herinneren en waar je eigenlijk in principe weinig waarde aan kunt hechten. Het is tenslotte niet zo dat er consequenties tegenover zullen staan wanneer je (zoals T-Mobile) te beroerd bent om consumenten te informeren. Wettelijk is het echter wel in de wet ‘netneutraliteit’ vastgesteld dat je bij dergelijke beslissingen verplicht bent de consument te informeren. Lees; 

Een open internet is belangrijk zodat alle consumenten vrij toegang hebben tot dezelfde informatie. Ook is het goed voor de ontwikkeling van nieuwe internetdiensten, zoals ‘video on demand’.

 

En ook dat vertikt T-Mobile !

In principe kan en mag je ICMP - het verrichten van traceroutes - als “informatie” beschouwen. Het geeft je inzicht en informatie hoe een route enigszins verloopt en kan zelfs informatie prijs geven wanneer zich ergens in die routering één of meerdere problemen voordoen.

 

 

Reputatie 7
Badge +5

Vandaag een tracert naar nsa.gov

4 hops in totaal.

1.   vertrek uit mijn eigen netwerk
2    <1 ms    <1 ms    <1 ms  192.168.178.1
3     2 ms     3 ms     2 ms  1-32-144-85.ftth.glasoperator.nl [85.144.32.1]
4     8 ms     8 ms     8 ms  a72-246-175-75.deploy.static.akamaitechnologies.com [72.246.175.75]

Trace complete.

Er staat hier een 30 cm globe langs mijn scherm en zelfs daarop is het vanuit de speldeprik die nederland is een behoorlijk lange kabel om direct ergens in de USA uit te komen.

Nee Tmobile doet niet aan traffic shaping, althans dat kunnen ze zich niet herinneren. Waar heb ik dat afgelopen week meer gehoord?  

Reputatie 7
Badge +14

8ms is toch heel netjes voor een ping naar de USA?

Vandaag een tracert naar nsa.gov

4 hops in totaal.

1.   vertrek uit mijn eigen netwerk
2    <1 ms    <1 ms    <1 ms  192.168.178.1
3     2 ms     3 ms     2 ms  1-32-144-85.ftth.glasoperator.nl [85.144.32.1]
4     8 ms     8 ms     8 ms  a72-246-175-75.deploy.static.akamaitechnologies.com [72.246.175.75]

Trace complete.

Er staat hier een 30 cm globe langs mijn scherm en zelfs daarop is het vanuit de speldeprik die nederland is een behoorlijk lange kabel om direct ergens in de USA uit te komen.

Nee Tmobile doet niet aan traffic shaping, althans dat kunnen ze zich niet herinneren. Waar heb ik dat afgelopen week meer gehoord?  

 

Ach, T-Mobile Nederland zal vast trots zijn dat het de enige provider wereldwijd is die directe verbinding heeft met alles en iedereen :joy:  Beetje misleidend is het natuurlijk wel.

Ondanks dat het niet echt ongelofelijk zin heeft, is het wellicht wel raadzaam dat iedereen dit zo goed en uitgebreid mogelijk kenbaar maakt aan de ACM. Al is het maar om op termijn een onderzoek los gepeuterd te krijgen. Gezien het verleden en heden van T-Mobile kan het tenslotte nog wel eens goed zijn dat ook omtrent dit soort zaken gewoon keiharde regels opgesteld gaan worden!

8ms is toch heel netjes voor een ping naar de USA?

Het is alleen niet naar de USA, Akamaitechnologies is een CDN/Cloud provider. Een cloud provider is nou niet echt een goed voorbeeld om te nemen. Neem dan bijvoorbeeld Colocrossing, alwaar T-Mobile doet laten over komen dat ze met hen een directe verbinding hebben (zie hun Traceroute) maar dit voor zover mij bekend totaal niet het geval is.

Ergens zou je dit dus eigenlijk best onder een stukje misleiding mogen gooien. Hopen dat potentiële klanten bij een T-Mobile Thuis klant zien hoe direct de verbinding is naar diverse targets, en ze vervolgens blij maken met een dooie mus.

Reageer