Efekty uboczne NAT w Aero2 – przykłady problemów
Miesiąc temu raportowałem o zmianach w konfiguracji IP dla użytkowników Aero2. Od tego czasu zebrałem listę problemów, jakie faktycznie raportują użytkownicy Aero2 BDI w tej nowej sytuacji. Problemy wiążą się przede wszystkim z faktem współdzielenia jednego adresu IP (a czasami ich puli) przez znaczną liczbę użytkowników dostępu do Internetu. Efektem tego jest oznaczanie od czasu do czasu niektórych z tych adresów jako źródła szkodliwego ruchu. A najciekawszym, albo też najbardziej denerwującym zjawiskiem może być… pojawianie się kodu CAPTCHA przy próbie korzystania z wyszukiwarki Google i niektórych innych serwisów.
Skąd bierze się ten problem i jak sobie radzić?
Na czym polega NAT
Pewna grupa osób mających doświadczenie z sieciami TCP/IP wie dobrze, czym jest maskarada, zwana nieco precyzyjniej NAT – Network Address Translation, czyli translacja adresów sieciowych. Jednak dla większości z nas to kolejny tak zwany TLS, czyli po prostu Trzy Literowy Skrót Dlatego bez wchodzenia zbyt głęboko w techniczne szczegóły wyjaśnię o co chodzi.
Skracając długą i skomplikowaną historię musimy zacząć od tego, że każde urządzenie pracujące w Internecie posiada przypisany adres IP. Niestety projektanci tej technologii nie przewidzieli, że za kilkadziesiąt lat będzie tak wiele urządzeń korzystających z Internetu i okazało się, że adresów jest za mało.
Jednym z rozwiązań tego problemu jest możliwość schowania za jednym adresem IP wielu urządzeń za pomocą maskarady. Od operatora zapewniającego nam dostęp do Internetu otrzymujemy jeden adres IP oraz urządzenie zwane routerem (czasem dodatkowo zaopatrzonym w modem kablowy, ADSL, czy komórkowy). Router pozwala na podłączenie wielu następnych urządzeń – laptopów, tabletów, telefonów itd. Każdemu z nich przydziela specjalny adres IP z tak zwanej puli prywatnej. Najczęściej jest to adres typu 192.168.*.*, nieco rzadziej 10.*.*.* (możliwe są jeszcze inne, rzadziej spotykane, ale ściśle określone kombinacje).
W takiej konfiguracji router realizuje maskaradę przechowując informację o wszystkich aktywnych połączeniach między urządzeniami w sieci lokalnej a Internetem – mając odpowiednią tabelę w pamięci może prawidłowo przekierowywać pakiety przychodzące z Internetu do odpowiednich urządzeń w sieci lokalnej.
NAT stosuje się nie tylko u użytkowników końcowych. Także operator może zastosować tego typu rozwiązanie. I to dokładnie dzieje się od jakiegoś czasu w Aero2.
Zalety stosowania NAT
Zastosowanie NAT ma szereg zalet zarówno dla użytkownika, jak i operatora. Najważniejszą zaletę już wymieniłem – operator oszczędza na wykorzystanych adresach IP, których brak jest coraz bardziej odczuwalny. Po drugie w sposób szczególny chroni użytkowników sieci przed bezpośrednimi atakami z Internetu – taki dostęp po prostu jest niemożliwy. Wszystkie ataki przyjmuje na siebie router (lub w przypadku operatorów – cały ich zestaw).
W przypadku rozwiązań domowych dochodzi do tego łatwość realizacji (każdy router to potrafi) oraz bezproblemowość – większość aplikacji, z których korzystamy na co dzień, działa bez żadnego problemu w takiej konfiguracji i jest im w zasadzie obojętne, czy ma bezpośrednie wyjście na świat, czy też nie.
Efekty uboczne i wady NAT
Oczywiście nie ma róży bez kolców. Podstawową wadą NAT jest wspomniany wyżej brak bezpośredniego dostępu do naszego komputera od strony Internetu. Zwykle to nie stanowi problemu, ale jeżeli chcemy np. udostępnić obraz z kamery domowej, albo uruchomić serwer, nie ma takiej możliwości bez dodatkowych czynności na routerze. A jeżeli router realizujący NAT znajduje się u operatora, nie mamy możliwości zmiany jego konfiguracji.
Innym efektem ubocznym jest to, że wszystkie komputery znajdujące się za NATem widoczne są w Internecie pod jednym, wspólnym adresem. Jeżeli kontrolujemy wszystkie urządzenia, nie stanowi to istotnego problemu. Jeżeli któryś z komputerów zostanie zawirusowany i zacznie np. rozsyłać spam, albo wykonywać inne podejrzane czynności, czy w inny sposób zapychać nasze łącze internetowe, zwykle możemy go dość łatwo zlokalizować i np. odłączyć od sieci a potem odwirusować.
Jeżeli jednak mówimy o NAT realizowanym przez operatora, nie mamy żadnej kontroli nad pozostałymi komputerami schowanymi za NATem. Na pierwszy rzut oka nie jest to problem, ale…
Dodatkowe kody CAPTCHA i ostrzeżenia w Aero2
Od czasu schowania za NATem użytkownicy Aero2 raportują, że od czasu do czasu pojawiają się im dodatkowe kody CAPTCHA, które nie są generowane przez operatora. Przykłady prezentuję poniżej.
Pierwszy raport otrzymałem od użytkownika wyszukiwarki Google:
Potem przed niektórymi stronami zabezpieczonymi przez atakami Distributed Denial od Service za pomocą usługi firmy CloudFlare zaczęły się pojawiać następujące strony:
Takich raportów otrzymuję coraz więcej. Czasem niestety zdarza się, że ulubionej strony nie zobaczymy wcale – ruch po prostu będzie całkiem zablokowany. Zdarzają się także inne utrudnienia, np. zablokowana możliwość komentowania i rejestrowania się na niektórych forach. Na czym polega problem?
Przyczyny takich problemów są dwie. Pierwszą i najważniejszą przyczyną jest to, że spory procent naszych komputerów jest zawirusowanych lub zaatakowanych innymi szkodliwymi programami – większość osób nie ma o tym pojęcia i nawet nie zauważa dziwnego, czasem spowolnionego zachowania komputera lub go ignoruje. Komputery zainfekowane niektórymi trojanami stają się częścią tak zwanych botnetów, czyli sieci często tysięcy komputerów, które mogą służyć do różnych niecnych celów, najczęściej do przeprowadzania ataków DDoS oraz wykradania naszych informacji z komputera, najczęściej haseł i dostępów do banków.
Drugi czynnik to NAT. Ponieważ wiele komputerów znajduje się za pojedynczym adresem IP routera realizującego NAT u operatora, od strony internetu wszystkie te komputery są widoczne jako pojedyncze źródło ruchu. Jeżeli systemy np. firmy Google lub CloudFlare uznają, że taki jeden adres stanowi źródło zagrożenia, może zastosować kwarantannę lub blokadę dla takiego adresu. Ze względu na specyfikę NAT takie ograniczenie będzie oczywiście dotyczyć WSZYSTKICH komputerów, które łączą się z Internetem przez ten adres IP.
Wyraźnie to widać na pierwszym zrzucie powyżej z serwisu Google: adres IP, który firma uznała za zagrożenie to 5.172.247.200, czyli dokładnie z puli realizującej NAT dla użytkowników Aero2. Adres ten można sprawdzić także, na jednej z list IP uznanych za zarażone wirusami:
Adres IP jak widać jest zaznaczony, jako źródło ruchu wskazującego na zagrożenie botnetem Conficker.
Co to znaczy w praktyce? Serwis CBL, systemy Google, CloudFlare i wiele innych rozpoznały, że z adresu IP 5.172.247.200 przychodzą połączenia stanowiące zagrożenie. Jednocześnie stosują odpowiedzialność zbiorową – dla wszystkich łączących się za pomocą tego adresu IP, a może to być utrudnienie dla kilkuset, a czasem kilku tysięcy użytkowników. Tego typu odpowiedzialność zbiorowa z jednej strony ma sens techniczny, jednak w rzeczywistości jest błędem administracyjnym i nawet serwis CBL przypomina, że to może być adres routera i należy identyfikować komputery znajdujące za NATem (tak, to często jest technicznie możliwe).
Jak sobie radzić
Problem dodatkowych ostrzeżeń nie dotyczy jedynie Aero2, ani nawet tych stosujących NAT. Łącząc się z Internetem z dowolnego miejsca możemy natrafić na adres IP, który na takich listach lub w systemach ochronnych został oznaczony jako niebezpieczny.
W przypadku operatorów komórkowych można spróbować… rozłączyć się i połączyć ponownie. Często zostaniemy przypisani do innego adresu IP i być może nie będzie on objęty blokadą i na jakiś czas problem zniknie. Niestety w przypadku Aero2 takich adresów jest niewiele i coraz więcej z nich jest uznawanych za zagrożenie. Ostrzeżenia te pojawiają się i znikają dość losowo i ciągle jeszcze często udaje się normalnie korzystać.
Z czasem systemy te nauczą się, że ta pula adresów to routery realizujące NAT i będą blokowały ruch bardziej wybiórczo, jednak na razie musimy znosić kolejne problemy związane ze zmianami w Aero2, choć w tym wypadku faktycznie odpowiedzialni są bardziej użytkownicy z zawirusowanymi komputerami, a nie sam operator.
Czy wy też trafiliście na opisywane przeze mnie utrudnienia w Aero2?
A najnowsza wiadomość sprzed chwili! Nagle po wpisaniu kodu Captcha nie trzeba się już rozłączać i łączyć ponownie! Po wpisaniu kodu wyświetla się komunikat że automatycznie dostęp do Aero2 nastąpi za 10 sekund. Sprawdzone i tak jest! Odpuśćili?
Faktycznie po 10 sekundach internet pojawia się bez restartu po wpisniu captchy. Możn testować aero 2 max pakiet to 1gb a ważność to 10 dni.
Nawet szybciej, niż po 10 sekundach. W zasadzie prawie od razu.
Uważajcie na tą "promocję"
Trzeba się zgodzić na przetwarzanie danych, spam na email i na telefon. Będą do was wydzwaniać z ankietami. Sprzedanie prywatności za 1 GB danych to naprawdę kiepski interes. Lepiej kupić starter t-mobile i macie 11 GB danych pełną prędkością, i to wszystko za 2 zł na allegro.
Doczytaj dokładnie – zgód marketingowych nie trzeba, tylko techniczne. I dotyczy to i tak tylko właściciela karty (osoby, na którą ją wydano). Procedura jak przy zakupie pakietów Aero.
Przetestowałem i opisałem już na blogu, dzięki za info.
Jakoś nie wierzę, że to użytkownicy Aero2 tak wszyscy rozrabiają, że aż Google musiał zablokować te adresy IP. Tym bardziej że nat jest od niedawna. Bardziej prawdopodobne jest to, że Aero w jakiś sposób odkupiło lub przejęło pulę adresów, które mają złą reputację (i dlatego tanio można było te adresy przejąć) i stąd problemy.
To nie Google blokuje ot tak, on tylko (podobnie jak CloudFlare) reaguje na ataki z tych adresów – wystarczy 1 zarażony komputer, żeby ich systemy zareagowały. A ja podejrzewam, że ich jest kilka-kilkanaście procent.
Jestem skłonna przypuszczać, że to wewn. IP gnojarze specjalnie wprowadzili, żeby jeszcze bardziej uprzykrzyć ludziom korzystanie ze sraero2 i żeby wykupowali te ich nowe, płatne wynalazki (które imho powinny być zabronione). Nie dość, że jestem pobanowana na forach, na których się nigdy w życiu nie rejestrowałam, nie dość, że na innych stronach wyskakuje mi capcha, to jeszcze w większości przypadków kod mi się w ogóle NIE WCZYTUJE, bo ten ich beznadziejny net chodzi mi jak krew z nosa, tak więc o wejściu na stronę mowy być nie może. I nie, to nie jest wina użytkowników, bo kiedyś też byłam za osiedlowym NATem, i nigdy takich problemów nie miałam. Na forum ktoś pisał o wchodzeniu na gugla? przez tora – najwyraźniej ta osoba nigdy tego sama nie robiła, bo akurat na torze też mi zawsze na guglu kody wyskakują, dodatkowo w przypadku sraero2 łączenie z torem trwa KILKA minut. PS. Dopóki były zewn. IP wszystko mi śmigało w miarę płynnie, teraz istna tragedia. O niewczytywaniu się wielu stron pisałam już wcześniej.
Działanie Aero2 w pakiecie i poza nim pod względem IP niczym się nie różni, więc to nie wyjaśnia przyczyn wprowadzenia NATu.
Proponuję przy okazji sprawdzić, czy modem nie działa przypadkiem w trybie 2G i wymusić pracę 3G, z czym bywają problemy od stycznia.
A mógłbyś mi podać jakiegoś linka, jak to zrobić?
Każde urządzenie ma możliwość wyboru trybu pracy (tylko/preferowane 2G/3G, zwane takzę GSM i WCDMA) – a szczegóły zależą od konkretnego modelu.
Modem Huawei E3131s-2. Mam to zmienić w top netinfo w zakładce GPRS/UMTS?
Tak, jest tutaj ta opcja: Technologia->W\CDMA i potem zastosuj przy założeniu, że pozostałe opcje są wybrane sensownie i niesprzecznie.
W Kolejność mam Automat, zmienić na WCDMA/GSM czy zostawić?
Potem mam: Pasmo – wszystkie, Roaming – wyłączony, Komutacja – CS i PS.
Jak wybierzesz WCDMA w pierwszej kolumnie, w drugiej musi być Automat, albo WCDMA/GSM. Dalej jest OK.
Dzięki
Dodam jeszcze, że dioda w modemie często się świeci na granatowo (a nie turkusowo) i wtedy net przestaje chodzić. Ogólnie straszliwie przerywa..
Kolor niebieski (sama dioda niebieska) oznacza, że modem przeszedł w tryb wolnej transmisji z powodu braku ruchu lub przeciążenia sieci. I wtedy ma prawo straszliwie zwolnić. Kolor zwany turkusowym (świecą dwie diody: niebieska i zielona na raz) to tryb szybkiej transmisji.
Przerywanie – to nie wiem o co chodzi – zerwanie połączenia jest wtedy, gdy dioda zaczyna ponownie migać, a nie świecić ciągłym światłem.
Chodzi mi o to, że jak otworzę połączenie internetowe to widzę, że żadne pakiety ani się nie wysyłają, ani nie pobierają, a dioda w tym czasie świeci najczęściej na granatowo.
Jak rozumiem chodzi o uruchomienie przeglądarki internetowej, a nie samego połączenia (otwarcie połączenia, inaczej jego nawiązanie to jest to, co dzieje się po naciśnięciu przycisku Połącz – w tym wypadku w TopNetInfo.
Nie przeglądarki, mówię o "połączeniach sieciowych" w systemie.
Btw. Video downloader ściąga bez zarzutu.
I jak VD działa, to inne programy już nie, czy jak?
Najczęściej nawet jak VD pobiera normalnie, to na przeglądarce net bardzo słabo chodzi (oczywiście jak działają naraz, to tym gorzej dla przeglądarki).