Netflix 與 Comcast 的恩怨

其實就是商業公司之間的勾心鬥角,在包裝後搬到檯面上 :p

Netflix 在美國固網裡吃的流量比 YouTube 還多,可想而知當然就變成各 ISP 找麻煩的對象...


出自 Sandvine 的「Global Internet Phenomena Report 2H 2013」。

Netflix 有多種方式將影片傳遞給使用者。除了早期自建機房外,後來跟不少 CDN 有業務往來 (包括了 AkamaiLimelightLevel3),另外也有 Netflix Open Connect Content Delivery Network 計畫,直接在 ISP 內部機房放設備提供服務。

使用 CDN 的作法成本太高,而 ISP 又不一定會接受 Open Connect 方案 (因為不一定收的到錢),在這種情況下,如果走 transit 線路的速度通常都不會太好。而 Netflix 與 Comcast 之間的狀況就是如此:

在付給 Comcast 錢後速度都都解決了...

除了付錢解決外,上個禮拜 Netflix 就丟出一篇說明的文章發難了:「The Case Against ISP Tolls」,這篇文章除了提到上面的事情外,另外還極力反對 Comcast 與 Time Warner Cable 的併購案 XDDD

然後最近又炒熱的網路中立問題,看起來也這件案子應該會很熱鬧 XDDD

HTTPS 頁面上的隱私問題

The Register 的「Even HTTPS can leak your PRIVATE browsing」這篇引用了「I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis」這篇論文。

這篇論文說明,當 ISP 有能力分析所有流量,即使你全部都使用 HTTPS 時,論文裡的方式可以對某些極為敏感的資訊達到 89% 的辨識率:

Our attack identifies individual pages in the same website with 89% accuracy, exposing personal details including medical conditions, financial and legal affairs and sexual orientation.

這是因為 HTTPS 設計上是保護密碼、session key 這類技術上的「機密資訊」。而這個特點只能增加對隱私的保護,無法 100% 保護。

就算不看論文用了哪些資訊與方法,這個領域有很多可以分析的:很直覺就可以想到 ISP 可以看到 Destination IP 資訊,藉以「猜測」是哪個 domain,而 DNS query 資訊也是有幫助的。再來是 HTTP request 的 pattern (像是順序、大小) 再加上對網站結構的了解,也可以分析出不少東西。

如果可以再分析主流瀏覽器、作業系統以及 NAT box 的實做,還可以透過 TCP 的封包再推敲的更細緻。

整套系統利用統計模型架構好後,在 ISP 端大量分析,看起來就是 NSA 擅長的業務?

台灣 ISP 過濾限流的比率...

在「Is Your ISP Messing With BitTorrent Traffic? Find Out」這篇文章裡提到了 Measurement Lab 公開所蒐集到的資訊,列出全世界各 ISP 過濾限流的比率:「How neutral is the net?」。

台灣的部份抓出來如下:

由於不知道到底是怎麼計算,所以只有 ranking 的部份有意義,而且只能挑大的看 (其他樣本太少的無法判斷準確性)。

最大的當然還是 HiNet,比率是 13.2%,比起其他 ISP 低很多。這跟外面一般講「如果要跑 P2P 還是用 HiNet」的感覺接近。

BT Retail 開始實際測試 CGNAT...

英國的 ISP BT Retail 開始測試 CGNAT (Carrier-grade NAT) 了:「BT Begins Customer Tests of Carrier Grade NAT」。

空前但未必是絕後的大型 NAT 計畫,如果 CGNAT 可行,IPv6 會再往後延個好幾年吧...

Update:被 comment 提醒跑去測試,發現中華的 3G 早就是了:(CGNAT 會用 100.64.0.0/10,範圍到 100.127.255.255)

日本警察廳希望 ISP 阻擋 Tor...

昨天看到日本警察廳希望 ISP 阻擋 Tor 的新聞:「Japanese police ask ISPs to start blocking Tor」、「Japanese police target users of Tor anonymous network」。

原始的報導是「警察庁有識者会議:サイト管理者が通信遮断を 匿名悪用で」,英文版是「NPA to urge ISP industry to help site administrators block users of hijacking software」。

是日本... 這有點讓人出乎意料 XDDD

ISP 架設 NAT 解決 IPv4 不夠的問題...

Slashdot 上看到 PlusNet 決定測試用 CGNAT (Carrier-grade NAT) 解決 IPv4 不夠的問題:「UK ISP PlusNet Testing Carrier-Grade NAT Instead of IPv6」。

用超大型 NAT 並不是特別的新聞 (某些 mobile network 上就是這樣做),但 ISP 如果用在一般網路上則很有可能會跟客戶的 NAT device (可能是公司,也可能是家庭) 發生 Private Network 相同而導致問題。

2012 年 4 月的 RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) 將 100.64.0.0/10 (Shared Address Space) 這個網段保留,拿來給營運 CGNAT 的 ISP 使用:

NetRange:       100.64.0.0 - 100.127.255.255
CIDR:           100.64.0.0/10
OriginAS:
NetName:        SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle:      NET-100-64-0-0-1
Parent:         NET-100-0-0-0-0
NetType:        IANA Special Use

在 RFC 裡規定 100.64.0.0/10 只能拿來內部使用不得交換;如果要交換必須要有能力將不同介面的 100.64.0.0/10 當作不同網段 NAT (也就是 CGNAT 會做的事情):

In particular, Shared Address Space can only be used in Service Provider networks or on routing equipment that is able to do address translation across router interfaces when the addresses are identical on two different interfaces.

另外文件裡還定義了使用 100.64.0.0/10 時對 DNS 的過濾。

如果 CGNAT 上不能打洞,那麼很多應用就很苦了 (得靠 UDP hole punching 打洞,這還得在沒有 randomized NAT port 的情況下才打的通),不過非 P2P 的應用應該不會有問題...

會不會做一做之後就維持這個方式?IPv6 遙遙無期... XD

法國 ISP「Free」主動更新上機盒韌體,主動擋掉廣告...

出自「French ISP blocks online ads by default – just a beta feature glitch?」與「France’s second-largest ISP deploys ad blocking via firmware update」。

Freebox

法國第二大的 ISP「Free」在最近一次的韌體更新裡,增加了「過濾廣告 (adblock)」的功能,並標為 beta:「Mise à jour Freebox Server 1.1.9」,不過,有很多人發現這個 beta 功能預設是開啟的... 然後就看到所有以網路廣告為生的科技新聞網站一面負評... XDDD

前幾天 Free 才爆出擋 YouTube 的新聞「YouTube sucks on French ISP Free, and French regulators want to know why」,ARCEP (法國的電信監管組織) 喊說要查網路中立性問題,結果馬上就來個下馬威 xDDD

話說回來,中華電信色情守門員的名單改一改,應該也可以推出類似的服務?XDDD

網路愈來愈不安全,能自救的方式並不多...

這兩件事情加起來會不會太巧合...

首先是有攻擊者成功利用 Comodo CA 產生 www.google.comlogin.yahoo.comlogin.skype.comaddons.mozilla.orglogin.live.com 的 SSL certificate:「Report of incident on 15-MAR-2011」,雖然被 revoke (撤銷),但是我們知道 revoke 機制極度脆弱:「Revocation doesn't work」。

過沒幾天,有人發現 AT&TFacebook 的流量會流經中國 ISP 的網路設備:「Facebook traffic mysteriously passes through Chinese ISP」。

關於這幾件事情,我們能做的並不多,只能僅可能的做:

接下來就是祈禱了...

Netflix 公佈北美 ISP 對 Netflix 的速度...

Netflix 官方的網誌上公佈:「Netflix Performance on Top ISP Networks」。

目前 Netflix 有 AkamaiLevel3 兩家 CDN 提供服務 (不確定還有沒有其他的),在最後一段還說要每個月更新這些資料,是打算反過來對 ISP 施壓嗎?:

We'll update these charts monthly, and we welcome questions, comments and suggestions to help improve our understanding of Netflix performance on top ISP networks.

Torrific

T 客邦的「只要複製貼上,Torrific 免費幫你把 BT 抓到好」這篇文章提到了 Torrific 這個 BitTorrent 代抓服務,我是從還是叫做 btaccel 的時代就看到這個網站,用過幾次以後也沒什麼在用了... (畢竟 rtorrent 用習慣了)

先說明文章裡提到的「找 torrent 檔的免費空間」的問題要怎麼解決。一般的空間可能會需要帳號密碼,或是無法給一個連結直接下載,這點可以用 Torrage 以及 ZoinkIT 這類專門存放 torrent 檔的站台來放。

再來談 Torrific 這個站台。這個站目前放在 Slicehost,但更早之前是放在 Hurricane Electric 的機房內,而且以前的 domain 註冊資訊也是 HE (現在是隱藏起來)。如果故意丟一個很少人抓的檔案,然後觀察會有什麼 peer 連上來,也可以看得出來是 HE 機房的 server 連上來代抓...

這讓我想起以前和信 (現在被遠傳合併了) 跟 HiNet 在吵 peering 以及「帥哥團隊」灌流量的事情了... XD