20110807对不能访问飞思卡尔网站的技术分析

20110807对不能访问飞思卡尔网站的技术分析

国内：http://home.lupaworld.com/home-space-uid-15610-do-blog-id-238891.html
国外：http://xautofzx.blogspot.com/2011/08/20110807.html

我最近在研究基于飞思卡尔i.MX515的Android平板电脑，研究对象是从http://cute-pad.taobao.com/上拿的白牌平板电脑。这里很便宜，同样的机器打上某个商标后，价格就翻一番了。
为获取技术资料，我经常要访问飞思卡尔的官方网站，http://www.freescale.com/webapp/sps/site/prod_summary.jsp?code=IMX51ANDROID
今早突然发现无法访问了，但是昨天确是好的，真是很奇怪。
没有办法，只好做一下网络技术分析。


1. 家里的电脑无法访问飞思卡尔官网，但是只要翻墙就可以访问，可以证明官方网站正常，国外网络正常，故障点在中国境内。

2. 随后我远程控制办公室的服务器，可以访问飞思卡尔官网。
这就很奇怪了，因为家属区和教学区的网络是同一个联通IP出口啊，却一个是通的，另一个不通。
这就有必要在两台机子上分别进行技术检测，以查明深层次的原因。

3. 为了避免浏览器的原因，我在Firefox/chrome/opera/搜狗浏览器/GreenBrowser上都做了测试，可以排除浏览器故障。因为经常会因为代理设置错误，或防病毒软件与浏览器冲突等原因，造成网页无法访问。

4. 在两台电脑上，先用Ping来检测，都不能Ping通。
这个很好理解，给网站安装防火墙，保护信息安全，这是企业最起码的常识，更何况飞思卡尔这样的IT企业了。
Ping命令所采用的ICMP协议，前几年有漏洞，被蠕虫病毒所利用，因此在防火墙规则中禁止ICMP协议，是很多网络管理员新手最基本的做法。当然，企业对信息安全要求很高，很严格，也会这么做。一般情况下，只有高水平的网管员才有能力和自信，去设置允许ICMP的规则。

5. 既然Ping不通，就该利用tracert来分析这条路到底在哪里断了。
从办公室tracert www.freescale.com
Tracing route to www.freescale.com [192.88.156.10]
over a maximum of 30 hops:
  1    <1 ms    <1 ms    <1 ms  219.244.xxx.1        西安理工大学计算机学院网关
  1    21 ms     1 ms     1 ms  202.200.xxx.xxx        西安理工大学家属区
  2     1 ms     1 ms     1 ms  202.200.xxx.xxx        西安理工大学家属区
  3     3 ms     1 ms     1 ms  10.1.xxx.xxx        西安理工大学核心网
  4     1 ms     2 ms     1 ms  10.1.xxx.xxx        西安理工大学核心网
  5     1 ms     1 ms     1 ms  221.11.xxx.225        西安理工大学联通出口
  5    <1 ms    <1 ms    <1 ms  123.139.2.137        陕西联通西安城域网
  6    <1 ms    <1 ms    <1 ms  221.11.0.145        陕西联通西安骨干网
  7    50 ms    50 ms    50 ms  219.158.20.149        中国联通骨干网
  8    51 ms    51 ms    51 ms  219.158.11.26        中国联通骨干网
  9    51 ms    51 ms    51 ms  219.158.97.26        中国联通骨干网
 10   203 ms   204 ms   204 ms  219.158.25.126        中国联通北京国际出口
 11   205 ms   206 ms   205 ms  xe-10-2-0.sjc10.ip4.tinet.net [77.67.79.149]    TINET中国接口，总部位于德国西部美因河畔法兰克福市南部Neu-Isenburg地区
 12   216 ms   216 ms   216 ms  xe-0-0-0.phx10.ip4.tinet.net [89.149.182.45]    TINET骨干网
 13   226 ms   226 ms   227 ms  internap-gw.ip4.tinet.net [77.67.94.74]        TINET美国接口
 14   222 ms   217 ms   218 ms  border1.po1-bbnet1.phx003.pnap.net [69.25.168.1]    INAP欧洲接口，总部位于美国东部佐治亚州首府亚特兰大
 15   227 ms   227 ms   226 ms  freescale-6.border1.phx003.pnap.net [69.25.127.90]    INAP去往飞思卡尔的接入网关
 16     *        *        *     Request timed out.    进入飞思卡尔公司内部，总部位于美国南部德克萨斯州奥斯汀
    ......        ......
 30     *        *        *     Request timed out.
Trace complete.



6. 同样采用tracert，从家里电脑tracert www.freescale.com
Tracing route to www.freescale.com [192.88.156.10]
over a maximum of 30 hops:
  1    21 ms     1 ms     1 ms  202.200.xxx.xxx        西安理工大学家属区PPPoE出口服务器
  2     1 ms     1 ms     1 ms  202.200.xxx.xxx        西安理工大学家属区
  3     3 ms     1 ms     1 ms  10.1.xxx.xxx        西安理工大学核心网
  4     1 ms     2 ms     1 ms  10.1.xxx.xxx        西安理工大学核心网
  5     1 ms     1 ms     1 ms  221.11.xxx.225        西安理工大学联通出口
  6     1 ms     1 ms     1 ms  123.139.2.137        陕西联通西安城域网
  7     3 ms     1 ms     2 ms  221.11.0.209        陕西联通西安骨干网
  8    32 ms    32 ms    32 ms  219.158.12.73        中国联通骨干网
  9    33 ms    32 ms    33 ms  219.158.11.10        中国联通骨干网
 10    33 ms    33 ms    33 ms  219.158.97.22        中国联通骨干网
 11   190 ms   190 ms   190 ms  219.158.30.42        中国联通国际出口？或是honeypot(蜜罐)？
 12     *        *        *     Request timed out.
    ......        ......
 30     *        *        *     Request timed out.
Trace complete.



7. 通过对比可知，家里的电脑和办公室服务器访问的网站相同，IP地址为[192.88.156.10]，都通过西安理工大学联通出口，IP地址为[221.11.xxx.225]，所以故障不在校园网内部。
前面翻墙能访问，已经证明国外网络正常，故范围缩小到联通网络内部。
对比第11跳的区别，可知在国际出口附近出错。办公室服务器能正常出国，经过德国，直到美国的飞思卡尔服务器上。而家里的电脑不能访问，在[219.158.30.42]处不知所踪。

根据知识和经验，我作出初步的猜测：
第一种可能性，30%：
联通内部网络在进行升级，以便应对三网合一、3G网络、4G试验等。
这种调整无非是增加或更换路由器，这会引起路由表的变化，全体路由表的更新需要一段时间。
但是，现代路由器所采用的路由协议，都是新的OSPF、IS-IS、BGP等，收敛速度很快。我从早晨7点多到下午17点，近10个小时，都没有任何改观。这种事情要是放在发达国家里，联通肯定会被用户投诉、依法索赔，很可能被罚的破产。
所以，可能性只有30%左右。

第二种可能性，70%：
在教学区的用户均由学校网络中心维护，在办公场合大家上网都比较收敛，很少访问违禁网站，若限制太多影响工作，教职员工集体反弹会非常强烈，故过滤限制较少。
家属区的用户已经全部转为联通宽带用户，不再属于校园网。用户在家里访问违禁网站的几率很高，且势单力薄，就算反弹也掀不起什么风浪，故过滤限制就严格很多。

这种限制，作为运营商是不敢这么做的，因为严重违法。一旦用户提起法律诉讼，后果可是很严重的。
但是无处不在的GFW，以国家安全的名义去做，谁也没办法。

所以，可能性有70%左右。


唉，连这么知名的国际大公司，这种纯技术网站，都要被禁止，该让人怎么评价GFW的技术水平呢？

作为IT业人士，作为高校教学科研人员，经常要碰到这种技术网站无故被封的情况，你说气人不气人。
所以说，高校信息技术相关专业的教师，如果自己不会翻墙，他的水平完全值得怀疑。学生就更不要说了。



8. 以上分析中的IP地址位置信息来源：
http://www.google.com/ncr，美国谷歌
http://www.apnic.net/，亚太网络信息中心（Asia-Pacific Network Information Centre，APNIC）
http://www.ripe.net/，欧洲网络资源协调中心（RIPE Network Coordination Centre，RIPE NCC）
https://www.arin.net/，美洲互联网号码注册管理机构（American Registry for Internet Numbers，ARIN）
http://zh.wikipedia.org/，维基百科



9. 本文中直接用pathping也行，该路由跟踪命令结合了 ping 和 tracert 命令的功能，可提供这两个命令都无法提供附加信息。
但是，通常专业工程师并不喜欢集成化的工具，你看看电工就知道了。专业工程师更喜欢拥有大量功能单一的专用工具，然后自行组合使用。
以本文为例，第一步用ping检测后，如果不通用tracert，否则用telnet进行下一步测试。
而如果直接用pathping来检测，就必须等待很长时间，会有50%的可能性做了无用功。

我不喜欢pathping的最主要原因，它在快速执行完最多30跳的ICMP探测之后，会进行统计处理，需要三四百秒的时间，期间任何信息都不显示，让人很难判断是否需要提前用Ctrl+C来终止。
而tracert的信息在不断输出，能够随时终止，能节省时间。tracert比pathping的统计信息少一些，但这个通常不会影响判断，少就少了吧。

大家可以自行测试，作出自己的判断。在命令行状态，输入：pathping www.freescale.com


2011.8.7于西安