Thomas Keusch <
fwd+usenet-spam2...@spam2012q4.bsd-solutions-duesseldorf.de>:
> 1) Wie, wenn ᅵberhaupt, ist die "Drosselung" von Internetzugᅵngen
> definiert?
>
> Ist das...
>
> 1a) ...die Geschwindigkeitslimitierung einzelner
> TCP-Verbindungen, i.e. es werden, statistisch betrachtet,
> grᅵᅵtenteils aus bestehenden Verbindungen einzelne Pakete verworfen
> um diese einzelnen, bandbreitenintensiven Verbindungen so zu stᅵren,
> daᅵ sie ihre ᅵbertragungsrate reduzieren?
> (Im wesentlichen das, was als RED / Random Early Detection
> bekannt ist.)
>
> 1b) ...das gezielte Verhindern des Aufbaufs neuer/weiterer
> Verbindungen, unabhᅵngig davon, ob diese mit evtl. vorhandenen
> bandbreitenintensiven Verbindungen in Zusammenhang stehen oder
> nicht.
> Dies geschieht dadurch, dass von einem dynamisch zwischengeschalteten
> Router scheinbar sowohl auf DNS Anfragen als auch auf TCP Pakete mit
> gesetztem SYN Flag mit "ICMP Host Unreachable - admin prohibited
> filter" geantwortet wird.
> Bestehende Transfers, die ggfs. mit bis zu ~100% der
> Geschwindigkeit/Maximalbandbreite laufen, bleiben unbeeinflusst.
In der Regel[tm] findest du eher 1c):
Bei TCP Paketen wird sowohl Manipulation der TCP-Header-Elemente
"Window Size" betrieben (um einzelne TCP-Flows auf natuerliche
Art auszubremsen, denn kleines Fenster + hohe RTT (>1ms) = langsam)
als auch gezielt ACK/SACK Pakete verzoegert (benoetigt nicht
mal eine Pufferende implementierung, einfaches statefulnetss genuegt*)
Fuer alle anderen Flows wird einfach Packetloss erzeugt.
(Exzessive Pakte werden verworfen.)
Praktisch keine mir bekannte Implementierung von Bandbreiten-Steuersystemen
verwenden oder unterstuetzen andere Mechanismen. Insbesondere 1b) kann
als eine ganz klare Servicelevel-Verletzung angesehen werden - der
vertraglich zugesicherte Service wird nicht erbracht -> nichterbrachte
Leistung muss auch nicht bezahlt werden. Das wird kein ISP lange machen.
> 2) Da 1b IMHO ein sehr tiefgehender, vom Nutzer in dieser Tiefe nicht zu
> erwartender Eingriff in die Kommunikation darstellt, stellt sich hier
> fᅵr mich persᅵnlich die Frage nach der Legalitᅵt.
Fragwuerdig. Am besten einen Anwalt fragen. Wenn der ISP das *I* nicht
bereitstellt, kannst du die Zahlung verweigern.
> Wenn ein Email-Versand (sagen wir eine Krankmeldung an den Chef)
> fehlschlᅵgt (da mit ICMP unreachable quittiert), nur weil man gerade
> ein logresolve ᅵber seine Webserver-Logs laufen hat und dabei
> 50-60KB/s DNS-Traffic macht (was etwa ~1%(!) der beworbenen Bandbreite
> entspricht), und man gefeuert wird, wer haftet? :)
Wie gesagt: Frag deinen Anwalt. Haftung ist idR. ausgeschlossesn bzw.
auf einen Monatsbetrag begrenzt. Insbesondere bei Consumeranschluessen.
Du kannst lediglich wegen Nichterbringung die Zahlung verweigern. Aber
bitte nicht ohne den Beistand und die Beratung durch einen Anwalt.
> Wer das mal nachvollziehen will, bzw wissen will, ob er bei einem
> ᅵhnlich unfᅵhigen ISP ist, hier ein paar Ideen:
Dazu musst du nur auf die Rechung schauen, ob da vielleicht "Kabel
Deutschland" steht (ganz oben). Das ist derzeit (2012) der einzige ISP
in Deutschland der die Netzneutralitaet geflissentlich verletzt und in
die Kommunikation seiner Kunden inhaltespezifisch und manipulativ eingreift.
Bei allen anderen gibt es allerhoechstens Engpaesse am Kundenanschluss
selbst oder vereinzelt mal an Netzuebergaengen zu nicht sonderlich gut
angebundenen Drittnetzen. Die sind dann aber aufgrund ihrer Natur
(gleichmaessiges Packet-Loss ueber alle Flows, keine
Header-Manipulation bei TCP).
> Leider kann ich das derzeit *nicht* mehr triggern, habe aber ein paar GB
> Dumps von Netzwerktraffic hier. Scheinbar waren das zu viele "falsche
> Alarme" und Stᅵrungsmeldungen meinerseits, erfolgt zu allen mᅵglichen Tages-
> und Nachtzeiten.
Hilfreich ist es eigentlich nur, wenn du Packet-traces von beiden
SEiten eines Flows hast und dort dierekt die Header von TCP-Paketen
bzw. die ACK/SACK Reihen direkt miteinander Vergleichen kannst.
Es liegt in der Natur von TCP-windowscale-Maniupulationen, dass diese
von einer Seite aus nicht als solche Erkenntbar sind, bzw. nicht von
Traffic-Steuermassanhmen der Gegenstelle selbst unterscheidbar sind.
Man kann lediglich heuritstisch verdaechtiges Verhalten, das man
ueblicherweise nicht auf ueblichen Gegenstellen findet sondern
ueblicherweise nur auf Bandbreitenmanipulatoren. Nachweisen laesst
sich das diese Manipulation nur per vergleichbaren Dump auf beiden Seiten.
Die meisten am Markt befindlichen Systeme shapen AH-gesicherte IPSEC
Kommunikation *nicht* bzw. nicht per TCP-Manipulationen - denn da
wuerde das sofort auffallen. Aber wer macht schon IPSEC?
> Natᅵrlich ist das Spielchen nicht zu Ende - man stᅵrt nun meinen Zugang mit
> anderen Methoden - zur Drosselung werden einfach 20-30% Packetloss auf dem
> ersten HOP (innerhalb
172.16.0.0/12) erzeugt. Was mir deutlich lieber
> ist - so gibt's wenigstens Retries durch den TCP-Stack.
Packet-loss ist die einzige funktionierende Massnahme fuer alles ausser TCP.
> Zwischendurch auch beliebt war eine Zwangstrennung mindestens alle 30 Minuten.
> Bis zu 66 verschiedene IPs pro Tag, dieses Privileg hat nicht jeder.
> Ein 10GB Backup eines Servers im Netz zu ziehen, ist unter solchen
> Umstᅵnden natᅵrlich nicht ganz einfach...
YOU GOT WHAT YOU PAID FOR.
> Anhand der bisherigen Tests kann ich (fᅵrchte ich) nicht definitiv sagen,
> ob das Verhalten bzw die Sabotage durch eine zu hohe Rate an
> DNS-Requests oder TCP-Verbindungsaufbauten getriggert wird, da bei der
> bisherigen Testmethodik beides quasi im Verhᅵltnis 1:1 auftrat.
Hmm, das stinkt nach IPS auf Kundenseite.
> Was auch immer triggert, mein Resᅵmee: bei diesem Saftladen, der
> Internetzugang verkauft, und dann Kommunikation sabotiert, will man nicht sein.
> Hier ist ᅵbrigens nirgendwo und zu keinem Zeitpunkt P2P im Spiel!
P2P wird bei solchen Providern per Heuristik erkannt.
Heuristische Methoden haben bekanntlich den Nachteil, dass sie
False-Positives haben.
Aber du hast bisher verseumt den ISP zu benennen, ist es Kabel
Deutschland?
News at 9.
> F'Up nicht gesetzt zwecks Trennung rechtlicher und technischer
> Diskussion. Falls sich diese Unrecovery ᅵberhaupt jemand antun will.
> Muᅵte halt einfach mal raus, insofern war's zumindest fᅵr mich Recovery.
Posted only in dasr - IANAL.
*) diese Idee wurde uebrigens Patentiert von Alcatel Lucent, US8230106
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)