Aangezien ik vooral op Linux draai ( behalve dan die handige laptop met 802.11 verbinding zodat ik lekker in de tuin kan gaan zitten interneppen ) heb ik geen last van die blaster worm. Linux is natuurlijk ook niet heilig. Ik ben in het verleden wel eens door een de LiOn worm besmet door een exploit in Bind. Maar alla , da was de enige keer in 5 jaar online tijd. Ik was toch benieuwd hoe het met de beveiling van MS zelf gesteld was tegen deze laatste worm. Dus fire up nmap en eens kijken wat er zoal draait daar. Zal waarschijnlijk moeilijk worden met al die load-balancing aldaar, dacht ik. En inderdaad , nmappen van www.microsoft.com duurt oneindig lang. Dan maar een subdomein.
Eerst maar eens download.microsoft.com :
[root@linux bin]# ./nmap -sS -O -P0 download.microsoft.com
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-08-12 23:45 CEST
Interesting ports on a194-109-217-170.deploy.akamaitechnologies.com (194.109.217.170):
(The 1640 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
80/tcp open http
135/tcp filtered loc-srv
443/tcp open https
Device type: general purpose
Running: Linux 2.1.X|2.2.X
OS details: Linux 2.1.19 - 2.2.20
Uptime 81.150 days (since Fri May 23 20:10:04 2003)
Nmap run completed -- 1 IP address (1 host up) scanned in 16.271 seconds
WTF. Is mijn DNS op een of andere manier om zeep ? Wie of wat zijn akamaitechnologies.com ? Vragen te over, zeker gezien het feit dat ze een Linux doos draaien. Ik ga dit op mijn gemak eens even uitzoeken. Updates later.
:Eerste Update
Nmap van www.microsoft.com is klaar. Niets veel goeds. Geen OS match ( TCP Sequence Truly random etc. ). Is dit iets nieuws voor W2003 ? Of hebben ze gewoon voor hun eigen servers een veel betere TCP/IP stack gemaakt ? Nog meer vragen. Zal eens bij netcraft zoeken naar andere 2003 servers om te kijken of dit normaal is.
:End Update
:Tweede Update
Aangezien Halo nog steeds down is ( vraag me af waarom, ze draaien zo te zien gewoon op Linux ) kunt U ons op dit moment niet afzeiken.
:End 2e Update
:3e Update
Even Judas gedraaid op download.microsoft.com. Eerste paar regels :
HTTP/1.0 302 Moved Temporarily
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Wat is dit nu weer ? 302 ? Ken ik helemaal niet. Moet ik godver weer eens door de RFC's ploeteren om uit te zoeken wat dit nu weer is. Zouden ze om hun eigen servers te beschermen een paar linux dozen als frontend geplaatst hebben ? Vragen, vragen. Ik zal nog maar eens een pot koffie zetten. Dit kan best laat gaan worden
:End 3e Update
:4e Update
Netcraft opent gelijk met het volgende bericht :
Overnight, microsoft.com has suffered an outage of a little over an hour. Microsoft have posted to the effect that this was caused by a [presumably non-http] denial of service that is not associated with any known vulnerability in Microsoft's own software. Speculation on Information Week that the outage might be part of a broader attack on internet infrastructure or linked to the start of the Defcon conference seems implausible, as only one other Fortune 100 site has shown an outage in the last 24 hours. Three of the 52 leading hosting providers monitored by Netcraft are showing outages in the last 24 hours, but all three are outside the US.
Verder niet bijzonders, Netcraft geeft voor download.microsoft.com gewoon IIS5 en IIS6 aan, verdeeld over 10 servers.
:End 4e Update
:5e Update
Nog steeds hetzelfde beeld bij nmaps van download.microsoft.com. Of de jongens van insecure hebben een foute TCP footprint in hun database zitten of Microsoft heeft uit bescherming gewoon een Linux doos op dat adres gezet die verder al het http verkeer naar 2003 servers doorleidt. Ik neig naar het laatste , vooral gezien het bericht op netcraft.
:End 5e update
:6e Update
HTTP 302 is schijnbaar een redirect die transparant de browser naar andere server leidt, tenminste dat kan ik opmaken uit
RFC 2068. Iemand die hier meer over weet ?
:End 6e Update
:7e en laatste update
Het domein akamaitechnologies.com is geregistreerd door TUCOWS, INC. Een traceroute vanuit mijn eigen doos en die van mijn provider XS4all gaan gelijk naar het adres 194.109.217.170 in 3 hops. Ik snap er inmiddels geen ene fuck meer van. Hoe is het mogelijk dat een ping naar download.microsoft.com binnen 3 hops antwoord geeft. En wat is dit nu weer : dl.ms.georedirector.akadns.net. , schijnbaar de cannonical name van download.microsoft.com als je bij xs4all zit ? En wat is de fucking connectie met TUCOWS. Toch nog maar eens mijn kennis van heel dat DNS gebeuren gaan updaten. Ik blijf het maar een rare zaak vinden. Maar goed, ze draaien LINUX ! Na het fiasco bij de overname van Hotmail blijken ze bij MS nog steeds Linux nodig te hebben. Ben overigens benieuwd hoeveel GPL code intussen in de source van Windhoos zit.
Gewoon even zoeken naar Akamai op Google levert ook wat op. "Akami is a system of "mirrored caches" so that your site contents don't really have to travel half way round the world, using custom designed DNS records that relay you to the geographically local site.It was programmed in house around a linux kernel optimized for network performance." De webshite van
Akamai geeft voor de rest niet meer zoveeel info. Netcraft geeft ook nog het volgende
tabelletje over andere Akamai machines van Microsoft. Dus van de top 50 servers in dit data-center van Microsoft draaiden er 10 juli 2003 maar liefst 40 onder Linux. Een recentere Netcraft tabel geeft ongeveer 50-50 aan. Verder blijkt dit al oud nieuws te zijn, met vermeldingen van 2001.
Al
met kalkpoten.