俺的UUNET朋友们 -胡司令- (一) Routergod上登载摇滚歌星Courtney Love搞笑解答互 联网广域路由协议BGP,提到90年代WorldCom NOC(网络操控中 心),不禁令俺想起一段往事…… 网络这行,多靠经验积累。俺刚来加拿大时,深夜拨号上网找ISP(上网服 务公司)的茬出了名。于是有一天小橄榄枝伸了过来,俺不假思索,一夜之间从打 骚扰电话的顾客摇身变成接骚扰电话的雇员:俺在加拿大有了第一份工作。 电话技术支持是一门艺术,也是一个挑战;而隔着电话帮大爷、主妇查家庭电 脑无法上网的毛病,那真是个噩梦无底洞!但俺饶有兴趣,边干边玩。炉火纯青时 ,9分钟之内可搞定任何一位挑剔的男女老少顾客的电话。 俺能从低层摸爬上来,则凭了一段运气:90年代末在传奇般的UUNet Canada鼎盛期最后两年混过。那段好时光,大大缩短了俺的经验积累过程。 人生,大概就是那样,充满了岔路和捷径。 说起UUNet,它代表UNIX-to-UNIX Network,是历 史上首家商业Internet(互联网)服务公司,是由互联网前身ARPAn et的开发者之一Rick Adams在1987年创建的。 鼎盛时期UUNET是(MCI )WorldCom旗下的全球最大骨干网 供应商,曾经改写“六大金刚”(指90年代的骨干网公司MCI、SPRINT 、UUNET、ANS、PSI和AGIS)的历史,客户包括美国在线AOL( 时代华纳)这样的大ISP。 UUNET自己的线路称为AlterNet,比如traceroute的 时候常常会看到很多节点名字是*.alter.net。 UUNET不为一般老百姓所熟知,因为它是上游的批发商,专营互联网的主 干线(backbone);经营个人上网的ISP一般都是较下游的零售商,如 AOL以及俺的第一个雇主。当年克林顿访问UUNET总部,称赞它为网络经济 的快速膨胀爆炸中心,说的就是它在互联网起源发展中的头功。 俺当年混过的UUNET Canada,成立于1991年,创建人是原多 伦多大学电脑系硕士生、电邮系统ZMailer和防火墙Borderware 的作者Rayan Zachariassen。他自任执行副总裁。 Rayan同网络时代技术出身的大部份传奇人物一样,也十分低调。他是加 拿大最早的全国性研究网络CA*net及其NOC的幕后系统设计师,世界上几个 最大邮件系统的鼻祖,以及多家互联网先驱公司的创始人。 90年代,UUNET Canada直接掌控横贯加拿大东西部的唯一一条 45Mbps骨干线,外加三条冗余配置的连入UUNET在美国和国际Alte rNet网络的DS-3干线,分别从温哥华、芝加哥和满地可接入。 2000年之前,UUNET Canada只有20%由美国UUNET Technologies控股。所以那时是好日子,500名员工在职责范围上 ,享有极大的自由度和权限……对俺来讲则是天赐的学习和实践良机。 (二) 从第一家ISP辞职后,为了糊口,去了中城央街一家10人小公司。干了一 个月,老板便要俺开路。正巧在那前一天,俺也收到UUNET的聘书,所以算是 互相解放了。记得那是1998年9月底,加拿大的感恩节前夕。 UUNET加拿大公司的骨干,除了多伦多大学的人马,很多也出自有名的滑 铁卢大学数学电脑专业。UUNET这家网络商中的网络商,为俺技术上的长进提 供了一个广阔天地。俺后来跳到电信、咨询等行业,回过头看,常常为自己这段U UNET经历感到庆幸:在最好的互联网公司的鼎盛时期同最有才华的顶尖高手一 起混,让俺此生受益不尽。 UUNET NOC里的同事都是从小就在本地ISP里混出来的,在网络、 UNIX方面都有自己的一两手绝活,其中一些“时髦颓废”的小年轻表面看着是 蓬客,暗中其实是黑客--多年后才知道某某某原来是LV“黑帽”年会上的知名 人士。这些抢注了www.net和mail.net等域名的多伦多青年,上班都 是耳环唇环鼻环和纹身刺青,还有令人眼花缭乱的发式染色。 虽然平时看起来愤世嫉俗,全无正经,但他们在NOC工作起来都非常牛B, 动嘴动手动脑,反应总比客户快几拍。电话中对方一般都是单位的主要网管,技术 过硬,能让他们这些人常年服气,乃是UUNET常盛不衰的原因。同样,有些客 户老喜欢来问一些范围外的疑难问题,譬如如何配置Sendmail,俺们当然 一概谢绝回答。超过半小时的咨询是要收费的。 NOC最让人留恋的地方是:无论何时,同事们都毫无保留地互相支持帮助, 有的是猩猩惜猩猩的义气,绝无半点同行相轻之气。俺是那里唯一的外国移民,但 大夥看上的是俺毫不逊色的NOC工作能力,他们绝不打听俺的背景。跟美国人不 同,俺的多伦多朋友们从不惊诧于俺的那点英语口音,就像他们不会取笑魁北克或 纽芬兰人的英语口音一样。俺想,这正是住在多元化国家的国际化都市的优点。 UUNET Canada当时最大的吸引力之一,就是NOC工作人员拥有 所有AlterNet骨干路由器的终极权限密码,包括加拿大和美国本土的。想 去UUNET工作的人,多半都已经整明白了用户电脑和服务器各自如何工作的, 还想进一步知道它们之间是怎么路由通讯的。这种权力,使俺们如虎添翼,有种高 空超人的感觉。不但能监控全北美大陆任何节点的数据交通情况,甚至还能把手伸 到纽约、芝加哥、旧金山、圣荷西等地,远程排除路由故障。 大夥一般都喜欢下午班,一半时间可以跟踪处理公司客户的业务,另一半时间 则可以按自己的喜好做些事。夜班都是solo,独自一人守护着横贯加拿大的互 联网干线,成百个路由交换设备,还有影响上百万用户的关键域名服务器,心里确 实有某种神圣感。但是,自由和权力总有代价。彻底screw-up的时候也是 很可怕的。 有一天,俺自信心急剧膨胀,想独自解决满地可和多伦多之间的BGP稳定性 问题,结果是搞错AS号,当了一回asshole;引起的BGP路由震荡,把 整个安省西南部从互联网上抹去宕掉了5分钟。幸好当时是晚饭时分,不过前后台 电话还是跟开锅似的。俺当时连汗都下来了,心想就这么卷铺盖走人啦? (三) 在UUNET不仅要全面接触各种广域网协议和操控,互联网服务(mail ,Web,DNS,NNTP)的具体步骤,还有许多别处不太学到的实用技巧和 诀窍,如blind DNS,passive FTP,SSH tunnel forwarding,black holing(null routin g)等。 千禧年之前,与维吉尼亚州Fairfax的总部之间的通电越来越多,对方 的水平和处理方式让同事们觉得是在同一个询问台(helpdesk)打交道。 一种不祥之兆在大夥心里渐渐升起:哪天俺们的good old NOC也会沦 落到“傀儡”的地步呢?……果然,千禧年一过,Bernie领导下的“世界通 讯”决定买下UUNET Canada的全部股份。于是UUNET Cana da充满自由和权限的黄金时代从此一去不返。 自从光纤、宽带服务涌现之后,CogentCo(并购了PSInet), GlobalCrossing,Level3,AboveNet等新的北美T ier-1公司来势凶猛,以租赁电信线路为主(美国本土除外--MCI本身就 是大电信公司)的UUNET的角色和作用越来越往后台靠了,尤其经过“世界通 讯”的丑闻冲击之后更是如此。但它独特的历史作用、遍布全球(除中国大陆比较 弱外)的骨干网络、其雄厚的互联网IP技术底蕴,仍是任何一家公司无法取代的 。 母公司一旦100%控股,事情就开始程序化,以后再难自己说了算。于是, 俺也向其他牛人同事学习,拿了一笔股票金,离开了公司。当时还是网络IT发烧 的年代,心情来不及惆怅,便去了下一个东家。公司骨干先后走掉很多,但好朋友 都记得对方,和在NOC一起工作玩乐的好时光。日后在职场上也互有关照。 若干年后,在UUNET一位旧同事的大力推荐下,俺进了衙门工作。当年, 那哥们先跳槽离开UUNET,有天晚上,俺越权帮他修改BGP路由表,及时帮 他拯救了公司。事后他用替俺写表扬信的方式平息俺们NOC某资深同事的不满。 刚进衙门玩入侵探测,新人一般都很放开手脚,俺也不例外。某晚,探测到一 个极具侵略性的扫描行为,俺当即进行反扫描(现在想想太牛!),发现那是No rth Bay一家小ISP被黑掉的网站。太晚了那边没人上班,但不把它制住 俺实在心不甘。他们的上游服务商是Sprint,当年UUNET的哥们正好在 那里掌管网络生杀大权。俺一个电话打过去,老兄二话不说,用当年对付DoS的 办法,给了个nullroute,就把那个网站给罩死了。 第二天,一种网络新病毒大规模爆发,那个ISP网站也是先期中毒者之一。 从此,单位领导对俺猎犬似的能量刮目相看。 俺知道,这类故事,不会再有第二次。 写到这里,不禁想起宋词一段: 少年侠气,交结五都雄。肝胆洞,毛发耸……… 〔后记〕 规范网上行为的法律已经日渐成熟,牛仔似的攻击和反攻击可能会遭到官司临 头。公共互联网上的(反)扫描,或通过上游ISP把人家的服务器给从互联网上 掐掉,如今大概只有类似RCMP、FBI的特别赦免许可证才能那么做吧。 所以俺说,当初的反扫描实在有点牛;这类故事,不会再有第二次。 不过,制约网络攻击的关键是争取时间。在规范化不强的当年,俺们还是做得 有理有节的: 1)只定点nullroute攻击机器的IP地址,而非攻击一方的整个子 网; 2)保存受害记录的证据,说明攻击机器已受感染并正在到处污染,或者正耗 费服务商网络频宽; 3)给机器的主人打电话留言,发邮件通知,给出一点宽限时间,做到仁至义 尽。 俺不想误导看官:正确的做法应是,通过自己单位的外围防火墙或IPS阻挡 互联网上恶意入侵的机器。