`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Skype: мы ждем перемен?

+44
голоса

Примерно год назад Microsoft объявила о приобретении Skype. Нельзя сказать, что за прошедшее время популярной VoIP-системы коснулись какие-то кардинальные изменения. Ну, появилась бета клиентской программы для Windows Phone – и, оказалось, что доводить ее, похоже, нужно вместе с платформой. Но годовщина сделки принесла кое-что действительно интересное.

Первым на это обратил внимание хакер (так он сам себя позиционирует) Костя Корчинский: если раньше в инфраструктуре Skype обычно насчитывалось до 48 тыс так называемых суперузлов, то с месяц назад их число стабилизировалось на отметке в 10 тыс без видимого ущерба для работы всей системы. Более того, выяснилось, что все они работают на базе одного и того же дистрибутива Linux и хостятся у самой Microsoft.

Инфраструктура Skype, как традиционной P2P-системы, изначально задумана динамичной. Суперузлы назначались из обычных клиентских машин, обладающих некоторыми принципиальными характеристиками: публичным IP, широким каналом, достаточными вычислительными ресурсами. В их задачу входит поддержка коммуникаций для клиентов, находящихся за NAT и брандмауэрами, которые в бессерверной архитектуре иначе невозможны (а единственный центральный компонент Skype обеспечивает только аутентификацию). Теперь суперузлы фактически фиксированы и принадлежат Microsoft.

Естественно, это дало повод для очередной порции подозрений на тему Большого брата. Но в их основе лежит ошибочное представление, что суперузлы играют роль прокси, т.е. через них прокачивается весь трафик. Оказывается, нет. Суперузлы нужны именно для установления соединения между клиентами, после чего последние будут общаться напрямую. Представитель Microsoft, подтвердивший факт указанных изменений сайту Ars Technika, специально акцентировал на этом внимание. А основная цель по его словам: улучшение производительности, надежности, масштабируемости.

Предположу, что потребность в такой перестройке инфраструктуры не в последнюю роль обусловлена известными ограничениями IPv4. Количество пользователей Skype продолжает расти, актуальных данных не нашел, но согласно Википедии полмиллиарда зарегистрированных пользователей было еще в 2009 г. Обратите также внимание на скачкообразный рост трафика в 2010 г., скорее всего это следствие массового подключения мобильных клиентов. В конце апреля 2012 г. число одновременных подключений к Skype перевалило за 40 млн, тогда как почти весь 2011 г. оно держалось у отметки 30 млн. Автор блога предполагает, что скачок связан именно со Skype для Windows Phone.

Мобильные же пользователи – это гарантированно NAT. Также NAT применяется практически в каждом офисе и наверняка уже в большинстве домохозяйств. А для суперузлов, напомню, нужны клиентские ПК с реальными маршрутизируемыми IP-адресами и их количество, очевидно, не растет. С массовым внедрением IPv6 проблема, конечно, отпала бы сама собой, но новый протокол очень медленно пробивает себе дорогу, так что полагаться на него пока что нельзя. Может быть скорый «запуск» IPv6 ускорит процесс.

Но как известно, «даже если вы параноик, это не значит, что за вами не следят». Даже если суперузлы не маршрутизируют полезный трафик Skype, централизованное управление ими все равно позволяет собирать приватную информацию, к примеру, о том, кто с кем когда общался. А перехватывать трафик Skype можно и без владения суперузлами – соответствующий метод был запатентован Microsoft еще задолго до приобретения Skype.

+44
голоса

Напечатать Отправить другу

Читайте также

не знаю, почему это новость, точно помню - сразу же после объявления о покупке официоз от Майкрософт сообщал также о изменении инфраструктуры (частично результатом экспериментов первой фазы был немалый сбой из-за проблемы с узлами-протоколом), пресс-сообщение можно нагуглить, где-то было.

к вопросу о параное:

не знаю как сейчас, но год назад служебный трафик (рукопожания, маршрутизация, чаты) вполне удачно взламывался, (в отличие от голоса, тут подтверждений нет, что не гарантирует, конечно - http://www.enrupt.com/, код где-то в MySQL бд user'а 'cryptolib'@'localhost' :)

потому, с одной стороны, для целей безапасности - естественно агреггировать все на свои сервера, и не заморачиваться ловушками, с другой стороны - Майкрософт ведь нужно выполнять и обещания по обеспечению антитеррорестических и прочих угроз перед органами стран присутвия,

так что таки да, выживают только параноики:)

да вроде ничего похожего официально не объявляли. а траблы были связаны с сервером аутентификации.

"Under normal circumstances, there are a large number of supernodes available. Unfortunately, today, many of them were taken offline by a problem affecting some versions of Skype. ... What are we doing to help? Our engineers are creating new ‘mega-supernodes’ as fast as they can, which should gradually return things to normal."
http://blogs.skype.com/en/2010/12/skype_downtime_today.html
- инженерное решение по обеспечению контроля очевидное. И что-то точно было в блоге Майрософт, но навскидку в кешах не нашел.

Тут реально более интересный вопрос, откуда дровишки про реализацию и бенчмарки: новость grsecurity Microsoft/Skype run grsecurity on 10,000 supernodes (May 1 2012) изложена со слов хакера, детали пошли плясать со ссылкой на grsec. получается, grsec ссылается на хакера https://grsecurity.net/news.php#skype , а хакер на очки ночного видения.

да, grsec сейчас не обязательно патч ванилла-ядра, но в наши времена виртуализации и прочих мультиплексорных чудес, возможность просканировать наличие патча и количество боксов свидетельсвует скорее всего о технической лаже (тех кто ставил-разрабатывал - arstechnica как бы намекает на это, с предожением глянуть внимательнее в SkypeKit, я так понимаю октября 2011 - и намек сильный).
MS подтвердила только, что таки да - все ради пользователей.

Все, конечно, выглядить менее потешно, чем палп-фикшен от бойцов Лаборатории Касперского о Duqu, но факт имхо таков: пока что можно с некоторой вероятностью говорить только об изменении алгоритма маршрутизации, и создании централизованной инфраструктуры супер-нод. Но и этого - достаточно.

"бенчмарки" явно косвенные:
- было 30+ млн одновременных подключений при 40+ тыс суперузлов ~ 800 на каждый
- стало 40+ млн при 10 тыс. суперузлов ~ 4000 на каждый

цифр косвенных, теоретических много, и подробности как именно не позволить случайному хосту стать супернодой и т.д. - для достоверности. ответов про имхо немногое новое нет: как получена цифра 10e4, и пробита операционка. Хотя ответы обещаны. Что поделаешь, хакерам тоже нужен разогрев и популярность, претенций нет и быть не может:)

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT