11 febrero 2013

El curioso caso de Google y Jazztel

Como muchos otros hallazgos, el que voy a relatar hoy sucedió por casualidad. Estaba configurando una nueva máquina y como probablemente muchos de vosotros, la prueba definitiva de conectividad la hice contra www.google.com (sería genial que algún día Google publicase las estadísticas de tráfico ICMP contra www.google.com ...) 

Apunté el comando ping contra www.google.com y obtuve una respuesta tal que así:

$ ping www.google.com
PING www.google.com (212.106.221.21) 56(84) bytes of data.
64 bytes from 21.221.106.212.dynamic.jazztel.es (212.106.221.21): icmp_req=1 ttl=128 time=19.9 ms
64 bytes from 21.221.106.212.dynamic.jazztel.es (212.106.221.21): icmp_req=2 ttl=128 time=19.0 ms
64 bytes from 21.221.106.212.dynamic.jazztel.es (212.106.221.21): icmp_req=3 ttl=128 time=19.0 ms
64 bytes from 21.221.106.212.dynamic.jazztel.es (212.106.221.21): icmp_req=4 ttl=128 time=18.9 ms

¿Disculpa? ¿ dynamic.jazztel.es ? ¿Cómo es esto posible?

Movido por la curiosidad hice la resolución DNS completa:

$ nslookup www.google.com
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   www.google.com
Address: 212.106.221.26
Name:   www.google.com
Address: 212.106.221.25
Name:   www.google.com
Address: 212.106.221.24
Name:   www.google.com
Address: 212.106.221.23
Name:   www.google.com
Address: 212.106.221.27
Name:   www.google.com
Address: 212.106.221.21
Name:   www.google.com
Address: 212.106.221.22
Name:   www.google.com
Address: 212.106.221.20

Nótese que siempre uso el servidor DNS de Google (8.8.8.8) por lo que en teoría la respuesta ha de ser mucho más fiable.

Comprobando esas IPs 'de google' vía MaxMind se puede ver que todas las direcciones IPs son de Jazztel.

Decidí cambiar de servidor DNS, en este caso usé los de OpenDNS, y si bien en el caso de www.google.com la respuesta parecía ser satisfactoria, estuve probando varios servicios de google y obtuve en varias ocasiones la siguiente respuesta de OpenDNS

$ nslookup www.youtube.com 208.67.222.222
Server:         208.67.222.222
Address:        208.67.222.222#53

Non-authoritative answer:
www.youtube.com canonical name = youtube-ui.l.google.com.
Name:   youtube-ui.l.google.com
Address: 212.106.221.26
Name:   youtube-ui.l.google.com
Address: 212.106.221.23
Name:   youtube-ui.l.google.com
Address: 212.106.221.20
Name:   youtube-ui.l.google.com
Address: 212.106.221.27
Name:   youtube-ui.l.google.com
Address: 212.106.221.24
Name:   youtube-ui.l.google.com
Address: 212.106.221.22
Name:   youtube-ui.l.google.com
Address: 212.106.221.25
Name:   youtube-ui.l.google.com
Address: 212.106.221.21

¡¡ Otra vez las IPs de Jazztel !!

En este punto, lo primero que quise averiguar es si era 'mi' problema o el problema de mas gente. Googleando las direcciones IPs extrañas, encontré este post de bandaancha en el que, si bien el tema que se tocaba no era el mismo, un usuario pasteaba un lookup de www.google.com y obtenía las mismas direcciones IP extrañas que yo.

Así mismo encontré tweets de @Germinen donde mencionaba el mismo tema. Me puse en contacto con el vía twitter y estaba en las mismas que yo.

Comenté el asunto en twitter y encontré a varias personas que obtenían esas mismas respuestas cuando resolvían google.com (la mayoría clientes de Jazztel)

En este punto uno piensa en las posibles 'contramedidas' que, en caso de que esto fuese un ataque, le hubiesen podido salvar: Búsquedas de Google bajo SSL

Es más que conveniente tenerlas activadas. Todas las IPs 'extrañas' tienen un servicio https en el puerto 443, me bajé el certificado que devolvían en la comunicación empleando:

$ openssl s_client -connect 212.106.221.24:443

y ¡ Sorpresa ! El certificado que me devolvía era perfectamente válido y de Google. También pueden hacer verificaciones de certificados empleando el servicio SSL Checker de sslshopper.

Si hacemos la verificación para esa IP:


Podemos ver que es perfectamente 'legal'

Entonces, o bien esa máquina tiene la clave privada del certificado (poco probable) o está redirigiendo la petición hacia alguna máquina de Google.

¿Y qué esta pasando? Bien, aquí va la solución más plausible, aunque deja varias dudas en el aire. De entrada, casi podemos descartar que alguien esté haciendo 'envenenamiento' de DNS o algún tipo de hijack, uno puede pensar que es cosa de Jazztel, pero -y aquí va la parte que mas dudas genera- resulta que yo NO soy cliente de Jazztel, y mi ISP no tiene ninguna relación con el.

La pista mas realista la puso sobre la mesa @Guillermo quien me pasó un enlace hacia la 'Google Global Cache' del que cito:

'User resolves content_host.google.com. (example only)

If the ISP DNS doesn’t already know the IP address, it queries Google DNS for the IP address of content_host.google.com.

Google DNS server knows that this ISP has a Google Global Cache node that should be able to service the request, so it replies with that IP address
'

Así que:

1- Asumimos que Jazztel tiene nodos de la Google Global Cache 

2- Damos por hecho que, pese a la fisonomía de las IPs 
(dynamic.jazztel.es), no son ADSLs de usuarios

3- Por algún motivo ¿mala configuración? Google está redireccionándome a mi, que no soy de Jazztel hacia los nodos de dicha compañía

Aunque claro, salvo que alguien confirme por parte de Jazztel eso, sigue siendo todo un tanto oscuro

PD: ¡¡ Muchas gracias a toda la gente que colaboró conmigo en Twitter dando pistas y haciendo pruebas !!

21 comments :

Pirri dijo...

¿Cual es tu proveedor de ADSL? Jazztel vende su ADSL en modo marca blanca a través de otros proveedores.

errepunto dijo...

Hola.

¡Que casualidad! Justo este viernes me di cuenta de lo mismo haciendo un tracert desde windows, porque la conexión a internet nos iba un poco mal en la oficina. Nosotros tenemos una linea ONO de fibra y los DNS de google, así que también me dejó un tanto sorprendido.

Ahora la duda me correo, ¡a ver si alguien averigua algo!


Saludos.

Calario dijo...

Jazztel tiene algunos números de móvil que sirven de pasarela para hacer llamadabs internacionales sin sobre coste (todo esto con la bendición de la CMT) ¿Cuál es el negocio de Jazztel? Sencillo: como son un operador de móvil minoritario, casi todas las llamadas que reciben sus números "pasarela" se hacen desde otras redes, lo que significa ingresos por interconexión.


Desconozco si la redirección del tráfico a las cache de Jazztel también les reporta algún tipo de beneficio económico y si así fuera, habría que analizar si se hace de acuerdo con Google o no, pero podría haber un móvil económico en este asunto.

Román Ramírez dijo...

Los acuerdos de Peering entiendo que los conocéis. No sería el primer caso en que, una organización, cierra un acuerdo de intercambio de tráfico con otra para evitar los costosos gastos del tránsito internacional.


Si Jazztel y Google tienen un peering, además hay un nodo de la CDN de google "cercano" y evitas consumir tráfico internacional... es bueno para todos, ¿no?


Al usuario le llegará el contenido más rápido y Jazztel y Google se ahorrarán dinero.

yadox dijo...

La misma casualidad. El viernes probando la conexión hice un tracert y me encontre con la misma pregunta... Qué tiene que ver jazztel con google? Mi conexión era vodafone.

falvarez dijo...

Pues yo soy cliente de Jazztel, acabo de probar justo ahora y no me devuelve esas IPs de Jazztel. Curiosamente, las que me devuelve tienen una latencia más alta. :?

Mikecr dijo...

Saludos desde Costa Rica. Buena entrega Yago, en mi ISP sucede lo mismo.Una referencia http://ggcadmin.google.com/ggc

D. Rubia dijo...

Yo tengo jazztel y me pasa lo mismo...

C:\Users\Dani>ping www.google.es

Haciendo ping a www.google.es [212.106.221.23] con 32 bytes de datos:
Respuesta desde 212.106.221.23: bytes=32 tiempo=45ms TTL=58
Respuesta desde 212.106.221.23: bytes=32 tiempo=45ms TTL=58
Respuesta desde 212.106.221.23: bytes=32 tiempo=45ms TTL=58

Estadísticas de ping para 212.106.221.23:
Paquetes: enviados = 3, recibidos = 3, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 45ms, Máximo = 45ms, Media = 45ms

ping -a 212.106.221.23

Haciendo ping a 23.221.106.212.dynamic.jazztel.es [212.106.221.23] con 32 bytes
de datos:
Respuesta desde 212.106.221.23: bytes=32 tiempo=46ms TTL=58
Respuesta desde 212.106.221.23: bytes=32 tiempo=45ms TTL=58
Respuesta desde 212.106.221.23: bytes=32 tiempo=45ms TTL=58

Estadísticas de ping para 212.106.221.23:
Paquetes: enviados = 3, recibidos = 3, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 45ms, Máximo = 46ms, Media = 45ms

Otro del Sur dijo...

Me pasa cómo falvarez... soy cliente de Jazztel, en la ciudad de las tres maravillas (Granada) y me resuelve correctamente.
ping www.google.com
Haciendo ping a www.google.com [173.194.41.18] con 32 bytes de datos:
Respuesta desde 173.194.41.18: bytes=32 tiempo=73ms TTL=56
....
Tal vez sólo ocurra en las grandes ciudades...
Un saludo e interesante artículo.

Pepe dijo...

Yo soy cliente de Jazztel, uso el resolver de Jazztel y me devuelve una IP de Google:

C:\Users\PepeCom1>nslookup google.es
Servidor: 65.1.216.87.static.jazztel.es
Address: 87.216.1.65

Respuesta no autoritativa:
Nombre: google.es
Addresses: 2a00:1450:4003:802::101f
173.194.34.248
173.194.34.247


Esto si es extraño.



Pero lo que comentais en el artículo no me parece nada extraño. Mirad webs como ustream.com u otras con una carga de tráfico muy elevado. Está claro que Jazztel cierra acuerdos para que monte espejos (CDN) y con Google habrá sido más de lo mismo. No es algo que deberia preocuparnos.


Un saludo.

car dijo...

C:\Users\carx>ping www.google.com

Haciendo ping a www.google.com [212.106.221.21] con 32 bytes de datos:

Respuesta desde 212.106.221.21: bytes=32 tiempo=23ms TTL=55

Respuesta desde 212.106.221.21: bytes=32 tiempo=22ms TTL=56

Respuesta desde 212.106.221.21: bytes=32 tiempo=22ms TTL=55

Respuesta desde 212.106.221.21: bytes=32 tiempo=22ms TTL=55

Estadísticas de ping para 212.106.221.21:

Paquetes: enviados = 4, recibidos = 4, perdidos = 0

(0% perdidos),

Tiempos aproximados de ida y vuelta en milisegundos:

Mínimo = 22ms, Máximo = 23ms, Media = 22ms



Mi ISP es ONO ¿Como puede estar pasando esto?, acabo de leer el articulo y he hecho las pruebas pertinentes y BOMM¡¡ IP's de Jazztel.

Yago Jesus dijo...

Lo del certificado te aparece porque estás 'tirando' contra la IP, si editas el fichero hosts y haces que www.google.com apunte a esa IP y luego te conectas por SSL verás que el certificado si es válido

javacsta dijo...

OK. Efectivamente, todo parece "legal".

Pero, ¿no podria Jazztel registrar y resolver esas ips con otro nombre de dominio sin que salga x.x.x.x.dynamic.jazztel.es ?, al menos dejarian de crear suspicacias y paranoias.

Saludos y gracias por la info.

Alex dijo...

Leí esta entrada el día que se publicó, y hoy, mirando las salidas de netstat en mi servidor me he dado cuenta que también aparece Jazztel en algunas conexiones:

77.110.76.188.dynamic.jazztel.es:51030 ESTABLISHED 2824/nginx: worker

Pepe dijo...

Si un usuario de Jazztel entra a tu servidor, normal que se refleje. Esa es una IP residencial.

Pepe dijo...

Parece ser que tanto Jazztel como Telefónica con "rima-tde.net" usa una plantilla de zonas de DNS inverso para "ahorrar tiempo" (Yo al menos, editar una zona DNS en mi servidor es un coñazo, como para ponerle DNS inverso a cada IP). Al menos identifican las IPs... No como Vodafone que sigue usando comunitel y encima la IP no apunta al DNS inverso... O como algunas de las operadoras móviles (Yoigo y Orange no tiene DNS inverso).

Si es raro es que asigne IPs de uso dinámico. Si entrais por ejemplo a www.tnt.com desde una red de Jazztel con las DNS de la operadora, la IP de esa web es también de Jazztel. Yo tengo Jazztel y uso las DNS de Jazztel y nslookup me escupe esto:

C:\Users\PepeCom1>nslookup www.tnt.com
Servidor: 65.1.216.87.static.jazztel.es
Address: 87.216.1.65

Respuesta no autoritativa:
Nombre: a1939.g.akamai.net
Addresses: 212.106.219.136
212.106.219.139
Aliases: www.tnt.com
www.tnt.com.edgesuite.net
www.tnt.com.edgesuite.net.globalredir.akadns.net

RDNS: 139.219.106.212.static.jazztel.es
136.219.106.212.static.jazztel.es


Parece ser que 212.106.x los usa Jazztel para alojamiento web (La web de Jazztel también usa ese rango) y en el caso de TNT, seguro que tiene un CDN contratado con la operadora... Y me juego cualquier cosa a que con Google tiene el mismo trato de cachear las webs.

Alex dijo...

Ah, no lo sabía. Muchas gracias.

javcasta dijo...

Será definir dns inverso para 7 o 10 ips a lo sumo que estan usando para google

212.106.221.20
212.106.221.21
212.106.221.22
212.106.221.23
212.106.221.24
212.106.221.25
212.106.221.26
212.106.221.27


Estoy seguro que seria lo ideal para la imagen corporativa de google ... aunque puede que al "gigante" le de igual ...


Y encima, Jazztel tiene "antecedentes" de filtrar las busquedas de los usuarios:

http://www.sociedadtecnologica.com/jazztel-filtra-nuestras-busquedas-para-mandarnos-sms.html

¿El zorro cuidando el gallinero? :-)

Salu2

Nobody dijo...

Había notado eso antes de que publicaras este post. Ahora es tan divertido, que hace incluso conexiones a estáticas de jazztel cuando visito páginas aparentemente no relacionadas.. Como por ejemplo Reuters. Será el olor de las nubes?

Nobody dijo...

Por si le sirve a alguien:

8.219.106.212.static.jazztel.es > 212.106.219.8
97.219.106.212.static.jazztel.es > 212.106.219.97
88.219.106.212.static.jazztel.es > 212.106.219.88

Elena dijo...

¡Hola! He acabado en esta entrada porque me acaba de llegar un correo advirtiéndome de que se había intentado iniciar mi sesión de google desde otra IP y decidí buscar información sobre esto. Yo no entiendo de informática ni muchísimo menos, así que todo lo que habéis ido poniendo me suena un poco a chino. Sí soy cliente de Jazztel. Me sería de muchísima ayuda que alguien me resumiera con un lenguaje sencillo de qué se trata esto y si hay alguna manera de pararlo con algún tipo de barrera. Muchísimas gracias!