Патчкорд

Gian Paolo рассуждает о будущем CLI, как о способе общения с API, т.е. прикладной частью над общим функционалом который доступен многими другими средствами. Во многом, наверное, так есть и сейчас, только API скрыт от глаз администратора (пока) и предстаёт всё время в разных формах SNMP, CLI или GUI. Но вот кажется мне, что прозорливые вендоры, наученные горьким опытом сисадминов-параноиков оставят CLI как отдельную часть ещё очень-очень надолго, чтобы в случае краха всего можно было хоть что-то сделать.

Не знаю насколько это поможет понять как квантовые компьютеры работают, но уровни проходить забавно и увлекательно. Статья на N+1.

Ходил сегодня целый день по магазинам, обновлял домашний компьютер. Прикупил процессор Intel Pentium G4600. Пришёл домой включил телевизор и стал смотреть про то что во всех процессорах Intel за последние 10 лет есть баг, позволяющий получить доступ к ядру ОС. Ну что ж, подумал я, надеюсь, моё приобритение как минимум лет 5 мне послужит. Подробностей пока нет, патчи которые выпущены изолируют (что там было до этого? обычная защита доступа к чужой странице/области памяти?) ту часть ядра памяти которая доступна в непривелегированном режиме (наверное) от пользовательского процесса. Все сокрушаются что это потеря в производительности. В общем, подробностей мало, катастрофически мало, но наверняка они скоро появятся с разбором от настоящих специалистов. С другой стороны многие способы ускорения это хаки, иногда грязные, т.е. система где виртуальное адресное пространство приложения работает в виртуальном адресном пространстве ОС, которая в свою очередь работает в виртуальном адресном пространстве гипервизора, который работает в виртуальном адресном пространстве процессора и всё это сверху на каждом уровне замазано виртуальными страницами не может работать быстро, хотя я может и ошибаюсь. Сети к этому же приближаются, оверлейные туннели в туннелях сверху MPLS на q-in-q, в общем если найдут баг в основе... Второй момент - баг наверное не такой легковоспроизводимый если на него 10 лет не могли наткнуться. Как минимум даже в данной ситуации кто-то должен выполнить код в системе чтобы его воспроизвести, гигиена безопасности поможет. Я на это надеюсь, потому что процессоры Intel просто везде, включая сетевое оборудование тоже, и встраиваемые устройства и пресловутый IoT, так что это в самом деле не очень весело. А ещё процессоры очень сложные штуки, от физики до программирования - просто программирование там выливается в набор триггеров и логических элементов завязанных с обычными микрокодами. И то что багу 10 лет немного приоткрывает нам тот факт, что проектирование процессоров не многим отличается от проектирование программ например. Набор готовых библиотек собирается вместе внедряется новый функционал не много, и получается новая модель. Вот только рефакторинг дорого обходится, очень. Отладка то же дорого, а вот количество ошибок, наверняка, не меньше и то что мы о них узнаём достаточно редко - нам просто везёт.

Никто не делает уж очень большой тайны из того какое оборудование стоит в сети. Абоненту изнутри это видно (как минимум вендора) по MAC адресам. Что-то видно в трассировке, обычно скорость порта - потому что так удобнее администрировать. Что-то видно на других публичных технических ресурасах, например, в базе RIPE: route: 109.165.96.0/19 origin: AS12389 descr: BRAS Huawei ME60 (128kusers) mnt-by: ROSTELECOM-MNT mnt-by: ROSTOV-TELEGRAF-MNT created: 2017-12-19T08:31:02Z last-modified: 2017-12-19T08:31:02Z source: RIPE Вот такие красавцы Huawei ME60 стоят у Ростелекома в Ростове, а может и не только там.

А вот и статистика от bgp4_table за год и для IPv6. Около 60000 тысяч и около 10000 префиксов - рост в каждой из таблиц, соответственно. Темпы увеличения на уровне прошлого года.

​Ровно один час в году, когда даже торренты перестают качаться :). Но при этом из сети никто не выходит и свои CPE не выключает - просто отворачиваются президента посмотреть, традиция. С новым 2018 годом!

Про vim взвешенно и не фанатично на hexlet.io. Если хочется стимулировать себя к изучению, чтобы всё же понять почему его везде встраивают, можно начать с установки режима vi прямо в bash: set -o vi прямо на рабочем сервере :) Тогда к концу новогодних праздников волей-неволей, а придётся чему-то научиться.

Минкомсвязь говорит, что в новые СНиП теперь заложены требования под интернет в домах - места под установку оборудования на этажах, рекомендуемая скорость проектируемой сети не менее 100Мбит/с. Надеюсь это поможет избавиться хотя бы в будущем от 5 трубостоек в подъезде для каждого оператора в доме и 10 типов ящиков в самых неожиданных местах на лестничных пролётах?

Артём Кондратенко рассказывает про то как ломается Cisco IOS на 34 Chaos Communication Congress. Видео порядка 45 минут. То же можно прочитать в его блоге. Это не про сети, а про программирование. Результат - рабочий эксплоит который позволяет или уронить устройство на Cisco IOS или зайти в режиме максимальных привилегий. Основной посыл - если вы не можете обновиться, например, производитель уже не поддерживает вашу версию - вы в опасности, остальное полумеры. И да, сетевикам тоже надо следить за CVE.

​Швеция скорее всего в следующем году перекроет 50% проникновения по IPv6. Хотел бы я так же похвалиться, но пока итоги этого года на уровне прошлого и позапрошлого, хотя вот в поза-позапрошлом всё было вполне радужно :) но это бизнес и ничего личного. На графике весь внешний трафик IPv6 для нашей сети, и поверьте мне, там несколько десятков человек - все которые хотели.

Развитие любой технологии в конечном счёте приводит к её упрощению до уровня: "Далее, Далее, Готово". Да остаются подводные камни, остаются уникальные случаи, но для подавляющего большинства этого достаточно. Если в новом году задумали сделать свою точку обмена трафиком - выбираем панельку, генератор конфигов и бежим искать клиентов ;) Если серьёзно, то два-три пиринговых стыка, несколько апстримов волей не волей заставят что-то начать автоматизировать и структурировать, иначе просто не успеешь за обновлениями правил фильтрации или банально запутаешься.

Про od, hexdump, xxd и iconv, если у вас под рукой нет распечатанной ASCII таблицы. У меня раньше была ;)

Что откопали! Не благодарите)) Подборка справочных плакатов для специалистов по сетям (СКС, ВОЛС, WiFi) http://www.voipclub.ru/2017/12/spravochnye-plakati-dlia-spetcialistov-po-setiam-SKS-VOLS-WiFi.html?m=1

А вот это DDoS как он выглядит во flow (звёздочкой я закрыл адрес назначения - он один и тот же). Microsoft LDAP amplificators бывают? Time Source Dest P Bytes 16:27:33 105.255.142.162:389 *:27645 17 192000 16:27:33 189.82.230.252:389 *:58957 17 190976 16:27:33 49.248.219.20:389 *:35451 17 192000 16:27:33 137.74.48.21:389 *:27645 17 384000 16:27:33 37.208.53.10:389 *:35451 17 190976 16:27:33 31.45.233.178:389 *:35451 17 192000 16:27:33 190.85.181.156:389 *:27645 17 192000 16:27:33 178.88.68.36:389 *:35451 17 192000 16:27:33 93.108.9.70:389 *:44319 17 192000 ... и ещё много-много-много адресов источников Результат плюс 6Гбит/c со стороны апстримов которые не улетели дальше пограничного маршрутизатора - абонент не заметил, полосы хватило. Остался вопрос что с этим делать, а главное зачем обычного пользователя в своей квартире атаковать таким количеством трафика.

Безусловно, в это стоит поиграть. Выполняем ssh yourname@sshtron.zachlatta.com, после чего пару минут привыкаем к управлению и понимаем какого цвета твой байк. Можно завести свою вселенную если захочется ;)

Строить свою работу только вокруг доступа к консоли, наверное, не самый верный путь. А строить при этом совместную работу да ещё с теми операторами кому нельзя доверять, совсем сложно. Но когда это совсем надо, то в некоторых случаях есть выход. Если набор действий сильно ограничен можно сделать текстовое меню где выбор команд осуществляется из заранее заданных. В качестве примера - терминал сервер из Cisco маршрутизатора. Или, чтобы операторы тех.поддержки смогли зайти на PPPoE концентратор оценить общую работоспособность сего устройства. Главное не забыть срезать права по максимуму privilege exec level и меню поставить в автозапуск username [operator] autocommand menu [menuname]. После чего заняться автоматизацией и отображения требуемых параметров в удобном для человека виде.

​Когда живёшь не так далеко от стартовой площадки можно наслаждаться необычными видами облаков. А дело-то серьёзное. За фото спасибо моим любимым коллегам.

Когда следишь за новым интересным сервисом и хочется каждой новинкой тут же поделиться. Вот опять, PowerDNS сделал интерфейс к maxmind. Остальные фишки можно посмотреть в описании. И что самое приятное, если использовать PowerDNS то делать подобные интерфейсы можно достаточно просто самому, используя Lua Records. З.Ы. Постараюсь этим больше не восхищаться публично :)

Понятным английским языком про то как начинает работу IKE - буквально обзор первых четырёх пакетов. Подробности обещают потом, надеюсь не слишком усложняя в сути, чтобы наконец-то разобраться поглубже.

Видно же когда лето, а когда оно само охлаждается. И это юг России. Что там в Калифорниях происходит со счетами на электричество, страшно представить.