Патчкорд

ISC Stork добрался до своей первой версии. Читаем документацию, ставим и используем по необходимости.

BGP route origin validation на Arista, используя Routinator в Docker поднятом на том же устройстве. Небольшой ликбез по RPKI инструментам и протоколам, потом пошаговая инструкция с примерами.

10 самых заметных отключений Интернет в 2021 году, примерно поровну аварий и управляемых отключений. Навскидку, я вспомнил ещё про OVH. В любом случае, год ещё не кончился и для эпического падения времени более чем достаточно, AWS это подтверждает.

Как работает NTP - попытка охватить всё, от способа синхронизации времени локально, до форматов пакетов. Формулы присутствуют, но не фатально много, а ещё ссылки на оригинальные документы.

Давно я ничего не встречал под GUI да ещё и Windows из полезных утилит. DNS Hammer очень простой инструмент, для тестирования настройки ограничения скорости ответов на DNS серверах. Количество запросов в секунду ограничено в интерфейсе до 500, но и этого в некоторых случаях может хватить, чтобы превратить щит в меч. Про меч DNS Reflection есть на сайте, собственно для того чтобы проверить насколько сервер этому подвержен утилита и создавалась. P.S. У меня съехала вёрстка, хотя это и оригинальное Windows приложение поле отчёта закрывает кнопки старта. Но табуляция работает, поэтому всё-таки можно до нужной кнопки добраться и нажать её по Enter.

WebAssembly в Интернете, статистика за один день 1 сентября 2021, пока исчезающе мало, сотые доли процента, при этом его достаточно чтобы сделать какие-то выводы и анализ. Есть про самые популярные библиотеки, есть про формат файлов, статистику используемых инструкций. Очень много внимания уделяется размеру приложений, сжатию и оптимизации компиляции и что многое из всего что попалось это не использует. Отчёт обещают сделать регулярным и может быть мы увидим воочию широкое распространение WebAssembly, а может и нет.

Запись вебинара "MSK-IX для сетей и облаков" для приятного вечернего пятничного просмотра, пока всё ещё лучше не собираться вживую. Неожиданно, уютный формат на диванчиках в компании инженеров - много новостей за год с интересными техническими деталями. Я знаю что коллеги из MSK-IX читают, поэтому выскажу осторожное пожелание в таком виде, хотя бы, несколько раз за год собираться. Запись доклада Салам Ямут, почему-то в этом видео нет, но всё что важно знать - то что Netflix можно поставить рядом с GGC и Akamai в вашей серверной.

plag (prefix-list aggregator) https://gitlab.com/qratorlabs/plag Мой коллега, Александр Зубков, написал инструмент для эффективного и быстрого агрегирования префикс-листов. Немного бенчмарков тут: https://www.ripe.net/participate/mail/forum/opensource-wg/PENBQnIrdTBadDVvTS1pOG5BV3BxLTNHSHhMM0x2bUFPaWhNNDE9PVU0TXh3QVNZK1NuUUBtYWlsLmdtYWlsLmNvbT4=

Коллеги, вышел новый номер журнала Интернет Изнутри. Скачать электронную версию журнала можно здесь: https://ii.org.ru/

​​Результаты опроса по использованию - настройке DNS резолверов, проведённого CZ.NIC. Выборка не очень большая, 337 участников, но надо сказать и вопросы довольно специфические. Смотрим что получилось, ищем себя.

http://icmpcheck.popcount.org - проверка на рабочий Path MTU discovery.

Speedtest от Apple внутри macOS Monterey, который делает тесты на приём и передачу одновременно, а не по очереди. И немного внутренностей https://mensura.cdn-apple.com/api/v1/gm/config - ссылки используемые для тестов, а также идентификатор точки подключения.

Интересный способ резервирование IPv6 туннеля до HE, тут соль не в IPv6 и туннелях, а в использовании виртуального адреса HSRP в качестве источника соединения. То есть, в случае если маршрутизатор находится в режиме ожидания, данный адрес имеет состояние down и туннель не поднимается. Активное устройство, напротив, может использовать этот адрес в качестве рабочего. В результате переключения (в момент сбоя) меняется и возможность использования виртуального адреса, что и обеспечивает отказоустойчивость и подъём туннеля на резервном устройстве и гарантию, что туннель будет поднят только один раз, потому что активный маршрутизатор может быть только один. Такой приём подходит не только для туннелей, но и для всего где явно можно задать адрес источника. Хотя это и не самый правильный путь, но когда нет другого используем то что есть.

Что такое SRE от обратного, если вдруг есть сомнения, что вы делаете именно это.

Как включить и настроить использование геоинформации в BIND. В качестве базы - MaxMind и при желании её можно подправить. Статья обзорная, но все нужные ссылки с деталями есть внутри.

​​Флешка, которая в случае опасности прожигает кумулятивной струёй свою печатную плату, создана АО "НПП Краснознаменец". Говорят, что их вариант безопасен, в отличие от остальных. Идеи, как говорится, витают в воздухе.

Уставшим от вендорлока и мечтающим о EVPN/VxLAN датацентровой фабрике, посвящается. И пусть тут объясняют только как уехать с цисковской fabricpath, наверняка кому-то это в жизни пригодится. https://stubarea51.net/2021/11/18/migrating-from-fabricpath-to-evpn-vxlan/

SAD DNS Группа ученых из Калифорнийского университета и Университета Цинхуа обнаружила ряд критических недостатков безопасности, которые могут привести к возобновлению атак с отравлением кеша DNS Этот метод, получивший название "SAD DNS-атака" (сокращение от Side-channel AttackeD DNS), позволяет злоумышленнику выполнить атаку вне пути, перенаправляя любой трафик, первоначально предназначенный для определенного домена, на сервер находящийся под контролем злоумышленника. тем самым позволяя им слушать трафик, вмешиваться в данный тип коммуникаций Информация от первого лица (видео прилагается): https://www.cs.ucr.edu/~zhiyunq/SADDNS.html

www.saddns.net - спуфинг плюс скорость. С первым можно и нужно бороться и когда-нибудь это будет побеждено, возможно тотальным подписыванием всего, с нулевым доверием источнику без этого. Второе стало возможно с ростом вычислительной мощности, в том числе и полосы пропускания, когда методы защиты хорошо работавшие 10 лет назад сейчас ломаются простым перебором и я подозреваю мы увидим возрождение ещё не одной атаки.