Патчкорд

В вебе достаточно данных чтобы получить относительно точное время, не используя NTP или другой специальный протокол. Как это можно сделать с помощью Cloudflare, который добавляет некоторые заголовки с отметками времени, и функций браузера. Есть готовый виджет.

Как CDN выбирают откуда отдавать трафик, публикация целиком в pdf. Авторы посмотрели на популярные в мире CDN, отдельно по странам тоже, про Россию есть. Глобально, больше выбирают через DNS, а не через anycast BGP, есть пересекающиеся варианты. Отдельно проверили использование в этом выборе DNS ECS и посетовали на непрозрачность механизмов принятия решений в выборе точки раздачи трафика, и излишнюю централизацию.

Новое руководство NIST про DNS в pdf. В блоге APNIC небольшой обзор. DNSSEC и DNS over что-то - присутствуют, свои DNS лучше и не забываем про мониторинг.

Возможно в физическом смысле время бесконечно, но это не точно. В инженерном смысле оно точно конечно, напоминание про это от Geoff Huston. Если не брать в расчёт GPS, где время уже несколько раз кончалось, то до ближайших дат больше 10 лет.

Промелькнул в ленте туннельный брокер route64.org (лучше сразу идти в панель управления, там же и регистрация, manager.route64.org), поймал себя на мысли, что сильно проще сделать самому на виртуалке в облаке, или где угодно. VPN все делать научились, надо к нему только IPv6 добавить, даже если у кого-то ещё нет IPv6, то мест где он есть полно. Не знаю как работает конкретно этот, регистрацию точно принимает, выглядит развесисто, но, кажется, всё это доживает последние дни, особенно если посмотреть на графики с двух предыдущих постов.

Если задаться целью, то конечно можно дожать IPv6 и до 80% трафика и даже до 100% трафика. Но исходные 67%, у автора, прямо очень не плохо, в предыдущем посте тоже доля IPv6 преобладающая. Оставшиеся приложения, в данном случае это был BitTorrent, можно подтолкнуть, для совсем оставшихся есть CLAT.

Для любителей притащить работу к себе домой - что попадает в NetFlow на домашнем роутере, помним про гиковость автора и его расположение в Индии. В качестве коллектора используется Akvorado.

Строим отказоустойчивую схему на двух Juniper SRX с их фишками. В комплекте - два провайдера, NAT, IPSec site-to-site, клиентский VPN, BGP, зоны безопасности, VRF.

IPv6 много, мы сами этого хотели, а используется их мало. Многое из неиспользуемого попадает в петли маршрутизации. От этих петель пользы никакой, но вред принести можно и достаточно ощутимый. Поэтому если сеть не используется, заверните её в Null0, потом достанете.

SPF, DKIM и DMARC, почему не помогают и что можно с этим сделать - добавить MTA-STS, выкрутить все опции в strict и не забыть про DNSSEC и CAA.

Много и обстоятельно про Safe Mode в микротиках, который вернёт конфигурацию в исходную, если доступ к устройству потерян, и другие подходы к безопасному конфигурированию, с примерами. Единственная мысль которая у меня мелькнула относительно этого, а почему не сделать этот режим включенным по умолчанию? В Eltex ESR, например, commit всегда требует подтверждения. Можно, наверное, придумать ситуации от которых и такой вариант не спасёт, но внеполосный доступ и резервные копии, упоминаемые в статье в том числе, никто не отменял.

Социальная инженерия для оператора связи. Злоумышленники убедили транзитного провайдера и установили сессию BGP с номером автономной системы, которым не обладали. Безопасность, она не только про технические средства, которые тоже важны, но не являются панацеей.

Универсальный инструмент против специального. В данном случае, ускорение вывода /proc/interrupts на треть, за счёт подрезания жирного функционала printf(). А всё потому что обращаться приходится слишком часто, чтобы это имело эффект и потребовалась специализация.

Распределённая сеть пробников для проверки доступности ресурсов - globalping.io. Можно воспользоваться услугами или предоставить свои мощности. Есть консоль, API, GitHub и аппаратные пробники, за спонсорство.

Как загружается Linux в 5 частях в виде рассказа решения задачи по установке нового образа поверх старого, без использования промежуточного сохранения на диске. Последние части про глубину кроличьей норы, как вообще ядро что-то запускает и без чего можно, а без чего нельзя обойтись.

Хорошая. Из комментариев у Вечернего Дани.

В свете последних новостей и замаячивших изменений лицензирования в сфере связи обновил картинку, с учётом прошедшего года, по общему количеству лицензий и количеству новых лицензий из прошлогодней статьи о предыдущих изменениях пошлин. Статью дополнять не имеет смысла, зависимость понятна - цена выше, лицензий и операторов меньше. Сейчас общее количество на уровне 2004 года, но тренд обратный.

Анализ ошибочного исходящего трафика, как инструмент поиска проблемных узлов внутри периметра, в том числе задейстованных во вредоносных целях. Такого трафика меньше и можно определить чёткие критерии ошибочности, например, отсутствие ответа или ICMP сообщения об ошибках, которые легко анализируются. Я тоже как-то то ловил уж совсем неправильный трафик в 2014 году, не делая никаких выводов, просто перечисление того, чего быть не должно.

Перевод IP адресов в предложения для мнемонического запоминания, есть для IPv6 и для IPv4 то же. Наверное, нужно если у вас нет DNS и для шпионов. Предложения на английском, поэтому работает только если английские слова для вас что-то значат. IPv6 и тут длинее предложения генерирует, чем IPv4, но его таким и придумали. Не знаю у кого как, но для меня, когда часто работаешь с адресами и префиксами, они запоминаются достаточно быстро. IPv6, если не автосгенерированные, обычно делают приемлимых длин и читабельно для людей, вполне подходящем виде для запоминания как есть.