Патчкорд

Список DNS зон которые можно забрать целиком. Помимо корневой есть Эстония, Франция, Словакия, Швейцария, Швеция и Ниуэ.

Учимся на чужих ошибках - подробный и доступный отчёт об аварии в Salesforce. Обновляли конфигурацию BIND перед работами, кстати они используют возможности каталога зон, но что-то пошло не так. Выводы про автоматизацию и процессы, скрипт который послужил проблемой и перезапускал BIND удалили и больше не используют.

Вчера опубликован RFC9000 - "QUIC: A UDP-Based Multiplexed and Secure Transport". Встречаем, теперь официально.

Атакуем Kubernetes правильно, или не стоит увольнять сетевого инженера раньше времени. Часть первая - спуфинг DNS, ARP, IP, то что работает в любых сетях и на всех уровнях абстракции. Часть вторая - манипулируем BGP, вспоминая что в него не встроены никакие механизмы защиты.

​Разбор установки и завершения TCP соединения по шагам с фиксацией каждого шага выводом netstat. Дампы и диаграммы с описанием прилагаются. В качестве клиента и сервера - nc.

Если вдруг задумали построить свой коммерческий датацентр и не знаете с чего начать - начните с этого. Не большой, в целом, документ, позволяющий охватить проблематику со всех сторон: электропитание, персонал, помещение, документирование, администрирование и многое другое. Есть, даже, чек листы и примеры расчётов и размещения в Excel файликах. При всём при том это очень верхнеуровневый документ, о чём надо подумать перед тем как начинать, и это, конечно, далеко не всё.

Всемирный день электросвязи и информационного сообщества Сегодня - 17 мая отмечается Всемирный день электросвязи и информационного сообщества. Всемирный день электросвязи отмечается ежегодно 17 мая с 1969 года. Дата знаменует годовщину основания МСЭ 17 мая 1865 года, когда в Париже была подписана первая международная телеграфная Конвенция. В 1973 году мероприятие было официально учреждено на полномочной конференции МСЭ в Малаге-Торремолиносе, Испания. Каждый год выбирается актуальная тема, и мероприятия, посвященные этой теме, проходят по всему миру. World Telecommunication and Information Society Day (WTISD) - https://www.itu.int/en/wtisd

Строить сложные и большие системы - надо максимально просто, чтобы они не развалились под собственным весом. История Telia Carrier про это.

Пятничное, но актуальное, классика жанра, хотя что-то из этого за столько лет можно было бы слегка подправить - 9 простых способов сломать Cisco. Путь настоящие связисты посмеются в свой праздник над нерадивым потомством.

Автоматическое, бесплатное ускорение ваших shell программ в разы. Готовый продукт и публикация с выкладками, почему и как такое можно сделать. Пример из статьи с распараллеливанием на два, но можно и больше: ##### Before ##### base="ftp://ftp.ncdc.noaa.gov/pub/data/noaa"; for y in {2015..2019}; do curl $base/$y | grep gz | tr -s" " | cut -d" " -f9 | sed "s;^;$base/$y/;" | xargs -n 1 curl -s | gunzip | cut -c 89-92 | grep -iv 999 | sort -rn | head -n 1 | sed "s/^/Maximum temperature for $y is: /" done ##### After ##### mkfifo $t{0,1...} curl $base/$y > $t0 & cat $t0 | split $t1 $t2 & cat $t1 | grep gz > $t3 & cat $t2 | grep gz > $t4 & ... cat $t9 | sort -rn > $t11 & cat $t10 | sort -rn > $t12 & cat $t11 | eager > $t13 & cat $t12 | eager > $t14 & sort -mrn $t13 $t14 > $t15 & cat $t15 | head -n1 > $out1 & wait $! && get-pids | xargs -n 1 kill -SIGPIPE И это всё оно само.

Bgpq4 обновился до 0.0.7 и уже должен быть доступен в репозиториях вокруг RHEL. Пока RPKI ещё не везде, зато новая версия мониторинга у NIST, а фильтровать как-то надо.

Отлично разжёвано, со всеми выкладками и ссылками на RFC и BCP, почему каждому конечному потребителю нужен свой статический IPv6 префикс. Потому что SLAAC, аварии, очень долгие времена жизни префиксов по умолчанию и проблемы связности как следствие всего этого. Но если Интернет провайдер всё же не хочет так делать, надо его попросить, а уж если совсем никак, то что-то можно сделать с помощью стандартов. Нежелание, наверное, вызвано привычкой что за статику абоненту надо платить, ну и где-то, это в самом деле технически оправдано.

Nping - отличная вещь, почему-то про неё не так часто говорят, но помимо "Layer 4 ping" это ещё и генератор трафика, покрывающий очень большой пласт потребностей, в том числе и из пользовательского окружения.

Wireshark очень богатый на настройки и допиливания напильником инструмент. Да, он хорошо работает и из коробки, но не ленитесь сделать чуть лучше, за удобством идёт глубина и осознание, можно увидеть то что раньше не было видно и понять то что не было понятно. Выделите время и пройдитесь по всем пунктам меню, откройте для себя "Статистику", Форматы заголовков, VoIP плеер и бог знает что ещё.

Если используете 9.9.9.9, то прямо сейчас они не очень, пишут про DDoS. Впрочем, от меня всё нормально.

Как в Roblox отвечают на вопрос: "Не в сети ли дело"? Строят активный мониторинг из тысяч пробников в полносвязной сети и сотен миллионов запросов в минуту, не боясь нагрузить каналы служебным трафиком, ради уверенности и спокойствия в своём ответе. И если вам важно качество, то без активного мониторинга, мониторинга потерь в пользовательском трафике никуда не уйти. Начать можно с Cisco IP SLA - это хорошо работает между двумя поддерживающими это устройствами. Потом правда придётся пройти квест по доказыванию магистральному провайдеру, что надо устранить этот 1% потерь на канале, которых раньше никогда не было и что это много.

BGP всё ещё можно сделать лучше на фундаментальном уровне, а не просто прикрутив очередной контейнер для переноса чего-либо. Описание одной из возможных причин возникновения маршрутов зомби, как следствие неучтённого состояния TCP соединения с нулевым размером окна. При этом один из BGP спикеров не в состоянии отправить ответ своему соседу, но и не в состоянии разорвать соединение удерживая маршруты активными. Решать предлагается новым таймером, в самое сердце основного алгоритма.

Петли маршрутизации это не очень хорошо, не стоит увеличивать энтропию гоняя лишний трафик, ну и чтобы на всякие DDoS не нарваться. Хотя полезность тоже можно найти. Простое правило, все ваши сети должны иметь место назначения и это не должен быть 0.0.0.0/0, то есть они должны быть в таблице маршрутизации. Если их нет - сделайте агрегированный префикс в null. Для серых сетей можно максимально широко /8, /12, /16 прямо из RFC1918, про IPv6 не забывайте. Помимо петель это сэкономит правила в ACL, даже поэффективнее будет, гарантированно не даст в Интернет просочиться тому чему не надо.