2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Пятничное. Ошибки при работе с ИИ, заголовочный файл. Там же по ссылке аналогичный, но для людей, написанный 10 лет назад.
Читать полностью…
Как изменилось соотношение количества префиксов в BGP по слепкам из моего @FullViewBGPbot, в основном по данным коллектора RRC0, за последние четыре года. Доля /24 IPv4 растёт с 59% до 63%, соотношения между префиксами сохраняются. Но последнее время стало заметно, что доля /23 тоже стала расти, и может быть, в ближайшее время /22 лишаться своего второго места. Предположу, что /22 стали разагрегировать на продажу или для использования на нескольких площадках.
А как с BMP справляются в Akvorado. С версии 2.2 - лучше, а в будущей 2.4 - гораздо лучше.
Читать полностью…
Поиск проблем с прохождением трафика между двумя Juniper маршрутизаторами, без подробностей, но с упоминанием терминов и задействованных механизмов. Виной всему оказался фильтр трафика, но не сам по себе, а из-за своего большого размера, на прохождения которого тратилось слишком много времени.
Читать полностью…
Жизнь сетевика be like.
Энтерпрайз: Таскаешь виланы между Hub и Spoke
Датацентр: Таскаешь виланы между Spine и Leaf
Провайдер: Таскаешь виланы между PoP и PE
Интегратор: Таскаешь не свои виланы
Netops: Таскаешь виланы на Python
Облако: Таскаешь виланы между Pod
Neocloud: "Действуй как CCIE, протащи виланы, не ошибайся, объясни результат понятно ребёнку"
Вендор: Наши виланы самые лучшие
IEEE и IETF: Мы придумали новый способ таскать виланы
Свежее изменение в RIPE DB, теперь в объектах организаций видно регистрационный номер в своей стране - атрибут reg-nr. Для России это ОГРН и теперь проще сопоставить объекты в RIPE DB со списком лицензий РКН, например.
Отчёт Backblaze (Cloud Storage) за первый квартал этого года по трафику. Интересно смотреть, в разрезе США особенно, какой тип трафика куда притягивается. Калифорния побеждает по CDN, облакам, облакам для ИИ (Neocloud). За рамками США, Neocloud больше всего в Финляндии, CDN в Нидерландах, а хостинга в Германии. И вся эта картина достаточно подвижная, в рамках США точно, за исключением трафика провайдеров, где всё стабильно.
Дошла очередь до переезда host-correct.ru, теперь на связке PowerDNS dnsdist и pdns_recursor. Lighttpd оставил по большей части для другого, но оставил как прокси. За всё время перепробовал, если помните, и Unbound, и Knot, и Bind, и почему-то незаслуженно проходил мимо PowerDNS. Очень продуктивное решение в стиле unix way, разделить собственно DNS и формы доступа к нему: DoT, DoH, DoQ и остальные - вынести в другой инструмент. Отдельное личное большое спасибо за эту наводку Андрею Пазычеву, обязательно смотрим его доклады на Linkmeetup. Это лучшее решение из всех которые я использовал.
Для Munin не нашёл готового плагина DNSdist, но это я допишу. IPv6-only для DNS резолвера тоже не летит, многие не имеют IPv6 NS записей, поэтому добавил ещё IPv4. Это немного отрезвляет, при всём моём оптимизме, попробовать развернуть что-то IPv6-only.
host-correct.ru свободно доступен для использования DoH и DoT, логирование запросов выключено, гарантий по надёжности и производительности никаких. Я вижу что никто им не пользуется, кроме меня, даже боты брезгуют по TLS заходить, но если вдруг понадобиться и нет своего, а другие не хочется, то пожалуйста.
Amiga pixel art, по ссылке ещё немного с описанием. Не могу ничего сказать про сам компьютер, кроме того что раньше с ними было куда разнообразнее. Размер экрана и количество пикселей не важно, даже в таком формате, не в оригинальном разрешении, смотрится отлично.
Читать полностью…
Ночью со вторника на среду в зоне DE немного уронили DNSSEC, но нас в этом году ждёт событие поинтереснее - очередная замена KSK (ключа для подписи всего остального) в корневой зоне. Geoff Huston рассказывает про готовность к этому событию и сложность оценки, и, кажется, мы не вполне уверены чем это всё кончится. В 2017 не получилось, но вторая попытка в 2018 прошла нормально. Этим ключом id 20326 сейчас и пользуемся. Новый id 38696 опубликован год назад и подписан текущим KSK и ему уже можно и нужно доверять. Ждём октября.
Если вы используете DoH, DoT, DoQ значит вы шифруете свои DNS запросы до ближайшего рекурсивного резолвера. Но использует ли этот резолвер шифрование, чтобы запросить данные у следующего в цепочке авторитетного DNS сервера? Короткий ответ - нет, про что написано в блоге RIPE Labs.
Механизм такого взаимодействия ADoX (Authoritative DNS over X) совсем недавно описан в RFC9539 и предполагает использование тех же DoT и DoQ, за исключением DoH, потому что нельзя достоверно угадать нужный URL. Следить за проектом можно на специальной страничке.
Бинарный поиск достаточно просто убыстрить, добавив в него возможностей современных процессоров. А вот стоит ли игра свеч, вопрос уже сугубо индивидуальный. Оптимизация ради оптимизации не самая полезная вещь.
Читать полностью…
На днях вышла новая версия GoBGP 4.5.0, в которой автор обещает значительный прирост производительности.
Читать полностью…
Geoff Huston про отзыв сертификатов и то что этот механизм не работает, следовательно не работает и наша цепочка доверия к сертификатам вообще. Сокращение Letsencrypt времени жизни сертификата с 90 дней до 45 дней, ничего не значит, когда для атаки достаточно и нескольких минут. Мог бы помочь DANE, но как обстоят дела с DNSSEC, мы знаем.
Интернет это не архив и не библиотека, в том смысле что данные там не хранятся долго. Я бы не рассчитывал и на 5 лет, за 10 лет, как говорят исследования, теряется больше трети. Какое-то количество сохраняется, про что рассказывают в блоге archive.org, но это сохранение весьма условно. Веб уже достаточно давно не только текст, да и за границами веба есть много другого. Иными словами, копируйте информацию, а не ссылки.
Читать полностью…
В IPv6 картина с /48 стабильно крутится около 45-46%. Но куда заметнее чем в IPv4 виден рост долей /40 и /44 префиксов, которые, вероятно, тоже скоро вытеснят /32 со своего места. Это не может быть связано с дефицитом адресов, возможно, с более широким использованием механизмов управления трафиком и ростом популярности IPv6. А ещё можно увидеть как /47 префикс сменяет /29, который мы больше не видим среди первой шестёрки, хотя стоит отменить, что сумма долей всех других префиксов вместе взятых занимает второе место. В IPv6 куда больше вариантов делить своё адресное пространство.
Пока обсуждали в чатике аварию с DE, добрались до проблемы стандартных ограничений BIND в 50 итеративных запросов, которых катастрофически не хватает уже ни для чего, с учётом А, АААА, и DNSSEC записей. Даже если забрать копию корневой зоны себе, а не перебирать серверы, всё равно не будет хватать, до тех пор когда всё нужное не окажется в кеше. Уже закрытое issue в BIND GitLab.
К вопросу о простоте DNS, как и BGP, которая позволила добавить в них столько много дополнительных вещей, что они уже вываливаются наружу.
Свежий RFC 9972 определяет больше параметров которые можно получать с помощью BMP и короткий обзор где это пригодится.
Получаем код V-SOL OLT через гугление, в забытом, но открытом web каталоге, а дальше анализируем его и находим много уязвимостей и причин бояться за своё оборудование. В конце, автор даёт несколько очевидных советов по ограничению доступа, смене паролей, отключению неиспользуемых функций и других, а также говорит, что ещё много чего можно накопать. Не так эпично как с RedBack, случился неожиданный open source аудит.
Читать полностью…
А Cloudflare сделали просмотрщик MRT файлов (дампов BGP) прямо в браузере radar.cloudflare.com/routing/mrt-explorer
Использование веб инструмента IHR для мониторинга BGP, на примере разбора инцидента с ROA Северной Кореи. Доступность исторических данных делает этот ресурс удобным для анализа. Внутри, знакомые RIPE Atlas, RIS, PeeringDB. Проект живёт достаточно давно и присутствует на GitHub.
Не написал, напишу, если что-то заметили что не работает как должно - пишите, в меру своих сил и средств и оперативности всё поправлю. Я рад, что внимательный подписчик, спасибо за это, уже нашёл проблемы в цепочке сертификатов для DoT, и теперь работает как надо.
Пятничное, из глубин Интернета. Не забывайте сертификаты обновлять.
Читать полностью…
Что было с DE, предварительный анализ, полный обещают позже. Новая система генерации ключей, которая не была протестирована полностью, сгенерировала несколько ключей с одинаковым id используемых для подписи, но только один из них был опубликован. Система мониторинга проблемы обнаружила, но они не была должным образом обработаны. Пострадали, в том числе, и дочерние зоны без DNSSEC. Некоторые резолверы, в частности Cloudflare, отключили, на время аварии, проверку DNSSEC для зоны DE.
BGP как протокол сетевого взаимодействия для многопользовательской игры. Наверное, не самый лучший выбор, но можно и так.
Читать полностью…
GitHub использует eBPF для перехвата и управления трафиком во время тестов своих скриптов. Делает он это для того, чтобы исключить возможность собственному скрипту, который меняет что-то на GitHub, лишитьcя доступа к GitHub. Примеры кода и ссылки на GitHub, присутствуют.
Читать полностью…
Простой консольный сервер из ПК и доступных инструментов. Не сильно много объяснений, но направление понятно и файлы конфигурации приведены.
Читать полностью…
Как сломали ripe.net, уже починили. Можно было управлять записями базы данных и RPKI. Для этого, надо было кликнуть на ссылку, вполне безобидную, и быть авторизованным на сайте, но последствия этого самые разрушительные. Интернет, всё ещё, децентрализованная структура, но больные точки у него есть.
З.Ы. Помните, кстати, как по почте объекты в RIPE DB правили?
Свой DNS сервер вместо публичного сервиса, когда пришло время. Пропущен очевидный вариант, не писать самому, а развернуть уже написанное, тем более, что всё равно пользовались готовой библиотекой. Но самый короткий путь тот который знаешь.
Читать полностью…
Я бы схоронил статью на диск, а то мало-ли, сейчас одна категория, а завтра другая. А шутка хорошая, конечно, с долей шутки.
Читать полностью…