2193
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Страны где проникновение IPv6 50% и выше, в динамике за последний год. Маленьким странам проще, кто-то из операторов включает IPv6 и полстраны с IPv6.
У ARIN поле Origin AS было непосредственно в записи ресурса Net Range, это как inetnum в RIPE DB. В 2021 посчитали что больше так не надо, а то нагрузка на whois сервис большая, и вообще есть RPKI и отдельный сервис с IRR, который доступен в том числе по API, в котором есть связи между route объектами и AS. В связи с чем ARIN напоминает, что с 28 июля никакой записи Origin AS больше не будет, пользуйтесь другим.
Пример настройки политик маршрутизации BGP в Mikrotik для клиентов, пиринга, IX. Есть про community, фильтры, blackhole, приоритеты и проверку по RPKI,. Не хватает объяснений что к чему, но конфигурация присутствует. Копировать как есть, точно не надо - убедитесь что оно вам вообще подходит и сделайте своё и для себя.
З.Ы. Не смог пройти мимо и не написать. Какой же громоздкий конфиг у Mikrotik: кавычки, пробелы-резделители, точки с запятыми, экранирования, команды, присвоения, иерархия. Все концепты в одной флаконе. Такой же громоздкий у Palo Alto, получающийся из-за того что вторит структуре графического интерфейса, а это плохо ложится на консоль. Если вдруг придётся привыкать, то будет прямо мучительно.
Презентация, во многом понятная и без видео с GRNOG18 про упущенные возможности и ошибки IPv6, и альтернативные пути дальнейшего развития: NAT и расширения IPv4 - которые всегда открыты.
Я как-то уже говорил, что мне не хватает популярного художественного формата с налётом профессии. То что прорывается порой в массмедиа, что бывает очень редко, как правило полная дичь - тотальное непонимание устройства, причин, следствий, на которых ещё пытаются строить выводы. Поэтому боевичок с мастерами ключей ICANN, я бы посмотрел, жаль не снимет никто.
Читать полностью…
В субботу буду рассказывать про то как работает Интернет, присоединяйтесь в Волгограде.
Читать полностью…
Пятничное, хотя и Вторник, неожиданная находка во время дневной прогулки. Подпись сами можете придумать.
Читать полностью…
Katherine McNamara начала публиковать свои записки по CCIE Security, которых большое количество. Пока что-то есть про VPN, точнее про IPSec, но остальное тоже должно появиться.
Если очень хочется то можно и домой притащить работу - полноценный IP транзит, до Интернет, до IX, и не один канал. Приведены цены по индийским меркам, хотя автору досталось бесплатно. Мне не хочется. Чтобы интернет дома работал стабильно я исхожу из следующего принципа - техническая поддержка провайдера должна мочь всё починить никуда не сворачивая со своего скрипта и ваши домашние должны смочь за ней всё повторить. В статье явно не тот случай.
Читать полностью…
NLnet Labs выкатили набор утилит на Rust для работы с DNS, на своей же библиотеке domain, как замену своим же утилитам на Си. Есть для генерации ключиков и разных записей DNSSEC, подписи зоны и посылки notify и update. Документация присутствует.
Хмммм... И в этом году до 50% не добрались, наверное, в следующем пройдём этот рубеж. Это что-то да значит, график всё ещё похож на линейный, но это явно не тот темп который был в момент начала нашего гадания. У Cloudflare, в целом, то же самое, если ботов не учитывать. Как будто бы Интернет в целом не растёт и это сказывается на IPv6.
DNS в опасности настолько, что целый лендинг для этого замутили dnsatrisk.org. Технически, наверное, ничего нового вы из него не узнаете. Из предлагаемой к прочтению публикации, скорее всего, тоже. Удобный способ фильтровать доступ к информации, простой и надёжный как сам DNS, поэтому им пользуются все. Не самый надёжный правда, но первый в ряду. Есть ещё про фрагментацию Интернета, блокировку по IP и всякое другое с примерами.
Пошаговый проход алгоритма поиска кратчайшего пути сразу с сетевой спецификой и дампами отладки IS-IS. Это скорее не объяснение, а реализация, неплохое, неформальное и наглядное объяснение есть в Википедии. Лучше эту реализацию написать самому на любом из языков программирования, так надёжнее всего усваивается. Скорее всего, вас заставят её написать в учебном учреждении, если в нём вообще проходят алгоритм Дейкстры. Я писал, недавно, кстати, на Leetcode, правда там это был не оптимальный алгоритм, но руки вспомнили именно его.
Заметьте, что мы ищем не сами маршруты, все точки перехода, а только стоимость маршрутов и ближайшую точку перехода от начала пути - next-hop, третий элемент в структуре данных применяемой автором (R2). А следующую точку перехода и стоимость, посчитает уже следующий маршрутизатор.
Azure не очень аккуратно работает со временем, если для вас это важно в пределах 0,1с - используйте NTP вместо PTP. С PTP не то что микросекундной точности, никакой точности не будет.
tom_84912/a-mostly-unbiased-review-of-the-ultra-ethernet-specification-10d816227839">Обзор первой спецификации Ultra Ethernet, опубликованной 11 июня. Это такой протокол для ДЦ, ИИ, кластеров, получилось много, даже очень, и название Ethernet не должно вас смущать.
Когда у всех есть фатальный недостаток, но тебе с ними со всеми приходится работать. Daniel Stenberg про библиотеки для работы с TLS в curl, которых много.
Читать полностью…
Интересное, но в то же время, совершенно бесполезное исследование про то в какие цвета раскрашены буквы в слове "MARIO" в обложках для разных игр Mario. И продолжение от другого автора, который добавляет статистику по количеству проданных копий и немного математики из теории информации и кодирования, просто играясь с тем исходным набором, что у него оказался в руках.
Читать полностью…
Geoff Huston про текущее положение дел с QUIC, много и про сам QUIC и про то как понять что конкретный ресурс доступен по QUIC. Выводы такие, что даже новый протокол, вынужден пользоваться существующей средой, которую практически невозможно поменять, потому что слишком многое на неё полагается.
Боевики
Что может сказать киноэксперт Даниил Шеповалов о боевиках? В боевиках все хорошо, пока дело не доходит до основной цели. Там либо флешка, открывающая все компьютерные системы мира, либо ядерная бомба в Лос-Анджелесе, либо украденный секретный список всех агентов Галактического Моссада. На этом просмотр ломается. Только что тебя подкупала многозначительная щетина главного героя, а вот озвучили основную цель и уже чувствуешь себя рядовым вкладчиком кинолохотрона.
Хотя ничего не надо придумывать, есть уже готовые сюжеты. Например, многие знают, есть такая контора ICANN, контролирует все домены верхнего уровня в интернете: .com, .net, .ru и т. д. Четыре раза в год проводится Церемония ICANN по подписи Главного Ключа От Интернета. Собираются Хранители Ключей из разных стран (их 7 основных и 7 запасных) с факелами и в черных балахонах, каждый открывает своим личным металлическим ключом сейфовую ячейку со смарт-картой. И все вместе подписывают Корневой Криптографический Ключ Интернета, от которого ЗАВИСИТ ВСЁ, на него опирается доверие ко всем доменам.
Это реальный факт. Грубо говоря, в случае глобальной катастрофы только эти ключеносцы смогут воссоздать корень интернета - ту невидимую точку «.», которая на самом деле стоит в конце каждого домена.
Поэтому ничего не надо придумывать, надо снять боевик про этот суперключ. Вот сначала драка с ключеносцем-ниндзя на падающем спутнике, вот мотопогоня за другим ключеносцем в Гонконге под кислотным дождем. А все ради того, чтобы завладеть главным ключом интернета и устроить рикроллинг на всех сайтах мира одновременно (так, по факту, нельзя сделать, но мы же фильм снимаем).
Ну или это тоже типа флешки от всех компьютерных систем получается? Тогда я не знаю, тогда сами боевики придумывайте, если такие умные.
Начинаем рассказывать о докладах и спикерах летнего митапа ⚡️
🎙 «Интернет изнутри»
Михаил Васильев, Сетевой инженер в Teleperformance Russia, автор TG-канала Patchcord
«Рассказ о том, как устроен Интернет. Проследим путь от домашнего роутера, попутно отвечая на вопросы. Откуда берутся адреса и кому они принадлежат на самом деле? Кто кому платит в Интернете и за что? Где находится самый главный сервер? Чем на самом деле занимается ваш провайдер? Есть ли провайдеры у провайдеров и сколько всего в мире провайдеров? Кто всем этим управляет?»
Участие бесплатное! Регистрация обязательна✌🏻
Переходите по ссылке: https://singularis-lab.timepad.ru/event/3412031/
🗓 28 июня
🕓 16:00 — 19:00
📍Волгоград, ул. Комсомольская, д. 4
🍻 Harat's Pub
Ждём вас! 👋🏻
#it34meetup
Если вдруг Cloudflare radar нужен на русском то они перевели https://radar.cloudflare.com/ru-ru
Читать полностью…
Долой TLS1.2, и вторая часть даёшь TLS1.3 и Zero trust заодно. RSAC Conference рекомендует.
Читать полностью…
Отчёт RIPE NCC про IP адреса за Июнь 2025. Про IPv4 помимо того что и кому принадлежит (большая часть участникам с 20-25 летним стажем и Великобритании с Германией и Францией, с хорошим таким отрывом), подробно про то как адреса меняют своих владельцев и сколько это стоит. Про IPv6 тоже есть чуть-чуть.
Один день из жизни BGP. Графики, статистика по префиксам, автономным системам, кто сколько анонсировал в абсолютном и относительном выражении. В финале Geoff Huston вспоминает что BGP уже 40 лет, а он всё не меняется и всё также используется, и вероятно ещё долго будет.
Время напомнить про @FullViewBGPbot где актуальную статистику можно смотреть 3 раза в день.
Самые редко используемые подсети из диапазонов 192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8. Метод не ахти точный, показывает то что используется, в основном, в домашних сетях - 192.168.0.0 вне конкуренции. Остальное тоже далеко не свободно, даже в этом исследовании. Нарваться на что-то занятое шансов, конечно, меньше в 10.0.0.0 и 172.16.0.0, но и они применяются весьма активно. Настолько активно, что достаточно многие выбирают адреса из 100.64.0.0/10 для назначения устройствам, чтобы наверняка ни с кем не пересечься, хотя и здесь нет никаких гарантий.
Из личной практики: 10.0.0.0 хотя и сильно больше, но именно из-за этого его и используют в провайдерах и корпоратах. А вот 172.16.0.0 встречается пореже, только выбирайте случайную, не очевидную подсеть, все удобочитаемые и рядом с ними будут заняты.
Можно же техническую ситуацию назвать милой? Syslog на удалённый сервер, логов не видно. Через какое-то время отладки логи находятся в сыром виде. Рядом точно такая же железка работает нормально. Ситуация накалаяется из-за своей внезпаной непонятности, время течёт, количество вовлечённых инженеров растёт. Когда пришёл лесник и посмотрел очень глубоко - обнаружил записи в системе логирования от Января 1970 года и не настроенные часы на железке. Железка реабилитирована, жизненный урок получен вместе с хорошим настроением от понимания собственного непонимания.
Читать полностью…
Результаты эксперимента в целом положительные, отъехало обновление, что естественно, обновление баз файрвола в том числе, и публичная почта Outlook, как будто бы больше ничего. Из эффектов заметно повысился отклик системы, особенно в момент пробуждения и загрузки. А в итоге, всё кончилось тем что я уехал на Linux Mint, тем что ещё оставалось.
Читать полностью…
Установка соединения HTTP по шагам с дампами Wireshark. Что и в каких случаях будет выбрано и как на это можно влиять: HTTP/1.1, HTTPS, HTTP/2, HTTP/3.
Как обстоят дела с BGPsec сегодня. Фактически никак, хотя инструменты и реализации есть, но всё это пока эксперименты. Ни один из RIR не поддерживает, а это необходимое условие.
Читать полностью…