2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Новое руководство NIST про DNS в pdf. В блоге APNIC небольшой обзор. DNSSEC и DNS over что-то - присутствуют, свои DNS лучше и не забываем про мониторинг.
Промелькнул в ленте туннельный брокер route64.org (лучше сразу идти в панель управления, там же и регистрация, manager.route64.org), поймал себя на мысли, что сильно проще сделать самому на виртуалке в облаке, или где угодно. VPN все делать научились, надо к нему только IPv6 добавить, даже если у кого-то ещё нет IPv6, то мест где он есть полно. Не знаю как работает конкретно этот, регистрацию точно принимает, выглядит развесисто, но, кажется, всё это доживает последние дни, особенно если посмотреть на графики с двух предыдущих постов.
Для любителей притащить работу к себе домой - что попадает в NetFlow на домашнем роутере, помним про гиковость автора и его расположение в Индии. В качестве коллектора используется Akvorado.
Читать полностью…
IPv6 много, мы сами этого хотели, а используется их мало. Многое из неиспользуемого попадает в петли маршрутизации. От этих петель пользы никакой, но вред принести можно и достаточно ощутимый. Поэтому если сеть не используется, заверните её в Null0, потом достанете.
Много и обстоятельно про Safe Mode в микротиках, который вернёт конфигурацию в исходную, если доступ к устройству потерян, и другие подходы к безопасному конфигурированию, с примерами. Единственная мысль которая у меня мелькнула относительно этого, а почему не сделать этот режим включенным по умолчанию? В Eltex ESR, например, commit всегда требует подтверждения. Можно, наверное, придумать ситуации от которых и такой вариант не спасёт, но внеполосный доступ и резервные копии, упоминаемые в статье в том числе, никто не отменял.
Социальная инженерия для оператора связи. Злоумышленники убедили транзитного провайдера и установили сессию BGP с номером автономной системы, которым не обладали. Безопасность, она не только про технические средства, которые тоже важны, но не являются панацеей.
Распределённая сеть пробников для проверки доступности ресурсов - globalping.io. Можно воспользоваться услугами или предоставить свои мощности. Есть консоль, API, GitHub и аппаратные пробники, за спонсорство.
Анализ ошибочного исходящего трафика, как инструмент поиска проблемных узлов внутри периметра, в том числе задейстованных во вредоносных целях. Такого трафика меньше и можно определить чёткие критерии ошибочности, например, отсутствие ответа или ICMP сообщения об ошибках, которые легко анализируются.
Я тоже как-то то ловил уж совсем неправильный трафик в 2014 году, не делая никаких выводов, просто перечисление того, чего быть не должно.
Каждый подход имеет свой предел, оптимизируя одно, с чем-то надо смириться. Есть места где Leaf-Spine перестаёт работать и может потребоваться что-то другое.
Читать полностью…
Ещё одна статья из серии "всё пропало" про ИИ агентов и программирование каким оно стало за последний год. Не имея практического ограничения по скорости генерации кода, ИИ очень быстро сделал его так много, что разобраться в нём самостоятельно уже не может, человек и подавно. При этом, обладая навыками среднего программиста, в созданном коде делается какое-то количество средних ошибок, но его много, очень много, и ошибок поэтому много, сильно больше чем сделали бы люди. Но ИИ от этого не страдает никак, это машина, там где человек остановился бы от непонимания, от возросшей сложности, и вынужден был бы что-то менять, ИИ продолжает дальше не сбавляя темп.
Читать полностью…
Немного странная статья, в которой показывается что eBPF подходит не для всего, в частности не подходит для веб серверов. Авторы дошли до ситуации, что ядро-то оказывается полезные функции выполняет и разгружает приложения от рутинных системных задач, а если вообще всё перенести в ядро, то внезапно, получается хуже. Но в любом случае, предлагают улучшения для eBPF, чтобы можно было решать больше сугубо прикладных задач.
На этой неделе только и разговоров, что о таксофонах. Японцы что-то подозревали, а может просто про них забыли.
Читать полностью…
Какова полоса всего Рунета?
Это знают ТСПУ, они стоят между конечными клиентами и сетями провайдеров.
Сегодня Коммерсант пишет про перспективное расширение пропускной способности ТСПУ до 954 Тбит/с.
К 2030 году пропускная способность автоматизированной системы обеспечения безопасности (АСБИ) в РФ увеличится в 2,5 раза, до 954 Тбит/с, следует из приказа о плане деятельности Минцифры до 2030 года. Ожидается, что уже в 2026 году 100% трафика российского сегмента интернета будет обрабатываться АСБИ, указано там. Ранее планировалось, что мощность системы к 2030 году составит 752,6 Тбит/с, говорится в паспорте федерального проекта «Инфраструктура кибербезопасности» (есть у “Ъ”).
Собеседник “Ъ” на телеком-рынке объясняет, что у ТСПУ есть ограниченная мощность, когда система не справляется с обработкой объемов трафика, на ней включается режим bypass — и трафик идет напрямую. Такая ситуация, по его словам, произошла в ночь с 22 на 23 марта, когда многие заблокированные ресурсы в РФ начали открываться — для системы было введено большое количество новых правил фильтрации (по 40 тыс. ежедневно, когда обычно около 10–15 тыс.), и она не справилась.
Первые спутники целевой группировки связи БЮРО 1440 — на орбите
23 марта в 20 часов 24 минуты состоялся первый пакетный запуск 16 космических аппаратов БЮРО 1440.
После выхода на опорную орбиту спутники успешно отделились от ракеты-носителя и были взяты под управление ЦУП БЮРО 1440. На очереди — проверка бортовых систем и движение на целевую орбиту.
Запуск первых аппаратов целевой группировки — переход от экспериментов к созданию сервиса связи. Команда БЮРО 1440 прошла этот путь за 1000 дней — именно столько разделяет вывод на орбиту экспериментальных и серийных спутников. Впереди — десятки запусков и сотни спутников российской низкоорбитальной группировки для сервиса связи с глобальным покрытием.
На видео — кадры отделения спутников БЮРО 1440 от ракеты-носителя.
Космос на связи!
__________
®️ Мы в MAX
Возможно в физическом смысле время бесконечно, но это не точно. В инженерном смысле оно точно конечно, напоминание про это от Geoff Huston. Если не брать в расчёт GPS, где время уже несколько раз кончалось, то до ближайших дат больше 10 лет.
terrysweetser_90287/project-ipv6-first-a-case-study-in-achieving-an-80-native-ipv6-soho-network-34cb2912923d">Если задаться целью, то конечно можно дожать IPv6 и до 80% трафика и даже до 100% трафика. Но исходные 67%, у автора, прямо очень не плохо, в предыдущем посте тоже доля IPv6 преобладающая. Оставшиеся приложения, в данном случае это был BitTorrent, можно подтолкнуть, для совсем оставшихся есть CLAT.
Строим отказоустойчивую схему на двух Juniper SRX с их фишками. В комплекте - два провайдера, NAT, IPSec site-to-site, клиентский VPN, BGP, зоны безопасности, VRF.
SPF, DKIM и DMARC, почему не помогают и что можно с этим сделать - добавить MTA-STS, выкрутить все опции в strict и не забыть про DNSSEC и CAA.
https://www.instagram.com/evanroth_/reel/DWoldeDkvPI/
Читать полностью…
Универсальный инструмент против специального. В данном случае, ускорение вывода /proc/interrupts на треть, за счёт подрезания жирного функционала printf(). А всё потому что обращаться приходится слишком часто, чтобы это имело эффект и потребовалась специализация.
Как загружается Linux в 5 частях в виде рассказа решения задачи по установке нового образа поверх старого, без использования промежуточного сохранения на диске. Последние части про глубину кроличьей норы, как вообще ядро что-то запускает и без чего можно, а без чего нельзя обойтись.
Читать полностью…
В свете последних новостей и замаячивших изменений лицензирования в сфере связи обновил картинку, с учётом прошедшего года, по общему количеству лицензий и количеству новых лицензий из прошлогодней статьи о предыдущих изменениях пошлин. Статью дополнять не имеет смысла, зависимость понятна - цена выше, лицензий и операторов меньше. Сейчас общее количество на уровне 2004 года, но тренд обратный.
Читать полностью…
Перевод IP адресов в предложения для мнемонического запоминания, есть для IPv6 и для IPv4 то же. Наверное, нужно если у вас нет DNS и для шпионов. Предложения на английском, поэтому работает только если английские слова для вас что-то значат. IPv6 и тут длинее предложения генерирует, чем IPv4, но его таким и придумали.
Не знаю у кого как, но для меня, когда часто работаешь с адресами и префиксами, они запоминаются достаточно быстро. IPv6, если не автосгенерированные, обычно делают приемлимых длин и читабельно для людей, вполне подходящем виде для запоминания как есть.
Поддержка ECH в curl, как пример продвижения ECH для полного шифрования при запросе веб серверов, где DNS обязательная и неотъемлемая часть. Упоминаемому Cloudflare это, конечно, не помешает узнать к каким сайтам и ресурсам вы обращаетесь. Список компаний которым сейчас принадлежит Интернет, включая DNS, не такой уж и большой. Доверие от Интернет провайдеров и операторов связи перетекло к облачным провайдерам, ECH закончит этот процесс.
Сохраняйтесь. Сегодня день, когда нужно подумать о своих резервных копиях. Не только в этот день, но в этот день - как "посидеть на дорожку", вспомнить если про что-то забыли.
Читать полностью…
SSH клиент в браузере. Поддерживается много всего. Внутри Node.js и есть Docker образ.
Читать полностью…
Microsoft выложили на Github рабочие тетради по Rust. Основы, на примерах перехода с других языков, и вопросы посложнее. В каждой главе, тезисно раскрывается тема, в основном в таблицах и сразу коде, а потом упражнения.
Читать полностью…
Про BMP в Авито на Habr, что такое, какие задачи решает, как устроено, почему BMP.
А ещё вы должны помнить про Джоанну Рутковски, которая теперь взламывает своё тело и ощущения через фридайвинг, ну и в целом говорит, что больше не занимается компьютерной безопасностью. Есть и про ИИ (без него теперь никуда), в философском смысле, как и весь текст целиком.
Читать полностью…