2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Пятничное, из глубин Интернета. Не забывайте сертификаты обновлять.
Читать полностью…
Что было с DE, предварительный анализ, полный обещают позже. Новая система генерации ключей, которая не была протестирована полностью, сгенерировала несколько ключей с одинаковым id используемых для подписи, но только один из них был опубликован. Система мониторинга проблемы обнаружила, но они не была должным образом обработаны. Пострадали, в том числе, и дочерние зоны без DNSSEC. Некоторые резолверы, в частности Cloudflare, отключили, на время аварии, проверку DNSSEC для зоны DE.
BGP как протокол сетевого взаимодействия для многопользовательской игры. Наверное, не самый лучший выбор, но можно и так.
Читать полностью…
GitHub использует eBPF для перехвата и управления трафиком во время тестов своих скриптов. Делает он это для того, чтобы исключить возможность собственному скрипту, который меняет что-то на GitHub, лишитьcя доступа к GitHub. Примеры кода и ссылки на GitHub, присутствуют.
Читать полностью…
Простой консольный сервер из ПК и доступных инструментов. Не сильно много объяснений, но направление понятно и файлы конфигурации приведены.
Читать полностью…
Как сломали ripe.net, уже починили. Можно было управлять записями базы данных и RPKI. Для этого, надо было кликнуть на ссылку, вполне безобидную, и быть авторизованным на сайте, но последствия этого самые разрушительные. Интернет, всё ещё, децентрализованная структура, но больные точки у него есть.
З.Ы. Помните, кстати, как по почте объекты в RIPE DB правили?
Свой DNS сервер вместо публичного сервиса, когда пришло время. Пропущен очевидный вариант, не писать самому, а развернуть уже написанное, тем более, что всё равно пользовались готовой библиотекой. Но самый короткий путь тот который знаешь.
Читать полностью…
Я бы схоронил статью на диск, а то мало-ли, сейчас одна категория, а завтра другая. А шутка хорошая, конечно, с долей шутки.
Читать полностью…
Что можно узнать по QUIC CID просто слушая случайно падающий на вас трафик. На самом деле довольно много про внутреннюю структуру Meta, Google и Cloudflare.
Читать полностью…
Не все утечки маршрутов в BGP настоящие утечки, многое можно списать на переходные процессы. В каждом случае надо разбираться, даже такие неутечки, могут помочь построить свою маршрутизацию лучше, чтобы потом они не превратились во что-то большее. ASPA, RFC9234, MANRS, инженерные подходы и здравый смысл в этом помогут.
Интернет достаточно запутанное место, особенно там где встречается много операторов на точках обмена трафиком. Поэтому неудивительно, что через фильтры просачиваются не те маршруты которые должны. Других Интернета и фильтров у нас нет, особенно помня про качество исходного материала в IRR и AS-SET.
Читать полностью…
Сегодня все обсуждают версии IP протоколов, я предлагаю прочитать вот этот реальный RFC1606 про IPv9, на секундочку. Оцените предсказательный уровень, некоторые шутки и смелые допущения того времени, сейчас уже не кажутся таковыми. В любом случае, если изобретаете что-то новое, изобретайте новое, латание дыр это не серьёзно.
В вебе достаточно данных чтобы получить относительно точное время, не используя NTP или другой специальный протокол. Как это можно сделать с помощью Cloudflare, который добавляет некоторые заголовки с отметками времени, и функций браузера. Есть готовый виджет.
Amiga pixel art, по ссылке ещё немного с описанием. Не могу ничего сказать про сам компьютер, кроме того что раньше с ними было куда разнообразнее. Размер экрана и количество пикселей не важно, даже в таком формате, не в оригинальном разрешении, смотрится отлично.
Читать полностью…
Ночью со вторника на среду в зоне DE немного уронили DNSSEC, но нас в этом году ждёт событие поинтереснее - очередная замена KSK (ключа для подписи всего остального) в корневой зоне. Geoff Huston рассказывает про готовность к этому событию и сложность оценки, и, кажется, мы не вполне уверены чем это всё кончится. В 2017 не получилось, но вторая попытка в 2018 прошла нормально. Этим ключом id 20326 сейчас и пользуемся. Новый id 38696 опубликован год назад и подписан текущим KSK и ему уже можно и нужно доверять. Ждём октября.
Если вы используете DoH, DoT, DoQ значит вы шифруете свои DNS запросы до ближайшего рекурсивного резолвера. Но использует ли этот резолвер шифрование, чтобы запросить данные у следующего в цепочке авторитетного DNS сервера? Короткий ответ - нет, про что написано в блоге RIPE Labs.
Механизм такого взаимодействия ADoX (Authoritative DNS over X) совсем недавно описан в RFC9539 и предполагает использование тех же DoT и DoQ, за исключением DoH, потому что нельзя достоверно угадать нужный URL. Следить за проектом можно на специальной страничке.
Бинарный поиск достаточно просто убыстрить, добавив в него возможностей современных процессоров. А вот стоит ли игра свеч, вопрос уже сугубо индивидуальный. Оптимизация ради оптимизации не самая полезная вещь.
Читать полностью…
На днях вышла новая версия GoBGP 4.5.0, в которой автор обещает значительный прирост производительности.
Читать полностью…
Geoff Huston про отзыв сертификатов и то что этот механизм не работает, следовательно не работает и наша цепочка доверия к сертификатам вообще. Сокращение Letsencrypt времени жизни сертификата с 90 дней до 45 дней, ничего не значит, когда для атаки достаточно и нескольких минут. Мог бы помочь DANE, но как обстоят дела с DNSSEC, мы знаем.
Интернет это не архив и не библиотека, в том смысле что данные там не хранятся долго. Я бы не рассчитывал и на 5 лет, за 10 лет, как говорят исследования, теряется больше трети. Какое-то количество сохраняется, про что рассказывают в блоге archive.org, но это сохранение весьма условно. Веб уже достаточно давно не только текст, да и за границами веба есть много другого. Иными словами, копируйте информацию, а не ссылки.
Читать полностью…
ИИ научился настраивать BGP роли (RFC 9234). Но без ИИ можно и обойтись, тем более это всего одна команда на каждом пире и она есть не только на Juniper. Точно не повредит, а может даже спасёт.
Читать полностью…
Если используете Topolograph приходите в чатик пообщаться и рассказать о своём опыте, обсудить новую версию и возможности, предложить свои идеи. А если не используете, то стоит, конечно, попробовать, чтобы визуализировать и анализировать вашу IS-IS и OSPF сеть онлайн и офлайн тоже.
Что конкретно поменялось в curl при работе с DNS: ECH, HEv3 и производительность - в четырёх небольших частях, два, три, и четыре.
Бонусом ко всей этой истории с IPv8 мы теперь можем вспомнить и прочитать как и зачем делали IPv6 и что с ним не так, или не с ним.
Нельзя отрицать что с тех пор, когда стало понятно что нужен новый протокол что в итоге привело к IPv6, многое поменялось, всё стало сильно сложнее. Из-за этого всё новое, ставящее себе целью не сломать текущее, скорее всего, даже не сможет начать внедрение. Вспомним про QUIC, который строится не как новый номерной протокол транспортного уровня, рядом с TCP и UDP, а как следующий уровень над UDP.
Внедрение затянулось, это тоже сложно отрицать, но для IPv6 уже проглядывается финиш. IPv4, скорее всего никуда не уйдёт, даже в среднесрочной перспективе, но уже не будет основным, сейчас это сложно сказать определённо для всех возможных случаев.
Перебор с мемами на этих выходных, но не могу удержаться.
Читать полностью…
Посмотрите в подвале, в самом тёмном углу, возможно они всё ещё там.
Читать полностью…
Segment Routing на Arista и IS-IS, первые три статьи про основы, следующие про сервисы. Пока написано пять штук. Для Juniper и Cisco тоже есть.
Читать полностью…
Как CDN выбирают откуда отдавать трафик, публикация целиком в pdf. Авторы посмотрели на популярные в мире CDN, отдельно по странам тоже, про Россию есть. Глобально, больше выбирают через DNS, а не через anycast BGP, есть пересекающиеся варианты. Отдельно проверили использование в этом выборе DNS ECS и посетовали на непрозрачность механизмов принятия решений в выборе точки раздачи трафика, и излишнюю централизацию.