2193
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Не всем нравится что стандартизация новых возможностей в BGP проходит слишком медленно, медианное значение 3,5 года. Поэтому надо сделать подход к реализации BGP модульным и независимым от платформы, и тогда попробовать что-то можно будет на раз два, самостоятельно реализовав собственный модуль. 3 года прошло уже, может быть и полетит, если стандартизуется конечно.
А теперь немного сложнее, про MPLS, там же на Хабр, на примере той же Cisco. Когда нюансы имеют значение.
Читать полностью…
Давненько я не встречал Cisco в SOHO, всё Микротики вытеснили, которые при всём своём странном подходе к настройкам в разы проще Cisco, для современных админов точно. По этой причине Cisco часто прямо так из коробки ненастроенная и стоит, особенно если это коммутатор. Но если вдруг понадобилось настроить, а кроме Микротиков ничего больше не встречалось, не забудьте про защиту, которой нет по умолчанию.
Читать полностью…
За три года накопилось немного случаев с той стороны (со стороны абонента провайдера), и в комментариях тоже есть немного. Я люблю провайдеров, вы про настоящие сети. Провайдеры, любите своих клиентов, я знаю вы умеете когда захотите.
Читать полностью…
Практика обеспечения отказоустойчивости DHCP и зачем нужно поле secs, на примере Windows серверов.
А теперь, как замена двух коммутаторов выглядит в реальных красках. Утащено у автора Заметок сетевого архитектора.
Читать полностью…
Конечно, битовая природа CRC имеет смысл, потому что компьютеры обрабатывают далеко не только байты, особенно при их передаче. На мой взгляд не совсем понятен заход со стороны математики, а не практики, но может быть это только мне. А ещё, бит чётности - это CRC1.
В коллекцию говорящих PTR в трассировке, не буду приводить полностью, просто один шаг:6 34 ms 34 ms 35 ms tspu-6364.no-hope.msk-m9-cr5.ae666-3002.rascom.as20764.net [80.64.97.55]Но надежда, что Telegram вернется к жизни ещё остаётся.
Обширное дополнение про перехват в механизме выпуска сертификатов от автора RFC8657 и много чего ещё Hugo Landau. Плюсы, минусы, дыры, что произошло и что ещё может произойти, как защищаться или как минимум усложнить жизнь атакующей стороне.
Читать полностью…
Geoff Huston на тему TCP vs. QUIC на APNIC 56 проходившей в начале сентября, и презентация. Процитирую последний слайд:
What can a Network Operator Do?
When all customer traffic is completely obscured and encrypted?
- Traffic Shaping?
- Regulatory Requirements for traffic interception?
- Load Balancing / ECMP
А сейчас с QUIC всё очень даже неплохо.
VPP и виланы, теория и конкретные примеры настройки в конкретных задачах.
Читать полностью…
Поведение различных устройств/систем при попытке установки соединений BGP от неизвестных соседей - сессия не устанавливается, но мы знаем что BGP это прикладной протокол, поэтому TCP SYN может проходить и добираться до демона BGP, хотя и не для всех. Это может быть проблемой, поэтому добавьте фильтров на сетевой интерфейс, не надейтесь на поведение по умолчанию.
Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.
Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.
Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.
Мораль:
1. Проверяйте фингерпринты сертификатов даже если лень.
2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.
Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.
Пост на HN: https://news.ycombinator.com/item?id=37955264
Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/
Большая лаба по BGP на разные аспекты управления трафиком, о чём же ещё. И прямая ссылка на Google drive PDF: начальный конфиг, задача, проверка, изменения, финальный конфиг, проверка - всего 155 страниц.
Читать полностью…
Незамутнённый научный взгляд спрашивает: "А можем ли мы ещё усилить DNS атаку основанную на отражении?" и проведя соответствующее исследование отвечает: "Конечно можем, ведь до сих пор злоумышленники делали всё неправильно". Помимо увеличения объёмов трафика за счёт увеличения размеров пакета, количество повторных пакетов в ответе на один запрос тоже можно увеличить. Механизмов несколько, один из которых, вероятно, системы фильтрации и Китай впереди планеты всей в этом вопросе.
Сегодня nexthop, первые доклады уже прошли, два зала, из каждого есть трансляция.
Читать полностью…
Товарищи подсказывают что сегодня ночью время Unix перевалило за 1700000000, всех поздравляю с новыми прожитыми 100000000 секундами.
Мой преподаватель университетского курса по конечным автоматам на первой лекции назвал их теорией всего, я не помню какие дальше шли примеры и аргументы, но вот хорошая вводная лекция по конечным автоматам, чтобы послушать, заинтересоваться и посмотреть чуть поглубже, хотя бы как это всё описывается матрицами. Конечно, все студенты курса их успешно использовали для проектирования всяких аппаратных штучек на микроконтроллерах, и для чисто программистских штук тоже.
Не скажу что для меня это повседневная история, но она обычная, не вызывающая вопросов и очень чётко распознаваемая. С грамматиками, например, всё куда печальнее. Но вот, хотя и не часто, общаясь с программистами по каким-то профессиональным темам, не хочу обобщать, но конечные автоматы почему-то воспринимаются ими так как было сказано в самом начале выступления - теоретическая, математическая абстракция, и, соответственно, не используемая в явном виде. Такое же отношение к регулярным выражениям, как сложной и непонятной штуковине, хотя регулярные выражения не менее практичные и тоже, кстати, конечные автоматы.
Краткая история Ethernet к 50 юбилею на NANOG 89 и слайды.
Читать полностью…
Страшно, очень страшно - меняем на горячую одну пару vPC L2 коммутаторов на другую. Совсем страшно немного другое, если всё сделать аккуратно и правильно то связность восстановится и даже может и не пропадёт, но конечным хостам в этом домене может всё равно поплохеть. Вариантов как это всё пройдёт от слоя к слою до высокоуровневых протоколов очень много, с неожиданно истёкшими таймерами, заново формируемыми таблицами коммутациями, внезапно сменившимися идентификаторами. Поэтому заложите в работы простой, так будет спокойнее.
Читать полностью…
Красивая шпаргалка по основным моментам BGP, но это если не придираться к деталям, которые показывают насколько глубоко вы в BGP погружены.
Балансировка нагрузки сетевого UDP приложения средствами сетевого стека Linux: SO_REUSEPORT и SO_ATTACH_REUSEPORT_CBPF в двух частях. Все грабли и суть во второй части вместе с очень простым примером программы на BPF и способом его компиляции, а также кодом самого сервера на разных этапах по ссылкам на Github.
Поразмышлять перед сном. Лично мне не хватает BNG/BRAS, не вообще, а одного конкретного, но его уже никто не заменит. А в текущих потребностях нормального корпоративного маршрутизатора где всего понемножку: с туннелями, NAT'ом, файрволлом с кластеризацией и асимметрией, SD-что-то пусть тоже там будет.
Убедитесь что своей инфраструктурой управляете вы и только вы, или будьте готовы делиться не только ответственностью и сложностью, но и проблемами. История про Aruba, ZeroTouch и облака, в которой администраторов с доступом больше чем вы видите. Частная история, но не новая, Ruckus тоже так умеет.
Читать полностью…
Устройство сети в VK Cloud - всё виртуальное и программно-определяемое. Про не виртуальные сети почти не говорится, зато про остальное достаточно подробно. История собственной разработки, было/стало.
Читать полностью…
Шпаргалка по бинарной арифметике и логике и чуть больше. Мне нравится тем что охвачено сразу много, включая числа с плавающей точкой и, особенно, то что есть конкретные примеры работы с битами в нижней части схемы. Мне не хватает примеров составления логических функций по таблицам истинности и их упрощения, хотя базовые элементы этого присутствуют. С отрицательными числами на мой взгляд вообще мимо в плане восприятия. Для тех кто помнил, но забыл.
Читать полностью…
Итоги на мой взгляд ожидаемые. Смешно, но я забыл термин dial-up, может быть, потому что мой первый Интернет был через EDGE, а проводной через DSL, а компьютер без Интернет был в общем-то нормой. Ещё я вас обогащу термином AON - это оптика до вашего домашнего роутера, но не PON, где A - Active. И пока мы посматриваем не взять ли себе домой гигабитное подключение, некоторые наши подписчики, спасибо им большое за комментарии, живут в абсолютном будущем и могут позволить себе 25Гбит/c чистого незамутнённого Интернета оптикой прямо в порт не PONом!, который у нас становится всё популярнее.
Если вдруг давно не заходили на Looking glass MSK-IX, то там теперь доступна возможность графически увидеть маршруты от IX до заданного префикса, естественно, если он каким-то образом там присутствует. Кнопка называется "Нарисовать схему" и появляется она после выполнения какой-либо из основных команд по просмотру префиксов или соседств.
Сам узнал, что называется, из первых рук и поэтому всей команде MSK-IX большой привет. А для личного общения и инсайдов уже скоро пиринговый форум, регистрация на который открыта.
IOS XR решили новую нумерацию версий сделать - по датам. Меня в датах смущает только одно, совершенно невозможно отделить эпохальный релиз от не эпохального, как будто производитель, любой, говорит что у меня все релизы одинаковые и никаких больших ломающих изменений между релизами не будет. А если наоборот, каждый релиз эпохальный, то это ещё хуже. Могу погадать, что на этом история IOS XR подходит к концу, через какое-то время маркетологи, чтобы выделить очередную новую фичу, просто решат сменить название, а не последнюю цифру в череде таких же.
Читать полностью…