​Во время грозы все боятся молний, что обосновано. У нас не так часто такие аварии, но как правило они масштабны. Последний раз потеряли узел который делили со своими партнёрами, оборудование которых получило удар, а мы в довесок по медному патчу.

Но гроза это не только молнии, это ветер и дождь. С учётом, что многие кабели подвешены в воздухе это куда серьёзнее опасность. На видео всё обошлось удачно для нас, но про грамотный крепёж забывать не стоит. Сезон гроз начинается.

История о том как устроить себе DNS amplification attack и решить проблему честно "обманув" Unbound.

Дано, периодические задачи Hadoop в облачной среде и всплески PTR запросов. Всё это начинает упираться в лимиты AWS, что приводит к повторной попытке запроса и усиливает эффект. Так как система многоуровневая, то и второй уровень DNS пытается повторить запрос из-за таймаута, что даёт в итоге 7 кратное усиление количества запросов к серверам. А всё это вместе выливается в SERVFAIL.

Инженеры это аккуратно посчитали и пришли к выводу что лучше разделить логически обработку PTR запросов для серой сети и публичной и убрать один уровень.Так как Unbound считает время для каждого правила отдельно, а для PTR серой сети ответ приходит быстрее, это не вызывает роста повторных попыток запросов, как было раньше с общим счётчиком retry timeout на все запросы. Результат - полностью устранённое усиление из-за повторных запросов.

И это чисто админский подход, покрутили настройки, никак не устраняя первопричину и позволили системе дальше функционировать и скорее всего с бОльшим запасом прочности. В статье делается упор на мониторинг и сбор данных позволяющий увидеть общую картину и никак не раскрывается почему был выбран данный способ решения проблемы, а не способ изменения логики работы приложения. А говорят админы не нужны.

DNS один из тех протоколов который впитывает в себя всё новые и новые функции и является скрытым под капотом очень многих современных решений. Актуальнейшая задача поиска и публикации сервисов решается во многих случаях через DNS, хотя и имеет свой API скрывающий суть вещей. Так что расслабляться не стоит, старая гвардия будет долго в строю, пусть и в новой обёртке.

Мы тоже живём на Unbound в качестве кеширующего сервера. У нас около 3000 запросов в секунду и 95% попадание в кеш. Это, к слову, о порядке величин для сравнения с графиками из статьи.

P.S. Иногда я пропускаю интересные сообщения даже в тех каналах которые читаю. Спасибо огромное всем читателям кто делится со мной ссылками, мне всегда интересно. И многим кто потом читает посты в этом канале, я думаю, тоже. Без вас никак.

В уже очень далёком 1999 я купил компакт диск с названием на обложке "Техническая документация" (сейчас вместе со мной всплакнут мои однокурсники). Это была сборная солянка из дампов сайтов, например OpenNET каких-то учебников, How-To, утилиты... Не было никакой оболочки, всё было отсортировано по каталогам в которых надо было ещё разобраться.

Самый ценный для меня оказался, уже не помню точное название, ForHackers. Именно оттуда я узнал про TCP/IP и другие сетевые протоколы, прочитал про устройство ОС и компьютеров, как вообще устроен молодой в то время Интернет и телефонные сети, банковские карточки. Во многом это не было какая-то специфическая информация для взлома, это было просто описание систем и решений, удачно собранных в одном месте. Что-то вроде вот этого репозитория. Знающий человек уже хакер, всё просто - информация это сила.

Russ White про BGP Monitoring Protocol, который уже хочется начать использовать. Потому что некоторые вещи, из того что там есть, добываются очень большим трудом и всё равно не получается в полном объёме. А видеть что происходит с BGP в большом разрешении очень полезно. Это стандарт с 2016 года, в софтовых роутерах уже есть реализации (как минимум базовые) или они на подходе.

RIPE NCC проводит опрос о своей работе и пожеланиях, для всех кто работает с ними и их сервисами.

Ах, да. Есть возможность выиграть iPad.

​Fast это консольный и веб клиент одноименного спидтеста от Netflix, чуть подробностей в Записках админа. Мы очень давно, правда с переменным успехом, пользуемся speedtest-cli, которым тестируем скорость по разным направлением через различных провайдеров. Не могу сказать что это как-то помогает строить нашу аналитику, всё-таки больше полезен простой пинг, получается нагляднее. Измерения скорости очень нестабильный показатель, сильно зависящий от локального таймера и нагрузки на систему. Но абоненты любят смотреть на скорость, поэтому упускать такой показатель из виду не стоит.

В любой самой-самой сплочённой команде иногда происходят события на которые могут повлиять только часть команды, а оставшиеся, самое лучше что могут сделать, это не мешать, совсем, лучше вообще скрыться с глаз.

Сегодня прямо прекрасное попадание на Honest Networker: подпись, видео и настроение.

Не люблю такие сравнения. Хотя статья вроде и называется чем отличается OpenBSD и Linux, но предугадать к чему придёт автор не сложно. Сообщество разработчиков OpenBSD продолжая следовать изначальной философии делает действительно многие отличные вещи, которые приняты и на других платформах.
Но надо признать что Linux победил. За счёт конкуренции внутри сообщества, за счёт достаточной гибкости в подходах, когда видимый результат бывает важнее способа его достижения. Это известная история с чего начал Торвальдс, реализовал только нужные системные вызовы ядра для bash, пытаясь его запустить и добавляя недостающие.
Небольшие команды лучше связаны и если у них есть отличная идея, получаются очень хорошие и эффективные её реализации, лучше чем в универсальных системах, лучше обслуживаемые. У OpenBSD, наверное, есть своя ниша, но пользоваться ей как системой, увы, мне не приходилось. Желание сделать обязательно систему для десктопа, которое присутствует в сообществах многих ОС, на мой взгляд, тормозит их и отрывает силы от тех полезных вещей которые стоит развивать.

Первые две статьи про LISP в решении Cisco Software Definition Access (SDA). Рассказывается что это за зверь и чем это всё отличается от подхода в рамках обычных сетевых протоколов. Терминология и самые основы. Примеры настройки во второй части.

Кто пропустил КРОС2019 можно уже скачать презентации https://cros.nag.ru/archive - повестка обычная, за жизнь провайдеров в общеглобальном смысле. Что делать с законами и продажами и каким средствами это можно достичь. В тренде умные домофоны и дома, IoT, QoE, повышение цен. И вечная тема как договориться с ЖЭУ (ТСЖ), чтобы тебя пустили в дом.
И ещё чуть-чуть видео в плейлисте на Youtube.

Много шпаргалок по различным аспектам сетей. Всё по разделам, есть оглавление. Сама шпаргалка - одна страничка в PDF.

Хорошая white paper на тему устойчивости шифрования к квантовым компьютерам.
Итоги:
1. Используйте где возможно симметричное шифрование с максимально возможной длиной ключа. Аналогично с хэш функциями.
2. Для новых долгосрочных проектов с ассимитричным шифрованием запланировать возможность замены алгоритма на квантовоустойчивый.
3. Если вас критично, что перехваченную сегодняинформацию вскроют при появлении квантовых компьютеров необходимо применять гибридные схемы.
4. Стандарт квантово устойчивого шифрования от nist появится не раньше 2022-2024. Сейчас аторая стадия конкурса из 26 алгоритмов.

Спасибо большое за ссылку от нашего подписчика: "Что по этому поводу думает Cisco".

Утилита которая из вывода netstat сделает красивые диаграммы взаимосвязи клиентов с сервисами. В дополнение к диаграмме будет статистика сколько клиентов привязано к каждому серверу (если в исходных данных объединены несколько серверов) и самые нагруженные сервисы по числу клиентов. Написано достаточно просто, чтобы разобраться не только тем кто в Ruby силён. И конечно, это полезно не только атакующему, хотя статья именно в этом ключе.

Презентация и выступление Geoff Huston на RIPE78 о текущем положении дел с маршрутизацией в Интернет. Можно самостоятельно сколько угодно смотреть на графики с количеством префиксов, анонсов, сетей и быть очень далёко от понимания происходящего. Поэтому стоит обязательно посмотреть на те же графики с комментариями, даже просто в презентации без сопровождения докладчика. Мир в котором адресов уже нет, а счастливое будущее ещё не наступило, что происходит сейчас и чего ждать в ближайшем времени.

Вчера по оптимистичным оценкам Гугла почти все их американское вычислительное облако лежало четыре с половиной часа. По слухам: из-за ошибки в работе маршрутизатора разнесло большой кусок сети, все видели потерю пакетов. Не работала часть сервисов Гугла (включая Ютуб и Gmail), не работало много сервисов которые уехали в гугловское облако (например снапчат). Также судя по слухам, сломался внутренний инструмент, который сетевые инженеры Гугла используют для общения вокруг инцидентов, что и привело к такому длительному простою.

Тяжелая история, пока чемпионом по стабильности среди облаков с огромным отрывом является Амазон. https://status.cloud.google.com/incident/compute/19003

Прошивки для Cisco разные, много. Не совсем свежие и не совсем из надёжного источника, но для всяких лаб пойдёт.

Если нравится журнальный формат то можно почитать самый что ни на есть отраслевой журнал про Интернет - "Интернет изнутри". 11 выпусков с 2015 года, приятней было бы держать в руках, чем в электронном виде, но что есть то есть. На витринах остался только гламурный глянец и про автомобили.
Главный редактор Андрей Робачевский в своё время написал книгу с таким же названием про то как работает Интернет, простым языком и ещё актуальную. Про маршрутизацию, адресацию, пиринги, точки обмена трафиком, провайдеров, про всё то что не видно большинству пользователей. Можно смело брать и читать.

"SQL" для файловой системы - утилита командной строки fselect:

fselect size, path from /home/user/tmp where size gt 2g

Переключение контекста несомненно тормозит процесс, но всё равно пока не очень могу представить ситуацию, когда постоянно работаешь с SQL и в то же время надо сделать сложный ls. Однако подход интересный и наверное даже более понятный для тех кто знает SQL по сравнению с ключами ls.