DNS over что-то это всё ещё DNS и специально ни от каких атак специфических для DNS не защищает. Rebinding точно можно сделать.
NCC Group Research Blog
Impact of DNS over HTTPS (DoH) on DNS Rebinding Attacks
DNS over HTTPS (DoH) is a new protocol to perform DNS resolution over HTTPS. It has been in the news recently as Google and Mozilla have both implemented DoH in Chrome and Firefox respectively. DoH…
На Habr впечатления от ACI и VXLAN внутри датацентров. Могу подтвердить, что многие шарахаются от графического интерфейса в силу привычки, но даже больше не от этого, а от потери иллюзии полного контроля. При том решения под ключ, вроде
ACI, наверняка сэкономят средства в будущем, хотя бы за счёт того же графического интерфейса и управления в "один клик". Люди стоят дороже этого.Хабр
Опыт реализации сетевых фабрик на базе EVPN VXLAN и Cisco ACI и небольшое сравнение
Оцените связки в средней части схемы. Ниже к ним вернёмся В какой-то момент вы можете столкнуться с тем, что большие сложные сети на базе L2 неизлечимо больны. В первую очередь проблемами,...
Forwarded from Yandex Cloud
Делимся подробными post-mortem о произошедших на прошлой неделе инцидентах с DNS и о мерах, которые мы предпримем во избежание их повторения в будущем.
6 апреля:
Проблемы в работе DNS в зоне доступности ru-central1-c
7 апреля (инцидент повторился дважды):
Проблемы с резолвингом DNS - 13:41 - 14:32
Проблемы с резолвингом DNS - 21:03 - 21:29
Напоминаем, что мониторить статус работы сервисов всегда можно на нашем статус-борде.
6 апреля:
Проблемы в работе DNS в зоне доступности ru-central1-c
7 апреля (инцидент повторился дважды):
Проблемы с резолвингом DNS - 13:41 - 14:32
Проблемы с резолвингом DNS - 21:03 - 21:29
Напоминаем, что мониторить статус работы сервисов всегда можно на нашем статус-борде.
Что-то я пропустил, в OpenBSD есть
Неплохой вариант для внутреннего потребления. У нас поднят немного допиленный от version6.net, когда-то очень популярный, сейчас его пожалуй не стоит использовать. И теперь я почти уверен на что его поменяю.
looking glass для их же bgpd, что называется из коробки - bgplg. Выглядит симпатично и подкупающе просто (первая ссылка из Google). Настраивается тоже не сложно, на Хабр есть на русском. Неплохой вариант для внутреннего потребления. У нас поднят немного допиленный от version6.net, когда-то очень популярный, сейчас его пожалуй не стоит использовать. И теперь я почти уверен на что его поменяю.
Forwarded from Network Warrior
https://isbgpsafeyet.com/ проверь своего ISP.
Isbgpsafeyet
Is BGP safe yet? · Cloudflare
On the Internet, network devices exchange routes via a protocol called BGP (Border Gateway Protocol). Unfortunately, issues with BGP have led to malicious actors being able to hijack and misconfigure devices leading to security problems which have the potential…
В тервере есть очень известный парадокс дней рождений учеников в классе. Если учеников 23 или больше то вероятность, что дни рождения двух из них совпадут больше 50%.
А теперь представим что у нас есть несколько устройств одного производителя. Если
Насколько такая ситуация реальна на практике? Вполне себе, самый простой пример из провайдерской жизни это телевизионные приставки (STB) которых много, они одного производителя и которые часто авторизуются в middleware по
Тот самый случай когда пригодились знания из почти школьной программы и, наконец, появился повод почувствовать себя инженером, задним числом. Не забывайте пользоваться математикой, она реально работает.
А теперь представим что у нас есть несколько устройств одного производителя. Если
MAC адреса для них сгенерированы случайно, это всего лишь 2^24, немногим меньше 17M вариантов адреса на устройство, так как старшая часть определяет производителя, то 1800 таких устройств дадут вероятность совпадения адресов хотя бы двух из них 9%. 5000 (на самом деле меньше) больше 50%.Насколько такая ситуация реальна на практике? Вполне себе, самый простой пример из провайдерской жизни это телевизионные приставки (STB) которых много, они одного производителя и которые часто авторизуются в middleware по
MAC адресам. Ещё часто они находятся в одном мультикаст вилане. Это не совсем широковещательный домен, но коллизии прямо на оборудовании возможны, при том что сравниваются не адреса, а их хеши которые могут иметь меньшую размерность.Тот самый случай когда пригодились знания из почти школьной программы и, наконец, появился повод почувствовать себя инженером, задним числом. Не забывайте пользоваться математикой, она реально работает.
Twitter
Chris Marget
I have LANs with 1800 randomly generated MAC addresses, all from single OUI. So 2^24 addresses. Can it really be a 1-in-11 odds that I'll have a collision? https://t.co/DPUIk07dLI
Радио-Т принёс на хвосте ssh-chat, игрушка для ностальгирующих в современной обёртке, пожалуй стоит поставить :)
GitHub
GitHub - shazow/ssh-chat: Chat over SSH.
Chat over SSH. Contribute to shazow/ssh-chat development by creating an account on GitHub.
Forwarded from linkmeup
Наверно, в этом посте в удобнейшем виде собраны все знания человечества про STP. Часть из них полезная, точно.
А всем правдорубам задание - найти чего там нет.
https://momcanfixanything.com/spanning-tree-protocol-summary/
А всем правдорубам задание - найти чего там нет.
https://momcanfixanything.com/spanning-tree-protocol-summary/
Mom, Network Engineer, Juniper Ambassador
Spanning Tree Protocol Summary
TERMINOLOGY BRIDGE ID: 8 bytes ID that uniquely identifies each switchFor calculations purposes the first 2 bytes are treated as priority, while the next 6 bytes are the switch’s MAC address:…
IOS-XR может сама нарисовать топологию IS-IS, почти:
show isis database graph verbose. Получается вывод в DOT, который достаточно подсунуть любой программе которая его понимает. Вот бы и для остальных протоколов было и не только на XR.Cisco
Create IS-IS Topology from CLI Output of IOS-XR Router
This document describes how to create an Intermediate System to Intermediate System (ISIS) topology from a CLI output of a router with IOS-XR
Чтобы понять как работает Интернет надо сделать свой Интернет, что и сделали для своих студентов в высшей технической школе Цюриха и выложили свои наработки на GitHub. Внутри
Не знаю кто кого вдохновлял, но есть ещё похожий проект карманного Интернета, правда в режиме заморозки.
Docker, FRRouting, Open vSwitch, а ещё готовые топологии и конфигурация на 60 автономных систем.Не знаю кто кого вдохновлял, но есть ещё похожий проект карманного Интернета, правда в режиме заморозки.
APNIC Blog
Develop your own mini-Internet to teach students virtually about network operations | APNIC Blog
Guest Post: Open-source project allows you to build a virtual mini-Internet to put students in the shoes of a network operator.
Я из тех людей, героев анекдотов, для которых ничего не поменялось, которые не страдают от того что не выходят из дома, даже наоборот - домашний режим мой основной: дом, работа, дом, работа, магазин, дом, дом, работа, магазин... Наверное, кому-то это покажется скучным, наверное, даже я это понимаю, что стоило бы почаще выходить, но сейчас все в таком положении.
Единственная проблема, я не люблю и старался не смешивать рабочее и домашнее пространство, поэтому дома у меня даже стола для работы нет. И по сравнению с тем что у меня было в офисе мне жутко не хватает свободного места, со всех сторон, тут дело не столько в количестве экранов. Конечно, у нас нет такого как в Yandex, но в целом и сервисов у нас поменьше, поэтому многие обошлись своей домашней техникой, хотя кто-то мониторы и забрал.
Не уверен что у всех есть Instagram, но вот 5 фотографий пустующих рабочих мест в нашем офисе, догадаетесь какое моё? Правильный ответ есть и я его обязательно скажу. Никаких подвохов или скрытых смыслов, чистая интуиция.
Единственная проблема, я не люблю и старался не смешивать рабочее и домашнее пространство, поэтому дома у меня даже стола для работы нет. И по сравнению с тем что у меня было в офисе мне жутко не хватает свободного места, со всех сторон, тут дело не столько в количестве экранов. Конечно, у нас нет такого как в Yandex, но в целом и сервисов у нас поменьше, поэтому многие обошлись своей домашней техникой, хотя кто-то мониторы и забрал.
Не уверен что у всех есть Instagram, но вот 5 фотографий пустующих рабочих мест в нашем офисе, догадаетесь какое моё? Правильный ответ есть и я его обязательно скажу. Никаких подвохов или скрытых смыслов, чистая интуиция.
Мой стол на фотографии номер 4. Справа на перегородке приклеена таблица масок IPv4, прямых и обратных. Шар на перегородке это
Монитора у меня два, но справа на стене кабинета висит ещё три: с картой сети, ТВ эфиром, и загруженностью входящих линий ТП. А вот стол где ничего нет, фотография 5 - это рабочее место инженера по ТВ, вот у него три монитора которые он у нёс домой и на которых он постоянно смотрит телевизор :) такая работа.
Magic 8 ball, но мы им не пользуемся, честно-честно. За деревом-цветком стойка с коммутаторами для обслуживания сотрудников на этом этаже, она нас греет зимой и почти не шумит. На ней большой магнит с логотипом Cisco с какого-то Cisco connect, подарок коллеги. Где-то за монитором лежит RIPE Atlas probe номер 50398. Да, это розовая клавиатура. Монитора у меня два, но справа на стене кабинета висит ещё три: с картой сети, ТВ эфиром, и загруженностью входящих линий ТП. А вот стол где ничего нет, фотография 5 - это рабочее место инженера по ТВ, вот у него три монитора которые он у нёс домой и на которых он постоянно смотрит телевизор :) такая работа.
Цифровая пакетная передача данных по радиоканалам, в том числе и в любительском радио дело вполне освоенное. Поэтому скучающие радиолюбители, почти готовыми средствами на коленке сооружают IP over MORSE длинными, морозными, зимними вечерами. Мало подробностей, но есть ссылки и названия инструментов.
Вообще, насколько я понимаю, в основном AX.25 используется, для тех кто хочет IP на КВ гонять между континентами. Но тут я могу ооочень сильно ошибаться, очень. Тут настоящая связь, не то что наши админские побрякушки.
Вообще, насколько я понимаю, в основном AX.25 используется, для тех кто хочет IP на КВ гонять между континентами. Но тут я могу ооочень сильно ошибаться, очень. Тут настоящая связь, не то что наши админские побрякушки.
Vanheusden
IP over morse
www.vanheusden.com
В BIND 9.17 обещают
DoH и DoT, в 9.16 тоже будет. А пока можно почитать как это в ISC себе представляют.GitLab
DOH and DoT Design · Wiki · ISC Open Source Projects / BIND · GitLab
Welcome to the public repository for BIND 9 source code and issues. Classic, full-featured and mostly standards-compliant DNS.
Хорошая статья про *nix shell, много про клавиатурные сокращения и про специальные символы при вводе, которые позволят сильно сэкономить время, если в них не ошибаться.
А если после прочтения захотелось что-то поменять в своём
А если после прочтения захотелось что-то поменять в своём
.bashrc, .zshrc, а может даже в rc.conf, то знайте что "RC" это вовсе не Radio Control :), это Run Commands или Run Control и корни этого уходят во времена до Unix и даже до Multics.Balthazar-Rouberol
Shell productivity tips and tricks
An introduction to shell productivity features: autocompletion, keyboard shortcuts, history navigation and shell expansions.
Hurricane Electric на своём tunnelbroker.net перестал раздавать бесплатный BGP пиринг всем желающим. Собственно, это и написано, теперь, на первой странице. Несколько, на самом деле уже много лет назад, я хотел сделать именно так, поднять
Время туннелей прошло и тоже уже очень давно, что никак не отменяет значимости того что делали Hurrican Electric для этого. А сейчас они есть в общем пиринговом вилане на MSK-IX, правда IPv6 с их стороны приоритетней в другого оператора, но и у нас теперь этих операторов несколько.
BGP соседство и анонсировать наши IPv6 маршруты на самый-самый крайний случай. Но у меня не получилось, все настройки правильные, в почте все нужные подтверждения, статус ждите... и ничего. При этом я точно знаю оператора в нашей области который пользуется именно так, до сих пор.Время туннелей прошло и тоже уже очень давно, что никак не отменяет значимости того что делали Hurrican Electric для этого. А сейчас они есть в общем пиринговом вилане на MSK-IX, правда IPv6 с их стороны приоритетней в другого оператора, но и у нас теперь этих операторов несколько.
Reddit
From the ipv6 community on Reddit
Explore this post and more from the ipv6 community
Интересный инструмент получается. Для тех кому удобнее на русском можно на Хабре почитать https://habr.com/ru/post/496984/.
Хабр
Flipper Zero/One — теперь два устройства. Подготовка к Кикстартеру
Flipper — проект карманного мультитула для хакеров в формфакторе тамагочи, который я разрабатываю с друзьями. Предыдущие посты [1],[2]. Сайт проекта: flipper...
Forwarded from ЗаТелеком 🌐
Зацените какая штука — тамагочи для хакеров! https://flipperzero.one/zero
Коротко: это мультитул, с помощью которого можно тестировать на прочность всякие радиопротоколы (в, например, 433MHz и вообще в sub 1GHz) для бытовой техники — всякие звонки, датчики и прочее. Можно считывать и переписывать RFID-метки. Эмулировать карточки и брелоки. Считывать инфракрасные и отправлять сигналы для ДУ-пультов. Ну и вообще использовать для чтения/записи данных из различных проводных интерфейсов.
Короч, полезная шняжка!
Делают ее ребята из московского хакспейса Нейрон, с которыми я дружен. Пока это прототип и купить ее нельзя, но в мае они планируют запустить краудфандинг. Сейчас можно оставить предзаказ на сайте. Для чего пролистываем в самый них по ссылке и вводим свой имейл. Сбор предзаказов нужен, чтоб понять сколько народу вообще интересуется темой и реалистичность прожекта.
Коротко: это мультитул, с помощью которого можно тестировать на прочность всякие радиопротоколы (в, например, 433MHz и вообще в sub 1GHz) для бытовой техники — всякие звонки, датчики и прочее. Можно считывать и переписывать RFID-метки. Эмулировать карточки и брелоки. Считывать инфракрасные и отправлять сигналы для ДУ-пультов. Ну и вообще использовать для чтения/записи данных из различных проводных интерфейсов.
Короч, полезная шняжка!
Делают ее ребята из московского хакспейса Нейрон, с которыми я дружен. Пока это прототип и купить ее нельзя, но в мае они планируют запустить краудфандинг. Сейчас можно оставить предзаказ на сайте. Для чего пролистываем в самый них по ссылке и вводим свой имейл. Сбор предзаказов нужен, чтоб понять сколько народу вообще интересуется темой и реалистичность прожекта.
Внутренности RPKI как они есть и попытка сделать это доступным для восприятия, но всё равно будет понятно только тем кто в теме и достаточно глубоко. В блоге APNIC небольшая презентация продукта.
Инструмент попроще https://rpki-validator.ripe.net/bgp-preview - показывает достоверность/недостоверность, можно поискать существующие подписанные объекты и статус доверенных центров.
Инструмент попроще https://rpki-validator.ripe.net/bgp-preview - показывает достоверность/недостоверность, можно поискать существующие подписанные объекты и статус доверенных центров.
APNIC Blog
RPKIVIZ: Visualizing the RPKI | APNIC Blog
Guest Post: Visualizing the RPKI is a first step to help people to detect and diagnose misconfigurations with their RPKI deployment.
Nftables всё ближе, но от привычного iptables просто так не избавишься. Поэтому на помощь приходит iptables-nft, последние версии которого почти также быстро оперируют с правилами iptables переводя их в nftables как и классический iptables. Но далеко не всегда и совсем недавно ситуация была более чем плачевная. Если хочется nftables пользуйся nftables без всяких прослоек, а вывод в статье позитивный.Red Hat Developer
Optimizing iptables-nft large ruleset performance in user space | Red Hat Developer
When examining Linux firewall performance, there is a second aspect to packet processing—namely, the cost of firewall setup manipulations. In a world of containers, distinct network nodes spawn
Про BGP table version, как это работает и зачем нужна. Примеры использования со всеми командами и обнаружением проблем. Не бывает ненужных полей, всё может когда-нибудь пригодиться.