DVMRP не самый часто используемый в современности протокол, интересно, что он в каком-то виде есть в XR, но удобный в том плане, что для RPF используется независимая таблица маршрутизации. PIM использует основную.

Пока нет заплатки Cisco рекомендует его фильтровать, не важно включен он или нет, атака пройдёт в любом случае если включена мультикаст маршрутизация.

Cisco нашли 0-day уязвимость высокой степени критичности в своей ОС Cisco IOS XR, которая стоит на коммутаторах операторского класса.

Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.

Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.

Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.

А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.

Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?

Инженерные истории про мультикаст и балансировщики нагрузки в Амазоне и в конце статьи конкретные выводы, которые можно сделать в своей работе основываясь на этом опыте.

Мультикаст ругают, конечно, но сам факт того что его использовали, при чём не только в Амазоне, но и многие другие топ компании, во многом говорит что свой круг задач он решает. И то что к нему хотят постоянно вернуться, даже на глобальном уровне. Как раз та самая идеальная абстрактная концепция.

Comcast рекламирует свой VinylDNS. Выглядит симпатично, обещает много, opensource, API, есть в списке инструментов у ISC. По хорошему, надо совмещать с IPAM и другими инструментами учёта, если конечно не делать сервис DNS ради DNS.

Забавная вещица, это даже, или пока, не эмулятор Cisco или чего-то ещё, это простейший эмулятор консоли Cisco, некоторых её команд. На ввод отвечает заготовленным шаблоном, конкретный шаблон для команды настраивается в текстовых файликах. Функционально - это повторитель-ответчик на пользовательский ввод. А куда кривая разработки дальше выведет, вопрос открытый.

В таком варианте подойдёт для тестирования ботов работающих с устройствами через SSH, тот же Ansible. Заранее готовится произвольный ответ и оценивается реакция на него.

Основательный разбор RPKI от ICANN, что к чему (но про это много кто пишет), а также риски и ограничения: технические, операционные - где стоит сразу подстелить соломки.

Больше документов, в том числе и на русском, с глубоким техническим анализом Интернет технологий, на самые злободневные темы от COVID-19 до 5G.

Красивый вывод - внутри bash, mtr и запросы к внешним БД.

⚙️ Asn - удобная утилита для отображения информации об IP и домене.

#будничное #tools #network

В самом конце университета, чуть ли не на последней паре, почти инженеры слушали своего однокашника почти аспиранта про SSL, насколько я помню. Никто уже, конечно, не слушал и наверное нашему другу было не просто читать эту лекцию. А теперь только самому разбираться.

Мне кажется, что в сети нет более полного описания TLS на русском языке. Местами расписано до отдельных байт. И что радует отдельно - это не переводная калька с забугорных ресурсов, а самописный и поддерживаемый в актуальном виде документ. Есть даже описание режима CCM из TLS 1.3.
Без поллитры не заходить! TLS на таком уровне – это сложно.
https://tls.dxdt.ru/tls.html

100 лет не пользовался PRTG, но я помню, что вещь очень классная и удобная и красивая для графиков, платная. По визуальному оформлению мне Cacti ещё нравится, но там не так удобно.

PRTG объявил об альянсе с Flowmon. В практическом плане это означает интеграцию двух решений. Работает на основе встроенных в PRTG сенсорах:

- Сенсор SNMP, который контролирует устройства Flowmon.

- Сенсор Python Script для отображения значений мониторинга из Flowmon в PRTG.

События из Flowmon будут видны в PRTG, из которого будет возможен переход в Flowmon для диагностики проблемы. Если хотите узнать подробнее о работе этой интеграции, приходите 16 сентября на вебинар, который проводят совместно PRTG и Flowmon.

IT и программисты почти синонимы, когда-то это были более тесные понятия. Тот кто больше в теме знает и про другие специальности и что программисты тоже бывают разные, кто меньше для него существуют лишь одни программисты. В любом случае, умение составить программу, на любом языке, это как азбука в современных IT, а сейчас это ещё и модно.

Сегодня 256 день года, если считать с 1 (но кто же так считает) и день программиста, того самого настоящего, я надеюсь. Который знает алгоритмы и предметную область, умеет работать с ТЗ, пишет компиляторы и придумывает новые языки, эрудит и полиглот. Поэтому всех этих настоящих программистов поздравляем с их праздником!

​Буквально пару часов осталось до того момента когда время Unix перевалит за 1600000000, а ещё шанс сделать красивый скриншот.

От мастера делать "странные" вещи, просто потому что это можно сделать - передаём IP трафик через Fiber Channel. Конечно, не используя встроенные в протокол возможности, а симулировав два SCSI устройства для этого. Результат ~500Мбит/c - не ахти, но и скорость не была самоцелью.

IRRd - инструмент для создания собственной, локальной базы данных с зарегистрированными объектами маршрутизации Интернет - IRR в RPSL формате. Теперь, начиная с версии 4.1.0 и с учётом данных RPKI. Когда хочется иметь свою RIPE DB под боком.

Дьявол обитает в мелочах, иногда эти мелочи обходятся ой как дорого. Статья про то в чём разница между direct и local маршрутами в JunOS и почему это имеет значение. Интуитивно понятно, но практика не всегда совпадает с теорией.

Само по себе представленное оборудование - нормальное, не без особенностей, но рабочее, можно радоваться за Eltex и RDP.

А вот что из этого хотят построить... Как минимум, это точка отказа: отсутствие интеграции в существующую экосистему провайдера, с неизвестными рисками по надёжности и нагрузке, увеличение всех временных интервалов модернизации чего-либо и аварийных ситуаций и всё за свой счёт. Провайдеру остаётся, всё ещё, последняя миля, всё ещё...

По закону «об устойчивом Рунете» операторы должны устанавливать за свой счет технические средства противодействия угрозам (ТСПУ). Сами средства — за счет государства

⚡️⚡️⚡️ Появились первые публичные попытки внедрения ТСПУ операторам. Как и предполагалось ранее, это просто фильтры, в данном случае EcoFILTER производителя RDP.ru. Роскомнадзор предлагает выделить 9 юнитов (это специальные места для серверов, высота «юнита» - 1.75 дюйма или 1 вершок), 2кВт электричества, монтаж, бесперебойное питание и так далее

👉 Что внутри?

🔸 Байпасс оптический IS401U (это такая штука, чтобы можно было штатно пускать интернет в обход следующей штуки)
🔸Фильтр EcoFILTER-4080 (это штука, которая сражается с разрушительными твитами и юморесками)
🔸Криптошлюз IPC-100 (не буду строить умного — я не знаю что это)
🔸Коммутатор MES3348 (это такая коробочка, куда втыкаются провода для общения друг с другом)
🔸Коммутатор MES5332A (не знаю зачем их две)
🔸СПХД (система передачи и хранения данных, диски по нашему)
🔸СПФС (никто так и не выяснил, что это)
🔸2 органайзера для укладки оптического кабеля (почему не три? или вот четыре?)

❌ Всё это выглядит смешно пока мы говорим о крупных городах. Четверть стойки и половина электричества этой стойки в датацентре — эка невидаль. Но интернет не заканчивается большими городами. В некоторых случаях это надо искать новое помещение для узла связи

💰 Пояснительные записки к закону и подзаконным актам говорили, что провайдеры не понесут расходов. По рыночым ценам вот это все сверху это примерно 20000 рублей в месяц в датацентре в Москве/Питере. Не считая покупки шкафов, бесперебойников и так далее. Вроде копейки, но давайте будем честными — можете или хотите вы отдавать эти «копейки» ежемесячно в помойку? Если ответ «да», давайте мне. Я найду им применение. Буду вкусно есть. Трансмиссию на велосипеде обновлю. Мембранную куртку на зиму куплю. Или вот найдите любимого провайдера и проспонсируйте ему установку ТСПУ лет на несколько вперед

👍👍👍 Компания «Ордерком» https://t.iss.one/ordercomru в лице Дмитрия Галушко уже опубликовала на форуме Nag.ru правовую позицию по ситуации:
https://nag.ru/articles/article/107751/pravovaya-pozitsiya-dlya-osparivaniya-v-sude-nezakonnyih-deystviy-organov-roskomnadzora.html

✅ Дмитрий обращает внимание на то, что к ТСПУ должны быть установлены требования. Которые на данный момент не установлены. И ТСПУ как средство связи должно иметь сертификат или декларацию Системы сертификации Связь (ССС). Которых тоже никто не видел и увидеть не может, потому что требования так и не установлены

​Интереснейший отчёт о состоянии точек обмена трафиком за прошедшие два года 2018-2019, это не весь Интернет, но очень важная его часть. Есть трафик, количество участников, цены, используемое оборудование как самими точками так и их участниками. Отчёт составлен на основе данных IXPDB, не менее интересного проекта, откуда можно много чего вытащить самостоятельно, подробно по России например.

Собственно, достаточно много данных есть у любого участника IX: вот так просто собираются и анализируются маки из публичного вилана. Но это в моменте, интереснее следить за трендами.

Топ 3 оборудования участников: Cisco, Juniper и Микротик - это помимо всего прочего показывает, что, как минимум, на IX, рулят "железные" решения. И хватит уже относиться к Микротику как к младшему брату. Топ оборудования самих IX совсем-совсем другой.