Ещё раз про SSH и почему это важный и далеко не самый простой аспект в работе. Описывается конкретный продукт, но проблемы поднимаются общие и действительно значащие, и если вы на них ещё не обратили внимание, то самое время обратить. Сертификаты, везде сертификаты и без автоматизации никуда.

Ещё больше про SSH и сертификаты в блоге smallstep.com. Тема по которой многие предлагают свои решения.
За ссылки большое спасибо нашему подписчику, без вас и вашего участия никуда.

Половина автономных сетей в Интернет никак не заботятся о спуфинге, конкретно в этой статье исследовался вопрос получения из внешних сетей пакетов с внутренней адресацией, другими словами применяемость BCP84.

Рядом идёт и BCP38 о котором я узнал на YaC2013. Спикеры ужасались попустительством со стороны операторов в отношении фильтрации и борьбы со спуфингом, а я, уже не начинающий специалист (по крайней мере я себя таким считал), ужасался тому что слышу о таких вещах в первый раз и являюсь одной из причин текущего плачевного состояния. В итоге, я приехал и всё переделал, не сразу, но мы этим стали заниматься на постоянной основе. Собственно, ситуация не меняется, по сравнению с 2013 как следует из статьи, да и началом 2000-х, когда эти BCP были выпущены.

А если с базовой фильтрацией уже разобрались и хочется следовать современным тенденциям, то вот примеры настроек фильтрации с помощью RPKI для многих продуктов. Не упускайте из виду, что помимо настроек на роутерах нужен валидатор, ссылки есть в тексте.

И будьте пожалуйста ОЧЕНЬ внимательны к любой фильтрации. Мне об этом часто пишут коллеги, что я чересчур категорично подхожу к этому вопросу и для всего есть нюансы. Поэтому прежде чем что-то рубить, вроде тех же INVALID ROA убедитесь что они действительно не нужны даже в таком статусе. Свяжитесь с источником и узнайте причину, помогите в конце концов с настройками.
Помимо этого, многие рекомендации противоречат друг-другу, так всегда бывает в больших и сложных системах. Поэтому пытаясь что-то фильтровать можно ненароком сломать, например, механизм противодействия DDoS который часто используется с /32 префиксами и сделать хуже чем было. Всё знать не всегда получается, но разобраться в вопросе, перед тем как действовать, просто необходимо.

Как работает IPv6 в проводе, серия из 7 постов с детальными объяснениями, в том числе и в сравнении с IPv4. Дампы, схемы, теория - всё включено.

И я всё ещё советую почитать Ярослав Тихий. "IPv6 для знатоков IPv4". Что-то конечно устарело, механизмы перехода, как минимум, но в целом, к моменту написания база протокола уже сформировалась и вся теория применима. Кроме того, некоторые вещи для IPv4 станут понятнее, например MLD, он же IGMPv2 для которого материалы на русском не так часто встречаются.

Простая утилита, по сути обёртка над уже готовыми модулями Python - dnc, для получения A, AAA, MX и даты завершения TLS сертификата на этом домене, если есть. Пример возможности сделать в точности то что хочется, с минимальными усилиями. Я бы даже сказал что тут и программирования нет - утилитарный подход к проблеме.

Почему я обратил на неё внимание, это получение даты окончания действия сертификата из командной строки. Используя openssl это делается вот так:

openssl s_client -servername $domain -connect $domain:$port 2> /dev/null | openssl x509 -noout -enddate

Если у вас Windows, как у меня, то добавьте echo | в самом начале, иначе придётся Ctrl+C нажать для завершения и замените /dev/null на nul.

Наши подписчики добавляют лоск:

~$ : | openssl s_client -connect google.com:443 2>&1 | openssl x509 -noout -dates

notBefore=Feb 17 12:27:54 2021 GMT
notAfter=May 12 12:27:53 2021 GMT

"не надо echo, достаточно true, built-in которого в bourne shell - это : и в /dev/null тоже не обязательно слать.
Ещё важный момент, сервер может отвечать bundle из сертификатов, а openssl возьмёт только первый и для него выдаст dates, правда, первый обычно в цепочке такой и будет выпущен именно для хоста, а не intermediate или ca root."

Тема разговоров во всех профильных чатах уже вторую неделю. Да, процесс идёт. ТСПУ, возможно ещё не на боевом дежурстве, но по местам уже расставлены/расставляются. DNS в том числе, но это меньшее из зол. Плюс к нему netflow, BGP пиринг, SNMP. Для всех кто имеет AS, но операторы всё равно больше всех попадают.
Грусть, печаль... прошлого не вернуть, теперь это новая реальность.

APNIC выбирает Knot для работы с подписями DNSSEC, статья про то как, что и с чем сравнивали.

Сервер для проверки замедления доменов t.co который сделал Леонид Евдокимов. Обсуждение здесь.

https://speed.gulag.link/

Снизу и сверху тесты скорости до одного и то же сервера, разница только в доменах:

Первый t.co.speed.gulag.link
Второй speed.gulag.link

UPD: Если вы видите значительную разницу в скоростях, значит вас тоже опустили. Обычно если проблема есть, то сверху будут значения около 0.1 а снизу >1. Не смотрите на абсолютные значения скорости, значение имеет только разница. Это дешевый сервер в Scaleway с узким каналов.

​HTTP/3 vs. HTTP/2 vs. HTTP/1.1 под разными углами в картинках.

Лучший способ понять как работает сеть, тот или иной протокол, это написать собственный клиент или сервер. Можно смотреть и в дампы конечно, но сделать своё работает лучше когда становишься непосредственным участником процесса. Тем более в первом приближении это не так уж и сложно. Серия из нескольких постов, начиная с теории до реализации простейшего TCP SYN сканера на Python используя модуль socket. С ручной генерацией нужных пакетов с заполнением всех полей. Бонусом то же для ICMP.
Тут даже не важен язык и даже результат, процесс строительства позволяет узнать больше, чем простое созерцание.

​Эволюция Интернет 1997-2021 в одном видео, как карта BGP соседств. Очень красиво, есть исходники, можно картинок на рабочий стол надёргать.

Помимо пути "туда" есть путь "обратно" и часто это не одно и то же. Если это становится важным то обычные утилиты вам могут уже не помочь, ping - бессилен, покажет только суммарное время туда+обратно. Написать корректную реализацию подобного инструмента, учитывающего асимметричность маршрутов совсем не просто, в дело вмешивается время, его синхронизация. И поэтому, например, встроенный в ICMP Timestamp Requests, будет работать не всегда достаточно точно.

Однако всегда можно что-то придумать, особенно если это Ben Cox. То что получилось забираем на GitHub, реализация с ICMP там же.

P.S. Не забываем и про Record Route, правда применимо это далеко не всегда.

​DNS over TLS пока всё ещё не очень. Помимо этого в работе представлена интересная статистика и по обычным широко известным провайдерам публичных DNS, включая Yandex DNS - надёжности и задержкам. Делаем скидку на распространение RIPE Atlas по миру, не на каждом континенте их одинаково много.

Этот вечный вопрос курицы и яйца, на этот раз для современного подхода к сетям. Мы хотим избавиться от ручного конфигурирования устройств и вообще от устройств, а рассматривать сеть как единое целое, задавая высокоуровневые параметры (намерения), а всё остальное за нас сделает автоматика. Для этого надо написать спецификацию того чего мы хотим и формализовать свою сеть. А если у нас уже есть сеть? Тогда мы можем эту спецификацию построить по текущей сети, автоматически. Главное при этом не притащить с собой старые подходы и вовремя остановиться в этом цикле.

И ещё из блога APNIC: 50 летняя история развития архитектуры маршрутизаторов - выученные и ещё не выученные уроки.

Список информационных команд для JunOS: интерфейсы, логи, время, маршрутная информация, утилизация - всё что может помочь собрать и сравнить со штатным рабочим состоянием.

DoH в dig 9.17.11. Сервер был чуть раньше. DoT ещё раньше.

Path MTU discovery сломан в Интернет и сломан основательно, просто потому что в большинстве случаев вы не дождётесь нужного ICMP и уже не важно является ли это намеренным действием, опечаткой, незнанием, особенность подхода который применяется. Это данность. И единственный выход сделать хорошо для многих, но не для всех - это экспериментируя с TCP MSS и MTU на своей стороне, пытаясь найти баланс.

Утилита, которая пытается справится с этой проблемой в конкретном архитектурном решении балансировки в дата центрах, основываясь на информационном черновике IETF. Почитайте его обязательно, там, как раз, есть и про костыли TCP MSS. Cloudflare делал подобную реализацию несколько лет назад для одного Ethernet сегмента, эта утилита чуть более универсальная. В любом случае, Cloudflare реалисты и тоже играют в игру угадай нужное MTU.

За ссылку огромное спасибо нашему подписчику, очень рад что не забываете про меня. Спасибо.