Отчёт NS1 про DNS (рекламу в тексте придётся игнорировать) в основном Северная Америка и Европа, я уже скачал. С IPv6 не очень, так же как и с DNSSEC. UDP рулит. Есть статистика по резолверам, там все лица знакомые и по типам запросов и ответов.

Если вдруг нужен моноширный шрифт - Spleen 2.0, в разных размерах, для разных операционок. Я не любитель, просто увидел DOS в описании :)

Когда у вас большая anycast сеть с серверами в разных частях света и на вас обрушивается DDoS, то можно попытаться перераспределить трафик между сайтами так чтобы уменьшить его влияние на сервис, заранее к этому приготовившись. Статья на APNIC так себе, а вот публикация на Usenix очень подробная с перечислением методов управления трафиком и последствиями этого управления.
А ещё я вспомнил про доклад ИВИ на Пиринговом форуме 2018, где anycast и распределённый пиринг сам по себе хорошо помогает в случае DDoS, размазывая нагрузку на всю сеть.

Дополнение к предыдущему посту про борьбу с DDoS от нашего подписчика, за что от меня отдельное и большое спасибо, про работы в области защиты от DDoS:

Так есть проекты подобие https://paaddos.nl/
Также ведут публичные DDoS fingerprints от одного из известного CDN поставщика - Clearing House
https://github.com/ddos-clearing-house/documentation/wiki с описанием подробностей в блоге https://www.concordia-h2020.eu/blog-post/setting-up-a-national-ddos-clearing-house/
также недавно, в январе 2023 года вышла еще одна работа Defending Root DNS Servers Against DDoS
Using Layered Defenses https://www.isi.edu/~johnh/PAPERS/Rizvi23a.pdf на конференции Comsnets 2023 https://ant.isi.edu/blog/?p=1948

То что мне приходилось наблюдать 10-20Гбит/c спасала собственная широкая полоса, а в текущий момент широкая полоса нашего провайдера. Наверное, без этого компонента противопоставить что-то в ответ проблематично.

RRDtool всё ещё рисует самые красивые картинки, в данном случае это MRTG. Бразильцы молодцы.

А вот и 30Tbps, из которых 20Tbps в Сан-Паулу.
Причем закопано емкости у них по Сан-Паулу раза в 2 больше (на момент марта 2021 было что-то около 32Tbps).

Vai Brasil!

Вчера в моей статье на Habr про обратную маску, один из читателей нашёл ошибку в ACL которая там была с момента написания статьи, больше 10 лет назад и после 100К просмотров. Я повторно и внимательно вычитал и нашёл ещё одну ошибку уже в другом ACL. Это к вопросу о сложности и нужности, о чём как раз зашла речь в комментариях. Тут иногда в простых префиксах ошибиться можно так что несколько часов на поиск уходит, с обратной маской всё гораздо запутаннее. Чем проще, пусть даже и многословнее, тем в конечном итоге надёжнее, да порой надо экономить на ресурсах железа, но это порой.

Чуть день IPv6 не пропустили, дата не круглая поэтому просто включаем, без шампанского. Прогнозы про 5% вроде ещё в силе - по Гуглу не дотянули до 45%, но близко, всем не очень до этого было.

Мы все с вами живём в том самом доме который построили программисты, поэтому удивляться что всё падает от случайно залетевшего в глобальный роутинг атрибута не приходится. В этот раз Juniper подвёл, но впрочем все так могут, остаётся лишь верить что непреднамеренно.

Чтобы понять как что-то работает стоит сделать своё - Traceroute на Python. Я бы сказал что надо быть подготовленным читая этот текст, как минимум в Python потому что реализация даётся как есть, хотя и с предварительным описанием алгоритма. Но наверное кому-то так будет нагляднее.

Starlink тоже домашний роутер, поэтому уязвимостей в нём, наверняка, не будет меньше. Простой перебор доступных вариантов gRPC команд (pdf) сходу выявил возможность выключить терминал из работы. Это работает изнутри сети и доступе к пользовательскому интерфейсу, про что большую часть статьи как раз и написано - как сделать так чтобы даже в этом случае возможностей атаки было меньше.

В Евросоюзе решают кого впереди телеги ставить провайдеров или генераторов контента, но как и у нас, не очень понятны принципы и почему именно так, а не иначе.

Как RIPE NCC учитывает принадлежность ресурсов к конкретной стране - по юридическим документам принятым в конкретной стране предоставленными держателем ресурсов. И что с ресурсами и их принадлежностью в этом контексте происходило на Украине последний год - владельцы, при смене страны, в основном, оставались прежними.

Ещё раз про то что IPv6 это не IPv4 с RIPE86 и презентация. Поэтому чтобы обеспечить свою безопасность придётся перестроится и держать в голове совсем другие подходы учитывая динамичность назначения префиксов, их множественность, разные их типы и всё ещё NAT.

Сделай сам USB sniffer: прошивки, схемы, плагин к Wireshark и рекомендации от автора.

В nDPI теперь есть MS Teams, пока не в релизе. Где-то там внутри сидит не совсем доеденный Skype, а ещё тысячи корпоративных пользователей которым от этого, наверное, легче не станет.

Хорошие провайдеры это те которые не теряют своих абонентов и для этого не обязательно быть большим, скорее наоборот, надо быть маленьким, уютным и родным для своего абонента. Универсальные рассуждения, но так плохо почему-то понимаемые.

Кажется, мы убеждаем уже сами себя какой IPv6 замечательный и сколько много новых возможностей он нам приносит. Больше разных вариантов в этой публикации (pdf) прошлого года.

"Это не сеть" и 100500 мемов по этому поводу характерно для корпоративной сети. В провайдере это всегда сеть, даже когда это не сеть, универсальность сетевого админа и в больших провайдерах тоже, как правило, позволяет ему и биллинг поковырять и телефонию с телевидением пошатать. А вот сетевик в энтерпрайзе и не только он, очень жёстко зажат в своей роли сдобренной сверху принципом наименьших привелегий. Плюсом на сетевика попадает совершенно не сетевая функция управления списками доступа, просто потому что это делает сетевое оборудование. А так как сеть вездесуща, то имеем то что имеем. Сначала "это сеть" все непонятные проблемы, потом все где нет пингов, потом где высокие задержки, потом все где сервер отвечает 502 или 404, а потом вообще все, потому что так удобно начать с сети даже ещё не приступив к диагностике.
С одной строны хочется отбиться и показать что "это не сеть" и тут надо иметь хорошую сеть в которой уверен, чтобы быть уверенным в себе. С другой стороны уникальность ситуации в том, что все всё равно приходят спросить как дела с сетью, что даёт возможность стать тем связущим звеном между частями инфраструктуы многократно повысив свои компетенции и ценность не просто делая хорошо свою работу, а ещё разбираясь в работе и проблемах соседних направлений, но кажется это будет уже не сетевик.