Пока у нас пятница, но Служба Внешней Разведки России не спит и со всей силы эксплуатирует уязвимость в TeamCity. В отчёте довольно подробно, что происходит, как обнаруживать и защищаться от атаки, нет только пояснения как они поняли что это СВР. На всякий случай стоит почитать и применить меры, вдруг ЦРУ тоже эксплуатирует.
👍3👎1
Я думаю что все уже посмотрели, хоть краем глаза, на SSH3 который через HTTP/3 мне даже коллеги из SOC скинули, а может даже почитали авторскую статью, где основными причинами побудившими пересмотреть
SSH
называются расширения возможностей авторизации и решение вопросов проброски тяжеловесных приложений вроде X11
. Реализация на Go и HTTP/3
там в виде сторонней библиотеки. Если это, пусть не эта реализация, а как идея, когда нибудь попадёт на устройства, то no ip http-server скорее всего, уже не сделаешь. Глобальная идея всё перевести в HTTP
, что сделает его новым траспортным протоколом, скорее всего убьёт все те преимущества безопасности которые он имеет, тут уж хочешь не хочешь, а все пакетные фильтры будут заменены на DPI. Но вернёмся к функционалу и тому что не хватало авторам в SSHv2
, что вам не хватает? Опрос на основе возможностей OpenSSH:GitHub
GitHub - francoismichel/ssh3: SSH3: faster and rich secure shell using HTTP/3, checkout our article here: https://arxiv.org/abs/2312.08396…
SSH3: faster and rich secure shell using HTTP/3, checkout our article here: https://arxiv.org/abs/2312.08396 and our Internet-Draft: https://datatracker.ietf.org/doc/draft-michel-ssh3/ - francoismi...
👍2
Какими возможностями SSH вы пользовались последний месяц?
Final Results
93%
Удалённая консоль/выполнение команд
56%
Не парольная аутентификация
39%
Проброс портов/туннели
10%
Проброс X11
69%
Передача файлов SFTP/SCP
14%
Проброс аутентификации
14%
Socks
В Бразилии на IX, крупнейшем в мире, кстати, самые популярные устройства Микротики, там, конечно, далеко не всё видно, но всё же. Статья на Habr, в целом о том, как вытащить IPv6 link-local с looking-glass на IX и почему они там оказываются.
Habr
Оборудование подключенное к IX по IPv6
Когда у вас есть подключение с кем-либо где видно MAC адреса, это позволяет, с высокой долей достоверности, узнать производителя оборудования используемого вашим партнёром. А когда это общая...
👍8
On little-known Russian e-commerce sites like Nag, OCS Distribution, 3Logic Distribution and 4Telecom, complex technologies made by major American and European telecom manufacturers, such as Cisco, HP, Juniper, Ericsson and Nokia, are listed for sale.- читаешь такое и думаешь, ну вроде обычное дело и всегда так было и никто за лицензионной чистотой особенно не гнался, порой даже наоборот, по крайней мере в "альтернативных" провайдерах да и в больших тоже. Вот в больших корпоратах, как мне сейчас видится, всё немного по другому происходило: контракты, лицензии, прямая поддержка от вендора - но и они свой условный НАГ нашли теперь, наверное, с контрактами и поддержкой. А малоизвестный в широких кругах НАГ, но хорошо известный в узких, теперь не такой малоизвестный :) с чем можно его и поздравить - это признание.
NY Times
Chinese Traders and Moroccan Ports: How Russia Flouts Global Tech Bans
Using specialized e-commerce sites, secretive shipping workarounds and a constellation of middlemen, Russia has obtained the tech components it needs to keep its economy and war in Ukraine going.
👍7
Forwarded from kipchat
К зимнему солнцестоянию QratorLabs опубликовал свой отчет по стабильности национальных интернет сегментов, расписав алгоритм.
Критерием устойчивости национальных интернет сегментов в этом алгоритме является некое произведение от метрик, в которм базой является доступность к Tier1.
Однако, тирваны это не центр интернета, в котором сосредоточены интересы пользователей, тирваны - это последний (резервный) путь ко всему интернету. Этот путь длиней, чем прямые связи, на один-два-три AS хопа, ведь вожделенный контент находится не на тирванах, а вне их. часть ближе к нам, чем к ним.
Хорошая связность операторов определяется не близостью к тирванами, а прямыми стыками со всякими ютубами, вконтактиками, акамаями, мейлрушечками и прочими твичами-тиктокам-телеками и запрещенными метами. Большие национальные операторы, заботящиеся о надежности и качастве своих услуг, минимизируют перепробег трафика через "центр" интерннета. Их связность организуется большим количеством разнотипных связей, а именно:
1) через прямые пиринговые или клиентские интерконнекты с ресурсами высокой популярности;
2) через точки обмена трафиком с просто популярными ресурсами и скромными индивидуальным трафиками для PNI;
3) через тирванов с редковсотребованным и далеким контентом.
При этом вес связности по трафику по п.1 где-то 70-80%, по второму пункту 15-25%, по третьему 5 - 10%. И никто не держит пустые емкости на тирванов с заметным запасом - они стоят денег! Портовая емкость операторов рунета в сторону тирванов не превышает 10% их портовой емкости в сторону популярных контент и сервис генераторов. Поэтому, когда бахнется у какого-то большого оператора России, не дай бог, прямые стыки с ВКашечкой или Гуглом тирванские порты не пропустят нужный трафик, задропятся и тут же начнут умрать. Поэтому стабильность как прямая доступуность всей совокупности тирванов - это та еще натяжка... А кого у нас принято натягивать? Правильно!
Наша элластичная сова уже давно привыкла к натяжкам, втянулась в процесс и тоскует, когда в нее не вставляют глобус.
И нам это нравится. Спасибо, QratorLabs!
Труд полностью лежит тут
https://radar.qrator.net/blog/articles/184
читайте, думайте, умнейте.
Критерием устойчивости национальных интернет сегментов в этом алгоритме является некое произведение от метрик, в которм базой является доступность к Tier1.
Однако, тирваны это не центр интернета, в котором сосредоточены интересы пользователей, тирваны - это последний (резервный) путь ко всему интернету. Этот путь длиней, чем прямые связи, на один-два-три AS хопа, ведь вожделенный контент находится не на тирванах, а вне их. часть ближе к нам, чем к ним.
Хорошая связность операторов определяется не близостью к тирванами, а прямыми стыками со всякими ютубами, вконтактиками, акамаями, мейлрушечками и прочими твичами-тиктокам-телеками и запрещенными метами. Большие национальные операторы, заботящиеся о надежности и качастве своих услуг, минимизируют перепробег трафика через "центр" интерннета. Их связность организуется большим количеством разнотипных связей, а именно:
1) через прямые пиринговые или клиентские интерконнекты с ресурсами высокой популярности;
2) через точки обмена трафиком с просто популярными ресурсами и скромными индивидуальным трафиками для PNI;
3) через тирванов с редковсотребованным и далеким контентом.
При этом вес связности по трафику по п.1 где-то 70-80%, по второму пункту 15-25%, по третьему 5 - 10%. И никто не держит пустые емкости на тирванов с заметным запасом - они стоят денег! Портовая емкость операторов рунета в сторону тирванов не превышает 10% их портовой емкости в сторону популярных контент и сервис генераторов. Поэтому, когда бахнется у какого-то большого оператора России, не дай бог, прямые стыки с ВКашечкой или Гуглом тирванские порты не пропустят нужный трафик, задропятся и тут же начнут умрать. Поэтому стабильность как прямая доступуность всей совокупности тирванов - это та еще натяжка... А кого у нас принято натягивать? Правильно!
Наша элластичная сова уже давно привыкла к натяжкам, втянулась в процесс и тоскует, когда в нее не вставляют глобус.
И нам это нравится. Спасибо, QratorLabs!
Труд полностью лежит тут
https://radar.qrator.net/blog/articles/184
читайте, думайте, умнейте.
👍5
Если успеете прочитать "OSI Deprogrammer Re-conceptualizing cyberspace" до Нового года, а читать очень много, то вам определённо будет что жарко обсудить, где-то на 5-6 день выходных. Автор очень эмоционально ратует за то, чтобы упоминание семиуровневой модели
Беда, или счастье, но данность такова, что очень мало людей, в сетях в том числе, заглядывали дальше названий уровней и приблизительного их описания. Я специально открыл учебник Олиферов, там 15 страниц про это из 800, и на тех же страницах вводятся понятия и принципы протоколов, интерфейсов, стандартизации, важности открытого подхода, пол-лекции в университете в лучшем случае, а на собесах один вопрос про понимание принципа декомпозиции и построения стека протоколов. Поэтому модель
То что
Но надо надо отдать должное, предлагаются другие определения и понятия, более качественно описывающие сложившуюся ситуацию в сетях, в частности вместо уровней - подуровни и вложения друг в друга, в чём-то упрощение в базовом представлении. Много примеров из публикаций: учебников, Википедии - где что не так и надо поменять, плюс исторический экскурс в отдельной главе. А модели
И в целом, сложно не согласится в том что
OSI
было исключено отовсюду как не только не актуальное сейчас и никогда не бывшим актуальным для Интернет и сетей, кроме мейнфреймов 70-х, но и в принципе бесполезное с какой стороны не посмотри. Доводы строятся на очень чётком следовании терминологии, как она озвучивается в модели OSI
и ассоциации этой терминологии с современными сетями.Беда, или счастье, но данность такова, что очень мало людей, в сетях в том числе, заглядывали дальше названий уровней и приблизительного их описания. Я специально открыл учебник Олиферов, там 15 страниц про это из 800, и на тех же страницах вводятся понятия и принципы протоколов, интерфейсов, стандартизации, важности открытого подхода, пол-лекции в университете в лучшем случае, а на собесах один вопрос про понимание принципа декомпозиции и построения стека протоколов. Поэтому модель
OSI
, как таковая, даже будучи прочитанной в учебнике, на практике не использовалась, разве что номера уровней прочно вошли в профессиональный жаргон.То что
OSI
описывает одну сеть с разными уровнями, а у нас много сетей друг над другом и множество более детальных примеров, особенно, что касается сеансового уровня и уровня представления, используются автором в качестве базовых аргументов вредности модели OSI
, которая путает все понятия и не отражает по его мнению современные сети ни коим образом. Очень много про профессоров университетов и учебники, которые держатся и преподают модель OSI
, но тут наверное личное :). Но надо надо отдать должное, предлагаются другие определения и понятия, более качественно описывающие сложившуюся ситуацию в сетях, в частности вместо уровней - подуровни и вложения друг в друга, в чём-то упрощение в базовом представлении. Много примеров из публикаций: учебников, Википедии - где что не так и надо поменять, плюс исторический экскурс в отдельной главе. А модели
OSI
не оставляется никакого места, вообще, даже теоретического, так как по приведённым аргументам это не теоретическая модель, а всего лишь сложившееся описание текущего положения дел в 70-х годах, которое надо заменить уже на современное.И в целом, сложно не согласится в том что
OSI
как стек протоколов не прижился и в университетах можно было бы сразу учить о TCP/IP
например, но, НО!, TCP/IP
это один из многих, очень многих, а принципы декомпозиции, протоколов, интерфейсов и уровней как ни крути общие, пусть они к модели OSI
, если читать всё буквально имеют опосредованное отношение. В блоге APNIC тоже небольшой обзор, можно начать с него и парочка комментариев, что не всё так однозначно.Google Docs
Book: The OSI Deprogrammer
OSI Deprogrammer Re-conceptualizing cyberspace ___ By Robert Graham 2023-10-01 (@erratarob, @[email protected]) Original doc here. 1. Abstract
9 2. Introduction
10 2.1. Reader requirements
17 2.2. Organization of this document
18 2.3. About…
9 2. Introduction
10 2.1. Reader requirements
17 2.2. Organization of this document
18 2.3. About…
👍10
В этом году вот такая новогодняя ёлочка с которой мы выиграли конкурс ёлочек нашей компании. И ASCII календарь на следующий 2024 год, взамен старого. Всех с наступающим Новым годом и последней рабочей неделей этого года!
👍9
Как выглядит рождественский Интернет в Италии, где главное событие происходит не в полночь. Новогодний график, я думаю, будет другой и сравним с нашим да и со многими другими странами, но это мы скоро уже увидим.
👎1
Сначала был Jon Postel, IANA и InterNIC, потом появился RIPE NCC, следом APNIC, ARIN заменил InterNIC получив в наследство всё что выдавали ранее и никуда не влезающее, далее образовались LACNIC и AFRINIC. Чтобы никому не было обидно IANA поделила блоки
Предложение что с этим делать от Geoff Huston в блоге APNIC - всё-таки сделать мастер ключ для всех, используя статистику предоставляемую RIR для NRO, если уж IANA не обладает всей полнотой данных. Правда, чтобы ничего не сломать, придётся немного подправить OpenSSL для работы с уже готовыми сертификатами.
/8
между RIR, но не все. Потом IPv4
стали кончатся, IANA отдала последнее, RIR стали меняться адресами и всё немного запуталось и IANA перестала владеть информацией обо всех перестановках адресов среди RIR. А потом придумали RPKI, а так как полной информацией не владеет никто, то соответственно, и нет единого центра, который может подтвердить достоверность подписи выданных объектов, точнее таких центров пять, для каждого RIR свой.Предложение что с этим делать от Geoff Huston в блоге APNIC - всё-таки сделать мастер ключ для всех, используя статистику предоставляемую RIR для NRO, если уж IANA не обладает всей полнотой данных. Правда, чтобы ничего не сломать, придётся немного подправить OpenSSL для работы с уже готовыми сертификатами.
APNIC Blog
Models of trust for the RPKI | APNIC Blog
Is an alternative Trust Anchor structure for RPKI feasible?
👍3
Сайт с ценами на Интернет по странам internetpoverty.io. Цель конечно другая, считают страны и людей которым недоступен приличный (1ГБайт/Мес., 10Мбит/c) мобильный интернет по финансовым причинам. Сильно не очень, по сравнению со всеми остальными, в основном в Африке, и в некоторых странах не смогли посчитать. Но при этом, посчитали отдельно для женщин и мужчин. В России цена мобильного Интернета по этим данным 14,1$, я плачу сильно меньше. Но так как используемые попугаи одни и те же для всех, то сравнивать можно.
internetpoverty.io
Internet Poverty Index
The IPI ranks countries based on an individual's ability to afford a minimum basket of mobile internet, which includes 1 GB of monthly access at a minimum download speed of 10 Mb per second.
👍2👎1
Патчкорд
Какими возможностями SSH вы пользовались последний месяц?
Ожидаемый, для меня результат, что самые высокие результаты для использования
SSH
как удалённой консоли и передача файлов, даже парольная аутентификация 50/50
, вот эти три варианта были моим выбором. Проброс X11
никогда не делал в принципе, прокси только пару раз чтобы выкрутится из ситуации. Проброс портов, я относительно не часто, но бывает использую, чтобы не выставлять наружу какие-то средства управления, вроде консоли БД. Наверное, SSH3
будет играть какую-то роль, если проект не забросят, а так случается с очень многими академическими проектами, но пока активность высокая.Forwarded from version6.ru
Резко упал объём IPv6-трафика, наблюдаемого на точке обмена MSK-IX. Предположение — через данный маршрут к операторам перестали ходить Google и особенно YouTube, который является наиболее весомым трафикогенератором с поддержкой v6.
"В письме американской компании говорится, что с января 2024 года она перестанет передавать трафик через серверы маршрутизации на точках обмена трафиком." — https://www.rbc.ru/technology_and_media/25/12/2023/6585c3239a79478e653d35d1
Операторы приглашаются к открытию двусторонних подключений непосредственно с самим Google, без использования MSK-IX и подобных.
"В письме американской компании говорится, что с января 2024 года она перестанет передавать трафик через серверы маршрутизации на точках обмена трафиком." — https://www.rbc.ru/technology_and_media/25/12/2023/6585c3239a79478e653d35d1
Операторы приглашаются к открытию двусторонних подключений непосредственно с самим Google, без использования MSK-IX и подобных.
👍16👎2
Всех тех кто отдыхает и всех тех кто всегда на работе, даже не знаю кого здесь больше, поздравляю с наступившим Новым 2024 годом. А чтобы время не терять зря, экспресс анализ года уходящего по тому, что уже посчитал @FullViewBGPbot.
Напомню, это данные коллектора RRC0 из проекта RIS RIPE NCC, там немного больше префиксов, на несколько десятков тысяч, чем вы можете увидеть у себя в Full View.
Интернет стабильно растёт на 30000 префиксов в
Напомню, это данные коллектора RRC0 из проекта RIS RIPE NCC, там немного больше префиксов, на несколько десятков тысяч, чем вы можете увидеть у себя в Full View.
Интернет стабильно растёт на 30000 префиксов в
IP4
и в IPv6
, превысив соответственно миллион и 200000 в каждой из таблиц. Я не строил графики по этим данным за предыдущие годы, поэтому сравнивать не с чем, это мы сделаем чуть позже по данным @bgp_table_bot, но предположу, что сравниться с тем так быстро росло количество префиксов 5 лет назад у нас не выйдет. Миллион, наверное, то что будет во всех Full View в текущем 2024 году, ближе к концу года скорее всего.👍1
По автономным системам, с
Ещё графиков которых нет и которые я собираюсь добавить, это графики с долями по длинам префиксов:
IPv6
префиксами растёт быстрее - 2000 в год, но их всё ещё в два раза меньше чем с поддержкой IPv4
, которые росли медленнее - 1000 в год. Не забываем, что это пересекающиеся множества. Может быть в этих графиках появятся данные по автономкам только с IPv4
и IPv6
префиксами, чтобы было понятно за счёт чего этот рост, добавление IPv6
в существующие или создание новых только с IPv6
.Ещё графиков которых нет и которые я собираюсь добавить, это графики с долями по длинам префиксов:
IPv4
/24
было 59% в начале года, сейчас 60%. IPv6
/48
- 42,6% выросло до 45,1%. Можно аккуратно предположить что IPv6
в стадии роста конечных пользователей с собственными сетями, а IPv4
кончились совсем, даже разбивать существующие сети уже не на что, но может мы до точки перелома ещё не дошли, когда количество IPv4
префиксов увеличится лавинообразно.👍2
Драма сегодняшнего вечера - у Orange Испании угнали учётку от сервисов RIPE NCC и поломали связность изменив принадлежность их префиксов в
RPKI
. Но уже починили. Я думаю, что теперь остаётся только ждать подробностей, от Orange и от RIPE NCC, кто, что, когда и почему.👍7