Отчёт Cloudflare Radar за 2023 очень про многое, всё вместе и отдельно по странам.

Пока у нас пятница, но Служба Внешней Разведки России не спит и со всей силы эксплуатирует уязвимость в TeamCity. В отчёте довольно подробно, что происходит, как обнаруживать и защищаться от атаки, нет только пояснения как они поняли что это СВР. На всякий случай стоит почитать и применить меры, вдруг ЦРУ тоже эксплуатирует.

Я думаю что все уже посмотрели, хоть краем глаза, на SSH3 который через HTTP/3 мне даже коллеги из SOC скинули, а может даже почитали авторскую статью, где основными причинами побудившими пересмотреть SSH называются расширения возможностей авторизации и решение вопросов проброски тяжеловесных приложений вроде X11. Реализация на Go и HTTP/3 там в виде сторонней библиотеки. Если это, пусть не эта реализация, а как идея, когда нибудь попадёт на устройства, то no ip http-server скорее всего, уже не сделаешь. Глобальная идея всё перевести в HTTP, что сделает его новым траспортным протоколом, скорее всего убьёт все те преимущества безопасности которые он имеет, тут уж хочешь не хочешь, а все пакетные фильтры будут заменены на DPI. Но вернёмся к функционалу и тому что не хватало авторам в SSHv2, что вам не хватает? Опрос на основе возможностей OpenSSH:

В Бразилии на IX, крупнейшем в мире, кстати, самые популярные устройства Микротики, там, конечно, далеко не всё видно, но всё же. Статья на Habr, в целом о том, как вытащить IPv6 link-local с looking-glass на IX и почему они там оказываются.

Опубликован RFC9518 про централизацию Интернета, методы децентрализации и как на это могут повлиять органы стандартизации при разработке и принятии протоколов Интернет.

On little-known Russian e-commerce sites like Nag, OCS Distribution, 3Logic Distribution and 4Telecom, complex technologies made by major American and European telecom manufacturers, such as Cisco, HP, Juniper, Ericsson and Nokia, are listed for sale.

- читаешь такое и думаешь, ну вроде обычное дело и всегда так было и никто за лицензионной чистотой особенно не гнался, порой даже наоборот, по крайней мере в "альтернативных" провайдерах да и в больших тоже. Вот в больших корпоратах, как мне сейчас видится, всё немного по другому происходило: контракты, лицензии, прямая поддержка от вендора - но и они свой условный НАГ нашли теперь, наверное, с контрактами и поддержкой. А малоизвестный в широких кругах НАГ, но хорошо известный в узких, теперь не такой малоизвестный :) с чем можно его и поздравить - это признание.

К зимнему солнцестоянию QratorLabs опубликовал свой отчет по стабильности национальных интернет сегментов, расписав алгоритм.

Критерием устойчивости национальных интернет сегментов в этом алгоритме является некое произведение от метрик, в которм базой является доступность к Tier1.

Однако, тирваны это не центр интернета, в котором сосредоточены интересы пользователей, тирваны - это последний (резервный) путь ко всему интернету. Этот путь длиней, чем прямые связи, на один-два-три AS хопа, ведь вожделенный контент находится не на тирванах, а вне их. часть ближе к нам, чем к ним.

Хорошая связность операторов определяется не близостью к тирванами, а прямыми стыками со всякими ютубами, вконтактиками, акамаями, мейлрушечками и прочими твичами-тиктокам-телеками и запрещенными метами. Большие национальные операторы, заботящиеся о надежности и качастве своих услуг, минимизируют перепробег трафика через "центр" интерннета. Их связность организуется большим количеством разнотипных связей, а именно:
1) через прямые пиринговые или клиентские интерконнекты с ресурсами высокой популярности;
2) через точки обмена трафиком с просто популярными ресурсами и скромными индивидуальным трафиками для PNI;
3) через тирванов с редковсотребованным и далеким контентом.

При этом вес связности по трафику по п.1 где-то 70-80%, по второму пункту 15-25%, по третьему 5 - 10%. И никто не держит пустые емкости на тирванов с заметным запасом - они стоят денег! Портовая емкость операторов рунета в сторону тирванов не превышает 10% их портовой емкости в сторону популярных контент и сервис генераторов. Поэтому, когда бахнется у какого-то большого оператора России, не дай бог, прямые стыки с ВКашечкой или Гуглом тирванские порты не пропустят нужный трафик, задропятся и тут же начнут умрать. Поэтому стабильность как прямая доступуность всей совокупности тирванов - это та еще натяжка... А кого у нас принято натягивать? Правильно!

Наша элластичная сова уже давно привыкла к натяжкам, втянулась в процесс и тоскует, когда в нее не вставляют глобус.

И нам это нравится. Спасибо, QratorLabs!

Труд полностью лежит тут

https://radar.qrator.net/blog/articles/184

читайте, думайте, умнейте.

Если успеете прочитать "OSI Deprogrammer Re-conceptualizing cyberspace" до Нового года, а читать очень много, то вам определённо будет что жарко обсудить, где-то на 5-6 день выходных. Автор очень эмоционально ратует за то, чтобы упоминание семиуровневой модели OSI было исключено отовсюду как не только не актуальное сейчас и никогда не бывшим актуальным для Интернет и сетей, кроме мейнфреймов 70-х, но и в принципе бесполезное с какой стороны не посмотри. Доводы строятся на очень чётком следовании терминологии, как она озвучивается в модели OSI и ассоциации этой терминологии с современными сетями.

Беда, или счастье, но данность такова, что очень мало людей, в сетях в том числе, заглядывали дальше названий уровней и приблизительного их описания. Я специально открыл учебник Олиферов, там 15 страниц про это из 800, и на тех же страницах вводятся понятия и принципы протоколов, интерфейсов, стандартизации, важности открытого подхода, пол-лекции в университете в лучшем случае, а на собесах один вопрос про понимание принципа декомпозиции и построения стека протоколов. Поэтому модель OSI, как таковая, даже будучи прочитанной в учебнике, на практике не использовалась, разве что номера уровней прочно вошли в профессиональный жаргон.

То что OSI описывает одну сеть с разными уровнями, а у нас много сетей друг над другом и множество более детальных примеров, особенно, что касается сеансового уровня и уровня представления, используются автором в качестве базовых аргументов вредности модели OSI, которая путает все понятия и не отражает по его мнению современные сети ни коим образом. Очень много про профессоров университетов и учебники, которые держатся и преподают модель OSI, но тут наверное личное :).

Но надо надо отдать должное, предлагаются другие определения и понятия, более качественно описывающие сложившуюся ситуацию в сетях, в частности вместо уровней - подуровни и вложения друг в друга, в чём-то упрощение в базовом представлении. Много примеров из публикаций: учебников, Википедии - где что не так и надо поменять, плюс исторический экскурс в отдельной главе. А модели OSI не оставляется никакого места, вообще, даже теоретического, так как по приведённым аргументам это не теоретическая модель, а всего лишь сложившееся описание текущего положения дел в 70-х годах, которое надо заменить уже на современное.

И в целом, сложно не согласится в том что OSI как стек протоколов не прижился и в университетах можно было бы сразу учить о TCP/IP например, но, НО!, TCP/IP это один из многих, очень многих, а принципы декомпозиции, протоколов, интерфейсов и уровней как ни крути общие, пусть они к модели OSI, если читать всё буквально имеют опосредованное отношение. В блоге APNIC тоже небольшой обзор, можно начать с него и парочка комментариев, что не всё так однозначно.

В этом году вот такая новогодняя ёлочка с которой мы выиграли конкурс ёлочек нашей компании. И ASCII календарь на следующий 2024 год, взамен старого. Всех с наступающим Новым годом и последней рабочей неделей этого года!

Как выглядит рождественский Интернет в Италии, где главное событие происходит не в полночь. Новогодний график, я думаю, будет другой и сравним с нашим да и со многими другими странами, но это мы скоро уже увидим.

Сначала был Jon Postel, IANA и InterNIC, потом появился RIPE NCC, следом APNIC, ARIN заменил InterNIC получив в наследство всё что выдавали ранее и никуда не влезающее, далее образовались LACNIC и AFRINIC. Чтобы никому не было обидно IANA поделила блоки /8 между RIR, но не все. Потом IPv4 стали кончатся, IANA отдала последнее, RIR стали меняться адресами и всё немного запуталось и IANA перестала владеть информацией обо всех перестановках адресов среди RIR. А потом придумали RPKI, а так как полной информацией не владеет никто, то соответственно, и нет единого центра, который может подтвердить достоверность подписи выданных объектов, точнее таких центров пять, для каждого RIR свой.
Предложение что с этим делать от Geoff Huston в блоге APNIC - всё-таки сделать мастер ключ для всех, используя статистику предоставляемую RIR для NRO, если уж IANA не обладает всей полнотой данных. Правда, чтобы ничего не сломать, придётся немного подправить OpenSSL для работы с уже готовыми сертификатами.

Сайт с ценами на Интернет по странам internetpoverty.io. Цель конечно другая, считают страны и людей которым недоступен приличный (1ГБайт/Мес., 10Мбит/c) мобильный интернет по финансовым причинам. Сильно не очень, по сравнению со всеми остальными, в основном в Африке, и в некоторых странах не смогли посчитать. Но при этом, посчитали отдельно для женщин и мужчин. В России цена мобильного Интернета по этим данным 14,1$, я плачу сильно меньше. Но так как используемые попугаи одни и те же для всех, то сравнивать можно.

Ожидаемый, для меня результат, что самые высокие результаты для использования SSH как удалённой консоли и передача файлов, даже парольная аутентификация 50/50, вот эти три варианта были моим выбором. Проброс X11 никогда не делал в принципе, прокси только пару раз чтобы выкрутится из ситуации. Проброс портов, я относительно не часто, но бывает использую, чтобы не выставлять наружу какие-то средства управления, вроде консоли БД. Наверное, SSH3 будет играть какую-то роль, если проект не забросят, а так случается с очень многими академическими проектами, но пока активность высокая.

Что-то точно случилось, а вот что?

Резко упал объём IPv6-трафика, наблюдаемого на точке обмена MSK-IX. Предположение — через данный маршрут к операторам перестали ходить Google и особенно YouTube, который является наиболее весомым трафикогенератором с поддержкой v6.

"В письме американской компании говорится, что с января 2024 года она перестанет передавать трафик через серверы маршрутизации на точках обмена трафиком." — https://www.rbc.ru/technology_and_media/25/12/2023/6585c3239a79478e653d35d1

Операторы приглашаются к открытию двусторонних подключений непосредственно с самим Google, без использования MSK-IX и подобных.

Драма сегодняшнего вечера - у Orange Испании угнали учётку от сервисов RIPE NCC и поломали связность изменив принадлежность их префиксов в RPKI. Но уже починили. Я думаю, что теперь остаётся только ждать подробностей, от Orange и от RIPE NCC, кто, что, когда и почему.