Напоминание о том, что прежде чем что-то сделать, хорошо бы понимать что мы делаем вообще, а для этого есть процесс проектирования и различные инструменты для этого (но не стоит концентрироваться только на инструментах). Здесь конкретно речь про программирование, но в целом это то, что отличает инженерию от ремесла.

Про то, что если вы решили переходить на IPv6 то важно этот процесс измерять на различных уровнях. Но, как мне кажется, для большинства вообще не стоит такая цель - перейти на IPv6. Там где без этого будет не обойтись, будут подставлены костыли, как это делалось не раз и не два в других местах. А для тех кто уже решил и не только начал, но и сразу не бросил, и вывел это на стратегический уровень бизнеса, а не остался на уровне энтузиастов, для тех вопрос измерений скорее всего уже решён и выражается он не в технических терминах количества пропущенного трафика, а в потраченных и заработанных деньгах.

О том как важно делиться проблемами на примере Новозеландской DNS зоны .nz и их DNSSEC. Оригинальный отчёт о том инциденте доступен всем в pdf на 95 страниц. Надеюсь про историю с нашим DNSSEC можно будет почитать хотя бы на страниц 10, а пока даже свежие ежемесячные отчёты ЦМУ ССОП пропали.

В США есть свой РКН - это FCC и они тоже не против что-то порегулировать, в данном случае безопасность BGP. Cообщество против такого, говорит мы сами разберёмся, а то вы нам тут всё поломаете что мы уже построили.

Влияние обрыва 14 марта 2024 подводных кабелей Интернет на страны Африки. Чем больше кабелей тем лучше и не только морских, но они не должны сходиться все в одной точке, как в случае этой аварии где пострадали 4 кабеля одновременно из-за природного явления. Спутниковый канал лучше чем никакого. Точки обмена трафиком играют одну из решающих ролей.

Если учёный увидел что-то необычное, то он конечно напишет об этом статью. Исследователей сканировали не похоже на то что они видели раньше, они предположили что это делает Китай и попытались именно это доказать, сравнивая TTL пакетов которыми их сканировали. Но на самом деле они не увидели другое, что увидели те кто прочитал статью - 90% сетей не фильтрует спуфинговые запросы, в данном случае входящие в ваш периметр извне, но с внутренним адресом.

Где посмотреть и поправить настройки временного IPv6 адреса в Windows. Меня смущает только netsh, который вроде как Microsoft уже сто лет грозится прикрыть, но пока не прикрыли - пользуемся.

Вот для чего нужна дезагрегация, про которую так много говорили некоторое время назад, а вовсе не для того чтобы одного поставщика сменить на двух других.

Microsoft открыла MS-DOS 4.0 и это хороший повод проследить за эволюцией одной из самых популярных операционных систем, которая повлияла очень сильно на очень многое из того что мы сейчас видим вокруг. Даже вторая версия смогла мне многое подсказать когда я в неё заглядывал, хотя всё что я самостоятельно делал было уже для седьмой версии. Но Microsoft, сколько бы там не было погрешностей, хорошо справлялась с поддержкой совместимости при всей сложности и боли этой работы, поэтому даже справочники MS-DOS API по третьей или пятой версии были полезны в седьмой. GitHub со всеми доступными версиями и ждём версии 6.22.

Ещё немного истории в апрельском выпуске журнала "Интернет изнутри" №20. Сам по себе номер, по большей части, про квантовую передачу, но с 59 страницы интервью с Алексеем Дмитриевичем Лесниковым про ранние годы РосНИИРОС, как всё было устроено тогда в зонах .RU и .SU, и про людей которые этим занимались.

И в чатике пирингового форума вспоминают старые времена.

ровно 20 лет назад...

Vi рулит в ситуациях когда не остаётся вариантов, а это не такая уж и редкость. Недавнее приключение - пропадает электропитание, Juniper ребутится и возвращается в аварийном Amnesiac режиме. Повод залогиниться и разобраться, но файлы побились, включая базу паролей, и тебя никуда и никак не пускает, хотя должно было бы. Ладно, есть режимы восстановления в которые можно зайти при перезагрузке, что отдельная проблема, потому что перезагружать особо не кому, а уложиться, чтобы перейти, надо в 3 секунды. Сброс на заводские настройки с кнопки, тоже, кстати, отказал.

Когда наконец попадаем в консоль FreeBSD, то понимаем что стандартный описанный способ восстановления хотя бы пароля не сработает, потому что без системной базы паролей никакая Juniper консоль не запустится, а у нас в /etc/passwd бинарная каша, а /etc/master.passwd ссылается на пустоту, и в распоряжении только тот набор системных утилит, что есть в образе FreeBSD включая vi и pwd_mkdb. Их хватает чтобы сформировать новую базу паролей /usr/sbin/pwd_mkdb -p /etc/master.passwd, скопировав содержимого оригинального файл с другого устройства, но в принципе можно найти в установочном файле, хотя закопано там очень далеко, архив на архиве и в конце образ QEMU диска. Я думаю хватило бы и одного root или стандартного BSD списка пользователей. После чего попадаем в консоль Juniper, которая уже запускается, откуда сбрасываем конфиг и ставим систему заново, но тут повезло, что того что осталось не побитого для этого хватило.

Удивительно, что за неделю до этого PaloAlto выкинул такой же фортель, сломав /etc/passwd при обновлении записав туда два раза root. К счастью, это не повлияло на возможность попадать в режим обслуживания, который, загрузился сам, ловить момент с нажатием кнопок и вводить пароли было не надо. Даже по сети доступ оставался, который у PA для управления всегда внеполосный, там правда пароль нужен, но не системный, по серийнику.

Диски с флешками, с Linux или BSD сейчас везде, и они ломаются, и к этому надо быть готовым, сохраняя не только конфиг непосредственно устройства, но и образ файловой системы, такое многие позволяют делать. Внеполосное управление обязательно. Если можете сделать так чтобы управлять питанием удалённо, для перезагрузки устройства когда надо, а не когда может удалённая сторона - сделайте, перезагружаться порой приходится по много раз, ищя варианты восстановления. И конечно удачи, совсем немного, чтобы нескучно провести майские праздники.

Пару недель назад количество действительных подписанных RPKI префиксов IPv4 в глобальном BGP перевалило за 50%, для IPv6 это событие случилось уже очень давно. Можно приступать к проверке и фильтрации, коллеги Routinator себе поставили и довольны, главное не переборщить.
А вот общее количество префиксов, за которым можно следить там же в @bgp_table_bot или @FullViewBGPbot, растёт неохотно. Может уже миллион, а может чуть меньше, смотря откуда смотреть, будет с нами очень долго, может быть очень-очень долго.

Current RPKI status IPv4 #RPKI [a]
@[email protected]

DHCPv6 как конкретное техническое решение проблем с количеством ND записей в кешах устройств, генерируемых SLAAC, с долгоживущими TCP сессиями и одна из возможных причин медленного внедрения IPv6 на предприятиях, из-за принципиального отсутствия DHCPv6 в некоторых системах.

Подробный разбор того как запустить Juniper vSRX на Linux Debian в KVM, с посылом использовать ПК в качестве полноценного маршрутизатора/файрвола, хотя и маленького. Есть даже про Wireguard, как его поднять на хосте и притащить внутрь виртуалки, но общий смысл уже должен быть понятен после прочтения статьи сначала.

Немного драмы с интерфейсом управления PaloAlto в версиях прошивок 11.1, когда внеполосное управление не совсем внеполосное, но только для IPv6: менеджмент интерфейс не может ссылаться на шлюз по умолчанию на том же устройстве. Это работало раньше, но сейчас не работает, но если так настраивать, то в случае краха устройства, доступ по IP вы к нему не получите, что ставит под вопрос вообще смысл внеполосного управления, и, отчасти, делает новое поведение защитой от дурака, хотя мотивация там совсем другая.

Очень полезный опрос для моделирования ситуации: "Кто мониторит системы мониторинга?" - и как выйти из этой рекурсии.