Если вдруг слышали подземные стуки сегодня с Интернетом, как на картинках, с задержками 300мс и транзитом через China Telecom Global - так выглядит утечка маршрутов, о чём пишет Qrator Radar. На обоих скринах транзитом был Билайн. Спасибо большое друзьям за картинки.
👍7
Forwarded from Qrator.Radar
👋 Ку!
Похоже, что сегодня произошла пиринговая утечка через 🇨🇳 China Telecom Global (AS23764).
⏱️ Всплеск анонсов был в 12:27 МСК.
Видим, что ~5 тыс. префиксов наших операторов, в первую очередь 🇷🇺 Билайн (AS3216) и 🇷🇺 Мегафон (AS31133), начали распространяться по миру через 🇨🇳 Китай. Такие маршруты были признаны как best path для 5% наших точек наблюдения.
Так же, через Китай, были перенаправлены и маршруты 🇰🇿 AS9198 (Казахтелеком), 🇰🇷 AS9848 (Sejong Telecom) – 1/3 наших точек наблюдения определила их как best path, всего по 800 префиксов.
Маршруты магистралов 🇺🇸 AS2914 (NTT), 🇺🇸 AS6939 (HE), 🇮🇹 AS6762 (Seabone), 🇩🇪 ... тоже затронуло.
🙏
Похоже, что сегодня произошла пиринговая утечка через 🇨🇳 China Telecom Global (AS23764).
⏱️ Всплеск анонсов был в 12:27 МСК.
Видим, что ~5 тыс. префиксов наших операторов, в первую очередь 🇷🇺 Билайн (AS3216) и 🇷🇺 Мегафон (AS31133), начали распространяться по миру через 🇨🇳 Китай. Такие маршруты были признаны как best path для 5% наших точек наблюдения.
Так же, через Китай, были перенаправлены и маршруты 🇰🇿 AS9198 (Казахтелеком), 🇰🇷 AS9848 (Sejong Telecom) – 1/3 наших точек наблюдения определила их как best path, всего по 800 префиксов.
Маршруты магистралов 🇺🇸 AS2914 (NTT), 🇺🇸 AS6939 (HE), 🇮🇹 AS6762 (Seabone), 🇩🇪 ... тоже затронуло.
🙏
👍8
В Kubernetes, оказывается, есть сети и там, оказывается, нужны сетевики и у них даже сертификация своя будет - Certified Kubernetes Network Engineer (CKNE).
console.log()
Networking Is the Hydra of Kubernetes
At the end of KubeCon 2025, I was struck by what a huge concern networking remains within the Kubernetes ecosystem. It’s the elephant in the server room. It’s the thing vendors and the Cloud Native Computing Foundation (CNCF) have all been desperately trying…
👍6
Несколько принципов построения границы корпоративной сети для подключения к Интернет. Если коротко - станьте провайдером. Вам нужны
BGP, настоящая связность, IX, широкие магистрали, контроль и управление трафиком.Linkedin
Building Enterprise Internet Connectivity: A Practical Guide from the Trenches
A Note on Context: Network engineering is rarely black and white. The following blueprint represents a methodology honed over 15+ years of working in the trenches of Internet Edge architecture.
👍5👎3
Вторая статья про eBPF на примере простого полисера ICMPv6. Первая статья про, что вообще к чему с XDP и eBPF, тоже с примерами кода.
iximiuz Labs
Network Traffic Rate Limiting with eBPF/XDP | iximiuz Labs
Learn how to implement a basic per-client ICMPv6 packet rate limiter using eBPF/XDP. This tutorial shows how to track client activity with eBPF maps and enforce limits directly in the kernel—without any user-space interaction.
👍4
Во FreeRADIUS (версии 3 и будущей 4) запилили сообщения об ошибках внутри протокола на хакатоне IETF 124, а
MS-CHAP выпилили, попутно напомнив, что PAP вполне себе безопасно. Может быть скоро увидим и в других реализациях серверов и клиентах.InkBridge Networks
IETF Montreal 124: Solving RADIUS Protocol-Error
InkBridge Networks led a hackathon at IETF Montreal 124, implementing Protocol-Error in FreeRADIUS. The fix for proxy reliability issues is now available.
👍2
На волне ностальгии радиолюбители хотят себе IPv6 44::/16. Как там будет ещё непонятно, но уже бывшие 44.0.0.0/8, вполне себе, ушли по сходной цене.
APNIC Blog
A proposed 'big' IPv6 block for packetized amateur radio | APNIC Blog
A new IETF draft proposes allocating 44::/16 to Amateur Radio Digital Communications, echoing the original 44/8 IPv4 block. The idea has triggered debate about ham-radio networking and how global IPv6 space is delegated under today’s IANA, RIR, and ICP-2…
👍3
Forwarded from kipchat
Так нынче выглядит трафик, текущий в РФ от AS22697.
AS22697 - одна из автономок Roblox, с которой шел трафик на конечных пользователей. Последние пару лет этот трафик в интересах пользователей рос и в ноябре 2025 года дорос до 0,7% в интересах пользователей. Для сравнения Wildberries - самый трафиковый маркетплейс текущего момента - в интересах пользователей занимает 0,6% по трафику.
Со вчерашнего дня c 11:00 msk Roblox стал недоступен. Чем он был интересен и за что его - я не знаю. Скорее всего за рост к нему интереса подрастающего поколения и за отсутствие отзывчивости к призывам приземлить свою регистратуру в РФ.
AS22697 - одна из автономок Roblox, с которой шел трафик на конечных пользователей. Последние пару лет этот трафик в интересах пользователей рос и в ноябре 2025 года дорос до 0,7% в интересах пользователей. Для сравнения Wildberries - самый трафиковый маркетплейс текущего момента - в интересах пользователей занимает 0,6% по трафику.
Со вчерашнего дня c 11:00 msk Roblox стал недоступен. Чем он был интересен и за что его - я не знаю. Скорее всего за рост к нему интереса подрастающего поколения и за отсутствие отзывчивости к призывам приземлить свою регистратуру в РФ.
👍7👎6
На Пиринговом форуме на панельной дискуссии про
IPv6 был классический спор про то, кто же вперёд должен внедрять IPv6: контент провайдеры или Интернет провайдеры (потребители) - как водится ни к чему не пришли. А теперь вспомиинаем какой год и что в США IPv6 много и очень много, а внутри AWS далеко не везде поддерживается, хотя эта поддержка и появляется, но до покрытия всех сервисов, не говоря уже о том чтобы быть включенным по умолчанию, очень далеко.Amazon
Amazon S3 now supports IPv6 for gateway and interface VPC endpoints - AWS
Discover more about what's new at AWS with Amazon S3 now supports IPv6 for gateway and interface VPC endpoints
👍2
VK Cloud про то как строить сети у себя облаке с доступом к обычной инфраструктуре и отказоустойчивостью через
VRRP и L2 связность между зонами доступности. Готовые файлы конфигураций можно смотреть на GitHub.Habr
IPsec, GRE, BGP и немного автоматизации для высокой доступности вашей сети
Построение отказоустойчивой гибридной сети между локальной инфраструктурой и облаком — одна из ключевых задач при миграции. Стандартных решений здесь не существует: выбор архитектуры и технологий...
👎4👍1
Тест вашего DNS по доменному имени на предмет актуальности и безопасности: открытые резолверы,
DNSSEC, IPv6, TTL, служебные записи.dnsaudit.io
Free DNS Security Scanner | DNSAudit.io
Find DNS misconfigurations, risks and security gaps. Takes less than 30 seconds. No sign-up needed. Run a Free Scan → DNSAudit.io
👍6
Спутники это вам не наземные сети. Фактор движения и постоянное перемещение между наземными станциями сильно портит всю логику работы существующих механизмов контроля перегрузок. Для решения проблемы, как всегда, предлагается новый механизм, осведомлённый об этих особеностях спутниковой сети.
APNIC Blog
Mind your congestion control in the LEO satellite Internet | APNIC Blog
Guest Post: New research shows how rapid path changes in mega-constellations like Starlink can mislead conventional CCAs, and introduces LeoCC as a more robust alternative.
👍2
У меня был чёткий момент когда я понял что такое интеграл, вот прямо понял, а не делал формальные заученные действия по преобразованию. И этот момент, когда у нас началась вычислительная математика и, собственно, методы прямоугольников для вычислений определённых интегралов. А уже потом, это распространилось и на общее абстрактное понимание. Я не делал это на JavaScript, но там тоже можно, плюс ещё оценка ошибки и необходимые поправочки.
Entropicthoughts
Feynman vs. Computer
👍7
Патчкорд
Несколько принципов построения границы корпоративной сети для подключения к Интернет. Если коротко - станьте провайдером. Вам нужны BGP, настоящая связность, IX, широкие магистрали, контроль и управление трафиком.
После того как мы построили корпоративную сеть как провайдера на границе с Интернет, можно поговорить и про защиту от DDoS. Самостоятельно, без внешней анти DDoS услуги скорее всего ничего не получится, надо было бы стать очень большим провайдером, но родные механизмы Интернет внедрёные в сети, мониторинг и постоянная готовность к атаке должны помочь пережить её с меньшими последствиями. Blackholing вещь несомненно рабочая, но разве не этого добивается атакующий?
Linkedin
DDoS Defense by Design: Architecture That Survives When Everything Else Fails
A DDoS attack almost ruined my 40th birthday. Not the party, but the infrastructure I was responsible for.
👍3
Методов сканирование
Осталось только подсети подобрать, зная человеческую природу стремления к красоте и пролистывая
IPv6 уже достаточно много и даже вполне успешных. Про сканирование адресов подсетей, вроде, уже обсуждали. Способ рабочий, потому что роутеры на эти адреса могут отвечать, получать запросы, так уж точно RFC1884:The "subnet prefix" in an anycast address is the prefix which identifies a specific link. This anycast address is syntactically the same as a unicast address for an interface on the link with the interface identifier set to zero.
Packets sent to the Subnet-Router anycast address will be delivered to one router on the subnet. All routers are required to support the Subnet-Router anycast addresses for the subnets which they have interfaces.
Осталось только подсети подобрать, зная человеческую природу стремления к красоте и пролистывая
BGP маршруты.arXiv.org
Scanning the IPv6 Internet Using Subnet-Router Anycast Probing
Identifying active IPv6 addresses is challenging. Various methods emerged to master the measurement challenge in this huge address space, including hitlists, new probing techniques, and...
👍2