Патчкорд
2.42K subscribers
203 photos
18 videos
59 files
2.97K links
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Download Telegram
Forwarded from version6.ru
Уже более 24 часов наблюдаются проблемы со связностью по IPv6 между многими российскими провайдерами и сетью Hurricane Electric -- причём как их собственной, так и их клиентами, т.е. теми до кого в "мирное" время маршрут шёл через he.net.

Судя по всему, они подключали MSK-IX, но что-то пошло не так...

С нашей стороны трейс на ней и кончается:

Host Loss% Snt Last Avg Best Wrst StDev
1. 2a02:2698:8000::501 0.0% 11 1.2 1.1 0.9 1.3 0.0
2. 2a02:2698:8000::1e02 0.0% 11 1.1 1.1 0.8 1.9 0.0
3. msk-ix-ipv6.ertelecom.ru 0.0% 11 25.5 26.7 25.1 39.2 4.1
4. ???

С их стороны - уходит внезапно в Таллинн, и заканчивается там:

core1.ams1.he.net> traceroute ipv6 2a02:2698:8022:2482::1 numeric

Tracing the route to IPv6 node 2a02:2698:8022:2482::1 from 1 to 30 hops

1 33 ms 63 ms 32 ms 2001:470:0:2b1::2 100ge8-2.core1.sto1.he.net
2 67 ms 33 ms 79 ms 2001:470:0:35d::2 10ge11-11.core1.hel1.he.net
3 33 ms 60 ms 27 ms 2001:470:0:34d::1 10ge1-2.core1.tll1.he.net
4 * * * ?
[...]
30 * * * ?
# Entry cached for another 59 seconds.

Проверить затронуло ли вас, можно просто потрейсив их сайт, he.net. На практике, неудобств конечным пользователям это доставить не должно, современные браузеры благодаря механизму Happy Eyeballs очень быстро обнаруживают отсутствие доступа по IPv6 и переходят для связи с конкретным сайтом или сервисом на IPv4.
Когда-то давно я работал с сетью где были только Cisco роутеры и для маршрутизации был включен EIGRP. Но в то время я совсем ничего не понимал в сетях, а позже практического навыка работы с EIGRP получить не пришлось. Интересная статья как инженеры пытаются совместить несовместимое - растущие скорости интерфейсов, поддержку низкоскоростных интерфейсов и аппаратные ограничения устройств. Решением для EIGRP стала возможность ручного управления масштабом метрики с помощью опции rip-scale.

P.S. Не проходите мимо blog.ine.com, там не только про EIGRP. Вот, например, как пользоваться фильтрацией OSPF. И комментарии тоже не пропускайте.
Карта стабильности Интернета - показывают наиболее критические точки, где что-то происходит не так как обычно. Делает лаборатория под эгидой Oracle Cloud.
Можно выбрать страну или конкретную AS: графики задержек и traceroute мне нравятся очень. Хорошо видно кто аплинк и как всё меняется в динамике. Для России RTT 200мс и дальше в космос, что делает просмотр особенно интересным с точки зрения как нас в мире видят.
Коллега поделился ссылкой https://seclists.org/oss-sec/2018/q3/124 - для всех реализаций OpenSSH, с версии 2.3.0 точно, доступен механизм перебора пользователей заведённых в систему. Уже есть принципиальная реализация на Python.
Ботнетописатели тоже люди на чём и попадаются, так как используют "красивые" IP адреса для временного назначения неиспользуемым доменам.

В кеше Unbound нашлось вот такое:

alkomagnit.net. 6815 IN A 1.1.1.1
b.reich.io. 43072 IN A 8.8.8.8

Можно сказать что ничего не нашлось, правда кеш живёт не так долго.

Однако со стороны провайдера стоит скорее другая задача: поймать не головную часть, а участника ботнета - абонентское устройство. Потому что провайдер (хороший) должен заботиться о своём абоненте чтобы у него всё работало, чему ботнет не способствует. А ещё не позволять своим абонентам, осознанно или неосознанно, пакостить в сети.
За полчаса мониторинга в ответах попадались пару раз 1.1.1.1, 5.5.5.5 и 8.8.8.8 это при 3000 в секунду. Только не забываем что эти адреса могут быть и вполне легитимными, а в остальном рабочий и не такой затратный способ опережающего действия.
Компилируемые языки сейчас для меня это наложить патч (случается раз в два, три года). IDE для этого не нужен. Самый сложный программный код который я пишу сейчас, занимает не более 2-3 стандартных экранов в любом редакторе, и как правило IDE для этого не нужен.
На TecMint перечислены 18 IDE и редакторов кода для C/C++ (в общем это не важно, большинство продуктов имеет варианты и для других языков), не обошли стороной даже Vim и Emacs. Кое что упустили, но обзор строился на решениях для Linux.
Для себя отметил что пробовал всё из перечисленного - удобны далеко не все. Но выбор можно сделать только самостоятельно, если в IDE или чем-то большем чем текущий текстовый редактор, действительно есть необходимость.
DNS трафик стал разменной монетой в эпоху тотального ухода в HTTPS. У нас это усугубляется необходимостью блокировок. И это к сожалению глобально, вот так мой домашний провайдер делает:

$ dig @9.9.9.9 AAAA linkedin.com +short
2a02:2698:a002:1::3:17

Хорошо ещё IPv6 отдаёт (не тот конечно), часто именно блокировка IPv6 осуществляется только так, через подмену DNS ответа в котором AAAA вовсе нет.

Ещё такое часто применяют для тарифов с нулевым балансом. С другой стороны если абонент не хочет пользоваться провайдерскими DNS ну что ж... А ещё с другой стороны если провайдер предоставляет DNS, то трафик-то всё равно абонентский, профессиональная этика и вообще.

Ещё одна статья с обзором данного исследования - выход видится в шифровании DNS тоже.
Всё время забываю как посмотреть версию конкретного дистрибутива Linux. Почему этого нет в uname -a или в виде show version?

Как всегда способ не один, но обычно хватает lsb_release -a. Подробнее для Centos и Ubuntu.
Детектор вредоносного трафика, использует общедоступные черные списки, отчёты антивирусов, эвристику. Можно ставить зеркалом или как приманку (honeypot). Выглядит внушительно, наверное, в некоторых случаях сможет заменить какой нибудь коммерческий IDS.
Не у всех устройств оказывается есть статический route-leak между VRF. У Cisco по этому поводу есть статья, как сделать по другому. Но это у Cisco, а мне пришлось простым PBR выкручиваться :( плюс к FIB минус к TCAM.
Qrator о мировой надёжности Интернета на Habr. Стоит конечно учитывать что это логическая схема и в большом масштабе, от региона к региону внутри страны и на физическом уровне всё выглядит чуть по другому. Стоит хотя бы вспомнить про ежегодные атаки тракторов, выводящие из Интернета полстраны.

Наш рейтинг связности в IPv6 на Radar 8, а рейтинг по IPv4 чуть больше 6. При этом IPv6 у нас 1 физический аплинк, который предоставляет нам внутри себя доступ к IX по L2VPN. Т.е. обрыв одной магистрали превратит наш IPv6 в тыкву. А вот IPv4 не превратит, но рейтинг говорит о другом.
Когда админ БД закопался в логах MySQL и не видит закономерности событий на помощь приходит сетевой админ и запускает tcpdump. Собственно для этого и нужна команда, чтобы разные люди видели задачи с разных сторон и решали их эффективнее.

Мониторинг это практически всё в нашей работе. Хотя в своё время в институте метрология была пожалуй самым скучным предметом, но что-то всё таки пригодилось. Мало данных не бывает, если не видишь системы - меняй масштаб. На картинке два графика, один из Zabbix масштабом 1 минута, другой из дампа Wireshark ~12 секунд из этого же периода шагом 10мс. Первого хватает в 99% случаев, а про то что можно построить второй забывать не стоит.
Для фанатов терминала - табличный процессор, вот кто знает вдруг и правда пригодится. Там и графики есть и вообще всё что нужно.

А в перерывах между отчётами можно в PacVim рубиться. Не сложный вариант - всего 18 команд, да и выход на q привязан.
Cloudflare к своему 1.1.1.1 приделали сброс кеша, для нетерпеливых админов которые хотят быть уверенными что всё обновилось. Правда ещё тысячи других DNS остаются. Статья про это в блоге Cloudflare.
Немного спонтанно купил Ultimate pack Unix stickers. Доехало за две недели, есть прямо крутые, но по большей части логотипы известных продуктов.
Обычно такие покупки я пресекаю силой воли, иначе бы вся квартира была завалена хламом. Но ребёнок внутри иногда пробивается наружу поэтому хламом завалено всего лишь полквартиры: всевозможные Slinky, Magic8ball, Кубики Рубика, Handgum, лабораторные весы... Не менее чем за половину спасибо моему брату как подарки по всевозможным случаям, я ему отплачиваю тем же :)
Вторая половина подарки на конференциях. 2x2 когда-то очень крутой набор наклеек подарил, почти со всеми культовыми персонажами мультиков и конечно они все показывают небезызвестный неприличный жест на пальцах.
Есть классика, которая работает всегда и стоит везде. А есть утилиты которые делают то же, но лучше, удобнее, красивее. Обзор нескольких утилит в замен стандартных, подробно расписывается что к чему с картинками и видео. Неполный список того что есть в обзоре:

cat - bat
ping - prettyping
^R - fzf
top - htop
diff - diff-so-fancy
find - fd
du - ncdu
man - tldr
grep - ack, ag
...