IPv6 всё ещё очень молодой протокол, очень. OpenBSD 6.5:

001: RELIABILITY FIX: May 3, 2019 All architectures
If a userland program sets the IPv6 checksum offset on a raw socket, an incoming packet could crash the kernel. ospf6d is such a program.

Руководство администратора Nginx, довольно обширное. Включает в том числе ссылки на книги и другие ресурсы, настройки производительности, балансировки, примеры использования. Nginx везде, так что лучше в нём разбираться, но начать с какой нибудь книги.

BGP глобальный для всего мира, но часто возникает желание управлять им локально - иметь полную синхронизацию причём быстро. Условия диктуют распределённые системы. В основе многих, если не всех, лежит принцип anycast адресации до ближайшего. Балансировка нагрузки, во многом, ложится на таблицы маршрутизации и очень важно чтобы в разных частях света она была одинакова и чем быстрее это будет происходить после изменений тем лучше. Это исключит перекосы трафика, сделает его путь предсказуемым.

Но BGP медленный, и вряд ли, в глобальном смысле, вообще синхронизирован на каждом из узлов участников. Насколько медленный посчитал Ben Cox и написал в своём блоге.
Принцип простой - запускаем счётчик (очень точный), анонсируем префикс и принимаем его в разных частях света. Меняем провайдера, повторяем. Худший провайдер Level3, время приёма префикса через которого от 18 до 50 секунд. У остальных сильно лучше, как правило всего пару секунд.

Но это если сигнал долетел до адресата, что совсем не факт. Для иллюстрации ситуации отзыва префикса в статье приводится живая трассировка, которая сильно меняется по мере того как маршрут перестаёт существовать на промежуточных узлах. Так же ведёт себя и трафик, пусть и кратковременно, но чувствительно.

P.S. Часть статей из блога blog.benjojo.co.uk переведены на русский язык, соответствующие ссылки добавлены автором в оригиналы.

А вы знали, что для PF есть весьма функциональная веб-морда? Вот если не знали, загляните, возможно пригодится в работе:

https://github.com/sonertari/PFRE

#openbsd #pf #github

Иногда я пишу на Habr, обычно по вдохновению и если не ленюсь. Статья про то, что видно на заблокированном РКН ресурсе, немного статистики по адресам, IPv6 и про то как работают фильтры.

Ещё пару авторских абзацев, взгляд со стороны провайдера. Фильтр штука затратная если его вставлять inline для всего, затратная не только по деньгам, но и по результату, качеству получаемого трафика, надёжности. Для решения этой проблемы можно много чего применять, чтобы уменьшить трафик через фильтр:

1. Пропускать через фильтр только исходящий трафик
2. Пропускать через фильтр только трафик к запрещённым ресурсам
3. Поставить фильтр не в разрез, а сбоку - зеркалировать в него трафик
4. Или блокировать трафик только для средств проверки - Ревизоров. Конечно, применяются не только они, в любом момент из любого места сети может быть сделана проверка сотрудником контролирующей организации, но Ревизоры это делают постоянно.

Это не секрет, хотя и не говорится в полный голос, но часть провайдеров помещают Ревизоров в песочницу. Не то чтобы РКН про это не знает и даже штрафы есть за избыточную блокировку, поэтому и в песочнице надо блокировать правильно, но на это можно потратить куда меньше средств, что критично для небольших провайдеров.

На самом деле я не думал что это правило, кто-то, где-то, иногда, на первых этапах до внедрения основных средств. Но для того чтобы проверить полученные результаты для статьи я пробежался по известным мне в области провайдерам, некоторых я нашёл в запросах, некоторых нет и не сказать, чтобы они были мелкие, наоборот. Песочница эта или не выполняется условие что на каждый регион свой агент Ревизор, или фильтр по-настоящему хороший - я не знаю.

Средства нападения всегда чуть впереди средств защиты и контроля, не стоит думать что дальше контроль не усилится, например, тем способом который я описал в статье. Или он уже есть сейчас просто ещё не придумали как использовать его в качестве доказательной базы (это должно быть сложно). В любом случае повторю мысль - инструмент всего лишь инструмент оружие он или нет решает тот кто его использует, сеть Ревизоров и вообще система блокировок это термоядерный синтез, может бахнуть и уже бахал не один раз и совсем недавно. А может и нет, я даже благо какое-то постарался найти, хотя в последствие это может стать ещё более изощрённым способом контроля.

P.S. Всех настоящих связистов с праздником. Интернетчики это седьмая вода на киселе, но они обычно за компанию отмечают.

В какое удивительное время мы живем, вот например рекламное видео нового терминала Windows https://www.youtube.com/watch?v=8gw0rXPMMPE

Вкладки, рендеринг текста, эмоджи и кастомизация вашего терминальчика в 2к19 от Microsoft.

Летом обещают залить в магазин приложений, а официальный релиз состоится ближе к концу года. Код для "поиграться" доступен уже сейчас: https://github.com/microsoft/terminal

DNS потихонечку переползает на Query Name Minimization, без особой помпы поддержка добавляется в существующие решения. Как результат всё меньше кто-то будет знать об истинных намерениях каждого. Наверное, это хорошо. Время "Интернета для технарей" прошло, поэтому заменили спокойствие - можно всё посмотреть и понять, на спокойствие обратное - меньше знаешь, крепче спишь.

Хм... ЦРУ открыло своё представительство в TOR: ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion

​Ну теперь понятно, как защищаться от угроз сети.

У Kaspersky есть красивая карта с данными о вредоносной активности. То же что и здесь, но с большим количеством подробностей и статистики по всем странам. Россию больше всего атакуют, но тут возможно перекос из-за зоны наибольшего распространения Касперского у нас.

L2 дизайн против L3 на примере одной аварии. По моему опыту L2, в первую очередь, сложен своей отладкой у которой нет простых инструментов вроде traceroute, а последствия сбоя часто катастрофические, как в статье.

Когда какой-то коммутатор по своей прихоти начинает флудить в широковещательный домен, или подменять маки, начинают происходить странные, совсем не очевидные вещи. Заглянуть внутрь вилана сложно, а косвенные признаки можно интерпретировать по разному. В итоге, жалоба клиента: "У нас не работает DHCP (RIP, да что угодно) в вашем канале, хотя всё остальное вроде бы работает" - превращается в бесконечные часы тотального траблшутинга всего, пока в итоге не подключается сниффер и не находится флудящее устройство. И это реальный пример из практики нашего NOС, не самый разрушительный. Про кольца можно не говорить: STP по своей сути, протокол предотвращения аварии которая уже есть, а не созидательный (архитектурный) протокол, ERPS не многим лучше. Единственный способ работать с L2 - это регламентировать всё, задавая самые строгие из возможных режимов ничего не давая на откуп автоматике, но это добавляет сложностей в обслуживании.

У L2 есть красивые, быстрые решения для отказоустойчивости, например просто LAG или MLAG, vPC или любое другое специфичное название и этим хочется пользоваться. Но и это не всегда работает хорошо, даже LAG, особенно на стыке двух вендоров, или софтового и железного решения.

Ошибки могут быть у всех, но с выводами статьи я согласен - L2 можно пользоваться, но с бОльшим риском.

Свой speedtest как альтернатива speedtest.net, хотя к нему все и привыкли да и HTML5 он уже может. Но эти попугаи ничем не отличаются от тех попугаев. Выглядит красиво и можно под себя подстроить.

Пример настройки NAT из IPv6 в IPv4 и обратно на JunOS. На кажущуюся странность подобный подход очень простой, позволяющий оттянуть полномасштабное внедрение IPv6 достаточно далеко.
Если начать использовать IPv6 адреса у своих клиентов непосредственно, то сразу возникают задачи биллинга (у провайдеров), задачи аутентификации и безопасности. Потому что многое из того что есть заточено под IPv4. А с NAT можно остаться на IPv4 внутри, используя IPv6 снаружи. Наверное и я бы так поступил по возможности, но это двойная работа в будущем.

Питон для сетевых инженеров.

​Виджет с количеством BGP префиксов на разных устройствах в сети RIPEStat. Мне проблема кажется надуманной, но если можно сделать почему бы и не сделать. Гораздо интереснее наблюдать какой BGP разный, даже по количеству префиксов в разных частях Интернета. Каждый видит свою картину мира и только свою.

По пути на работу последние две недели я читаю книжку про Docker. Достаточно лёгкое чтение про базовые принципы современного, я бы уже не назвал это передовым, подхода к проектированию и работу программного обеспечения. Есть про всё, собственно Docker и механизмы управления им, облачные провайдеры, CI/CD, тестирование, микросервисы. Всё с конкретными простыми примерами для существующих продуктов. То есть, это книжка как пользоваться, а не как всё устроено. Знаете можно читать использование Linux и там будет описание ядра, прерывания, системные вызовы, а можно читать книгу с практически таким же названием и там будет как мышкой переместить файл из одной папки в другую, вот моя книжка это второй вариант.

И чем дальше я читаю тем больше понимаю откуда взялось выражение "сисадмины не нужны" или "сетевики не нужны". Потому что действительно не нужны. Если следовать логике изложения всё решается или самими разработчиками продукта и всё что нужно уже есть в докер образе, или высокоуровневыми концепциями связи контейнера с контейнером и подобными, не заботясь о том что это вообще значит, полагаясь на реализацию конкретного продукта или облачного провайдера. Я даже стал верить в это.

Опасное это заблуждение или нет, не могу сказать. Может вообще не заблуждение. Книга про основы, даже скорее для начинающих. В начале пути всегда кажется что всё известно, в других работах наверняка раскрывается больше тонкостей. Но очевидно что сети меняются и меняется роль специалиста по сетям. Под всё большим вопросом символ админства и скрытой магии - CLI, в блоге CellStream хорошее рассуждение Andrew Walding по этому поводу. Вопрос не просто в командном режиме который можно было бы использовать и через систему управления не попадая в консоль напрямую, а в полном уходе к высокоуровневым методам API.

Бояться изменений - остаться не у дел, так что пропускать тренды точно не стоит, но и слепо отказываться от того что было неправильно. Выйдет ли из этого симбиоз, мы это точно увидим в ближайшем времени.

Про книжку забыл, исправляюсь. Я выбирал только по одному критерию, чтобы на русском. Эдриен Моуэт "Использование Docker" 2017 год (по ссылке дальше в канале есть сама книжка). Автор много ссылается на будущее и пишет о многих продуктах как о находящихся в тестировании, но тут надо сделать скидку на год, всё уже работает у всех.

Мне не с чем сравнивать, так что не могу дать оценку качеству материала, с чем я сталкивался всё приемлемо. Читается легко для меня, есть код на Python, YAML, shell который поясняется постольку поскольку, лучше с этим быть знакомым. Есть подозрение что нужно быть в принципе знакомым с концептом микросервисов и программированием, тестами, но в целом все эти понятия объясняются с нуля.

Шпаргалки по регулярным выражениям со спецификой Vim: поиск, замена, описание и примеры. Даже для тех, как я, кто редактирует не больше 5 строчек в Vim в неделю, полезно. Я вот сегодня воспользовался, забыл как адресуются строки в режиме поиска.

Интересно, что многие реализации очень похожи, но в чём-то всё же есть отличия. Разве что на заре Unix команда g/REGEXP/p в редакторе ed работала в точности как утилита grep, потому что это был один и тот же код.

Microsoft выпустила патч для CVE-2019-0708 - можно получить удалённый доступ к системе через RDP и делать что хочешь: An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Всё настолько серьёзно что и для XP есть патчи. С Windows 8 и 10 всё в порядке.
И у Cisco похожая история, можно управлять всем, вплоть до загрузчика.