Почему я не люблю понедельники? Исследователи обнаружили фундаментальную проблему в самой используемой системе защиты доступа к WiFi - WPA2. Пока мы не знаем никаких подробностей, кроме того, что все основные производители устройств уже получили информацию от исследователей и спешно пытаются что-то придумать. Но если я правильно понимаю где именно дыра - придумывать нечего. Мы входим в мир, где защитить WiFi точку нечем. По сути через пару недель любой хакер-недоучка сможет получить доступ к вашему вай-фаю.

Я попытался придумать хоть какое-то решение и пока придумал только одно - не пускать дальше в сеть никуда кроме vpn. Но это дикое, страшно ресурсозатратное решение, да ещё и отключающее от сети всякие киндлы и вай-фай-лампочки. Короче это дизастер всемирного масштаба. Не припомню истории страшнее в последние годы. Будем ждать развития событий

https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/

Многие проблемы, хмм - Все проблемы качества передачи трафика (QoS) решаются увеличением пропускной способности канала, но не до конца. В литературе применяют термин - маскируются при увеличении пропускной способности.

Очень хороший расклад про Cisco Random Early Detection, как раз тот случай когда пропускную способность никак не увеличишь. Конечно всё уже есть на cisco.com, но гораздо длиннее и с сухими примерами.

Чтобы стать хакером не надо читать книгу "Как стать хакером" , а надо попробовать раскрутить проблему из утренних новостей про WiFi, но обязательно самому.

А книга... Лучшие книги про основы (которые, к тому же, не так быстро устаревают), после основ - практика, а после практики уже можно шлифануть трюками из практики других, но не начинать с этого - верный путь в script kiddie.

Увидел приятный сервис для проверки своего и не только почтового ящика. Вспомнил ещё про один, но уже для smtp на предмет открытых релеев (если кто ещё держит почту на своих серверах).

Бизнес это бизнес и ничего личного. Испоганили, конечно, термин "импортозамещение", но конкретно этому человеку и компании хочется пожелать успеха. По крайней мере, он очень правильные мысли доносит со сцен многих конференций.

Уникальное событие в земной астрономии, пока уникальное. Вчера учёные многих стран рассказали что они увидели 17 августа и позже. Радует что научное братство существует и звучит гордо.


1 -> ACTIVE mode
1 -> SHORT timeout
1 -> WILL aggregate
1 -> In SYNC
1 -> Mux is Collecting
1 -> Mux is Distributing
0 -> NOT running administratively configured settings
0 -> NOT expired

Вот так можно расшифровать код состояния порта в LACP. Всё вроде понятно :). Чуть-чуть больше написано на movingpackets.net, хотя и без особых подробностей.

Когда всё мониторишь, можно увидеть что WannaCry периодически даёт о себе знать.

С очень длинными AS_PATH всё обстоит не очень хорошо с точки зрения реализации: комментарий про Quagga на Хабре, в статье про решение проблемы на которую многие натолкнулись.

Одной из самых разрушительных и часто используемых команд у Cisco является switchport trunk allowed vlan [список виланов]. В таком варианте предыдущий список будет заменён и если быть не очень аккуратным то в ближайшее время придётся ехать на свидание с устройством в живую.

Плохой ли это дизайн интерфейса или изначально был рассчёт на использование vtp pruning, но в любом случае вариант безопасного обновления списка фильтрации виланов на одно слово длиннее:

switchport trunk allowed vlan ADD [список виланов] - добавить эти виланы к существующему списку;

switchport trunk allowed vlan REMOVE [список виланов] - удалить эти виланы из существующего списка;

switchport trunk allowed vlan EXCEPT [список виланов] - разрешить все виланы, кроме указанных;

switchport trunk allowed vlan ALL - разрешить все виланы

Один из тех моментов которые необходимо помнить, когда дело всё же доходит до работы в консоли.

Датацентры это всё же больше про эксплуатацию зданий и тех.коммуникаций, электричества. В общем бывает что вода течёт не в трубах и вряд ли это такое инженерное решение.

Новый gawk, для тех кто ещё не пересел на Python, а sed не хватает.

Министерство связи утвердило методику сравнения времени в сети оператора связи с эталонным временем. Еле нашёл прямую ссылку на саму методику - надо в документе с текстом приказа перейти в раздел скачать, там будет уже видно куда жать.

Проверяется сервер точного времени в сети оператора по NTP, приказом установлено, что не реже одного раза в год. ГЛОНАСС определяется эталонным источником точного времени, с принебрежимо малой погрёшностью при синхронизации со средствами измерения.

Так как время участвует почти во всех процессах, косвенно или напрямую (привет повремёнке во всех телефонных соединениях на всех уровнях магистралей) то точность его важна - несомненно. Требуемая точность так же приказом установлена. В частности, современная АТС не должна отставать или убегать вперёд более чем на 0,3 секунды за сутки.

Для меня остался вопрос как, кто, когда, в каких случаях это всё будет проверять, наверное и это регулируется.

P.S. Из курьёзного - в первом предложении приказа, прямо сейчас опечатка, что в скачиваемой версии что на сайте - вместо "четвёртым" или "четыре", написано "четыртым".

​Могли бы красивее сделать, но всё равно зачётно - Hurricane Electric хвалится своей сетью, наложенной поверх Земли.

Это просто песня - перевод про реалии современных сетей, и про то чем не стал, но должен был стать IPv6.

Хм... если что-то оставить без присмотра у всех на виду зная что найдут... а кто-то взял, будет ли это мародёрством?

NMapGUI - никак не связывается у меня в голове Java и nmap, почему-то.

Для LACP в etherchannel есть опция min-links, позволяющая в ситуации, когда три из четырёх портов прилегли выключить весь LAG. Если есть другой резерв (часто это не так, но всё же), то нет большого смысла держаться за последний линк с сильной деградацией по качеству - кладём всё глобально и пусть таблица маршрутизации или STP выкручиваются.

Обновилась библиотека для доступа к dnsdumpster.com на Python2. Инструмент чтобы удостовериться, что ничего лишнего в DNS не забыл. Выводит, разумеется, не всё, но много полезного.

Это именно библиотека - класс. Программу придётся писать самому, но там есть простой пример - API_example.py, который можно под себя подправить.

APNIC опубликовал хеши паролей в открытом виде, уже давно.. Но нашли это недавно. Хеши относятся к объектам MNT, то есть зная пароль можно будет управлять всеми объектами которые защищены этим MNT.

Теоретически ничего страшного, но 1. MD5 уже давно и легко можно перебрать; 2. Стойкость паролей зависит от самих создателей паролей, т.е. атака по словарю становится проще имея все хеши разом. APNIC инициировала смену всех паролей, но опять же человеческий фактор может сыграть свою роль и зная старые пароли (подобранные) можно попытаться провести атаку на уже новые.

RIPE уже давно и настоятельно всем советует привязать почтовый адрес (который так же скрыт из выдачи whois), который выступает в качестве loginname на сайте и отказаться от MD5 пароля. То есть пароль даже теоретически не попадает в whois ни в каком виде. Но атака на адрес, если он утечёт ещё опаснее, имхо.