Сети они такие, ага: LOOK, THE LATENCY FALLS EVERY TIME YOU CLAP YOUR HANDS AND SAY YOU BELIEVE. Но всем известно, что это из-за DNS.
xkcd
Networking Problems
Интересный документ с просторов Всемирного Экономического Форума, или вот сразу в PDF. Четыре принципа:
Первые два пункта - думай за абонентов, третий - думай за производителя, и четвёртый - думай сам, MANRS.
Сегодня открываю отчёт Qrator Radar, а там новый открытый порт
Ладно это
В итоге, что опять же следует из документа, современный оператор связи это не просто канал связи, это набор правил и ограничений с ним связанных и не всегда всё что хочется в этом канале использовать заработает. Хорошо когда тех.поддержка может это что-то разрешить, но бывает что и не может или за отдельные деньги. Никаких не вмешивайся в трафик абонента больше нет, отчасти я с этим согласен - защищайся как можешь, чтобы не было ещё хуже, но есть в этом что-то неправильное.
1. Protect consumers by default from widespread cyberattacks and act collectively with peers to identify and respond to known threats
2. Take action to raise awareness and understanding of threats and support consumers in protecting themselves and their networks
3. Work more closely with manufacturers and vendors of hardware, software and infrastructure to increase minimum levels
of security
4. Take action to shore up the security of routing and signalling to reinforce effective defence against attacks
Первые два пункта - думай за абонентов, третий - думай за производителя, и четвёртый - думай сам, MANRS.
Сегодня открываю отчёт Qrator Radar, а там новый открытый порт
TCP 179 (BGP) у абонента. Осознаёт ли абонент опасность? Возможно там и вовсе не BGP или какое-то тестовое окружение развёрнуто, зачем вообще в общем случае абоненту на домашнем подключении BGP? И что c этим делать дальше? Не вмешиваться, следуя принципу мы дали канал, то что в канале нас не интересует? Или, как нам говорит документ выше, вмешаться и разобраться? Или превентивно заблокировать для всех?Ладно это
BGP, первый раз такое за много лет что у кого-то дома оказался BGP, с этим можно разобраться досконально. Но DNS или NTP торчит наружу очень часто у сотен абонентов если не у тысяч, это как раз те самые настройки по умолчанию домашних роутеров. Разобравшись с каждым появятся ещё тысячи. Остаётся только всех под одну гребёнку причёсывать и блокировать. Хорошо ещё SMTP свою роль потерял, все на веб перелезли.В итоге, что опять же следует из документа, современный оператор связи это не просто канал связи, это набор правил и ограничений с ним связанных и не всегда всё что хочется в этом канале использовать заработает. Хорошо когда тех.поддержка может это что-то разрешить, но бывает что и не может или за отдельные деньги. Никаких не вмешивайся в трафик абонента больше нет, отчасти я с этим согласен - защищайся как можешь, чтобы не было ещё хуже, но есть в этом что-то неправильное.
Telegram
ISACARuSec
https://www.weforum.org/reports/cybercrime-prevention-principles-for-internet-service-providers
Linux впереди планеты всей по части MPTCP и добавили в ядро поддержку первой версии, когда все остальные ещё на нулевой. Год назад с проникновением было не очень, но вроде всё движется.
Twitter
David S. Miller 😷
Linux is the first OS to support MPTCP v1, please give me that twitter dopamine. Lots... https://t.co/jeMHOktetb
Диаграмма сети с Cisco Live Barcelona 2020, пример того как делает Cisco для Cisco.
А вот общая панель мониторинга. Не знаю что это, но похоже на Network Weathermap. На мой вкус не очень, чисто визуально. Лучше смотрится когда используется символические изображения устройств, а не фотографии, на вкус и цвет как говорится.
А вот общая панель мониторинга. Не знаю что это, но похоже на Network Weathermap. На мой вкус не очень, чисто визуально. Лучше смотрится когда используется символические изображения устройств, а не фотографии, на вкус и цвет как говорится.
Twitter
networkautobahn
#CLEUR 2020 network layout. This time with better IPv6 scalability
Результаты опроса почти 300 человек об автоматизации их сетей, для некоторых вопросов есть сравнение с 2016 годом. Затронуты совершенно разные аспекты и всё выглядит вполне неплохо. В консоль, однако, оставили себе возможность заходить подавляющее большинство респондентов в дополнение к автоматизированным способам. На GitHub есть сырые данные.
netdevops-survey
Intro
The goal of this survey is to collect information to understand how network operators and engineers are using automation to operate their network today.
Как ломаются сетевые устройства на примере Mikrotik и
CVE-2018-7445. Детально про процесс от поиска возможности до реализации эксплоита. Много про программный реверс-инжиниринг и разработку на низком уровне, но есть и про SMB и работу с Wireshark. Далеко от использования и практики сетей, но близко к самым основам. А ещё можно сравнить с тем как ломаются Cisco и оценить что сложнее, искать уязвимости, исправлять их, или сети эксплуатировать.Medium
Finding and exploiting CVE-2018–7445 (unauthenticated RCE in MikroTik’s RouterOS SMB)
Unauthenticated RCE in MikroTik’s RouterOS SMB
Netnod на 400G порты переходит на Arista, а Cisco на 8000 серии тоже скоро обещает. Ждём домашние роутеры в исполнении 4x10G + WiFi.
www.netnod.se
The move to 400GE and the evolution of the Netnod IX | Netnod
Why 400GE?
The industry continues to see exponential traffic growth and the need for technologies that enable increased bandwidth, high-performance and continually evolving services. With the new 400GE ports, Netnod customers can now run all their peering…
The industry continues to see exponential traffic growth and the need for technologies that enable increased bandwidth, high-performance and continually evolving services. With the new 400GE ports, Netnod customers can now run all their peering…
10 лет из жизни IPv6 по странам от RIPE NCC: количество AS с анонсируемыми IPv6 префиксами. Наверное, не очень корректно сравнивать Люксебург и Бразилию в процентах, но уж как есть. Ещё интересно, что процент как растёт так и падает, вряд ли это отказ от IPv6 (хотя кто знает), скорее это рост количества AS.
YouTube
Watch IPv6 Uptake Grow Across the World
This was created using data that indicates the percentage of networks (Autonomous Systems) that announce an IPv6 prefix for a specified list of countries or groups of countries.
Возвращаясь к написанному. Министерство обороны США похоже передумали - принятый закон 116-92 не содержит секции 1088 и вообще каких либо упоминаний про IP адреса. Интересно, могли это засекретить? Я, конечно, попытался поискать в принятых поправках ответ на вопрос "Почему?", но не сильно понял как это сделать быстро и вообще по какому признаку искать, поэтому оставил это дело. IPv6 и без них победит, судя по предыдущей картинке уже где-то победил.
Telegram
Патчкорд
Министерство обороны США планирует избавиться от своих IPv4 адресов не позднее чем через 10 лет и начать процесс продажи не позднее чем через 2 года: "S.1790 - National Defense Authorization Act for Fiscal Year 2020 / SEC. 1088. DISPOSAL OF IPV4 ADDRESSES".…
Иногда нужна не стабильная сеть, а наоборот, например, для тестов. Как внести задержку, потери и другие искажения в передачу трафика, несколько примеров в статье на Habr.
Решения для
Нехорошие админы именно так чаще всего и развлекаются.
Решения для
tc и iptables. Почему-то не упомянут режим random для iptables, которым тоже можно внести нестабильность, скажем в 1% потерь:
sudo iptables -A INPUT -m statistic --mode random --probability 0.01 -j DROP
Нехорошие админы именно так чаще всего и развлекаются.
Хабр
Имитируем сетевые проблемы в Linux
Всем привет, меня зовут Саша, я руковожу тестированием бэкенда в FunCorp. У нас, как и у многих, реализована сервис-ориентированная архитектура. С одной стороны,...
👍1
В новом ядре Linux решена проблема Y2038. UNIX time будет и дальше себе тикать, если не появится какая-нибудь более амбициозная система со своим началом отсчёта. Молодцы, что решили не откладывать.
Phoronix
Linux 5.6 Is The First Kernel For 32-Bit Systems Ready To Run Past Year 2038
On top of all the spectacular work coming with Linux 5.6, here is another big improvement that went under my radar until today: Linux 5.6 is slated to be the first mainline kernel ready for 32-bit systems to run past the Year 2038!
Правила жизни сетевого (не только) инженера, реальность как она есть в профессиональных и управленческих аспектах. Хотел какие-то правила прокомментировать, но не буду, согласен с каждым на 100%.
EtherealMind
EtherealMind’s Fifteen Networking Truths (Rules of Networking)
My take on RFC1925.
Wireshark это ещё и плеер - прослушать голосовой вызов можно прямо из интерфейса. Наверное, не новость для некоторых, я в меню "Телефония" первый раз перешёл.
Weberblog.net
VoIP Captures
VoIP calls, using the network protocols SIP/SDP and RTP, are the de-facto standard when it comes to voice calls. Wireshark offers some special features to analyze those calls and RTP streams –…
Forwarded from Cybershit
Порой кажется, что задача собирать и анализировать трафик сети неподъемная и очень трудоёмкая.
Причин, требующих мониторить трафик может быть множество, начиная от неправильных конфигураций, которые нагружают вашу сеть, до создания поведенческого baseline сетевой активности и анализа аномалий.
Задача поставлена, рынок спешит предложить решения, и тут они на любой вкус и цвет: пакетные анализаторы, анализаторы потоков (flow), десятки способов получения трафика: SPANы, TAP'ы, отправка различных flow и пр.
Но, что если хочется «бисплатно» и с рюшками? Тут тоже целый простор для фантазии, open-source, отодвигая кровавый энтерпрайз, тоже готов предложить массу интересных систем, например небезизвестное в широких кругах Moloch — масштабируемое решение для захвата и индексации пакетов внутри вашей сети, которое отлично дополнит IDS систему.
GitHub: https://github.com/aol/moloch
Quick Start: https://medium.com/swlh/indexing-network-traffic-with-moloch-and-elastic-931dda8a1685
А также другие решения, если вдруг захочется «а можно всех посмотреть?»:
Traffic Analysis/Inspection: https://github.com/caesar0301/awesome-pcaptools#analysis
Traffic Capture: https://github.com/caesar0301/awesome-pcaptools#capture
Причин, требующих мониторить трафик может быть множество, начиная от неправильных конфигураций, которые нагружают вашу сеть, до создания поведенческого baseline сетевой активности и анализа аномалий.
Задача поставлена, рынок спешит предложить решения, и тут они на любой вкус и цвет: пакетные анализаторы, анализаторы потоков (flow), десятки способов получения трафика: SPANы, TAP'ы, отправка различных flow и пр.
Но, что если хочется «бисплатно» и с рюшками? Тут тоже целый простор для фантазии, open-source, отодвигая кровавый энтерпрайз, тоже готов предложить массу интересных систем, например небезизвестное в широких кругах Moloch — масштабируемое решение для захвата и индексации пакетов внутри вашей сети, которое отлично дополнит IDS систему.
GitHub: https://github.com/aol/moloch
Quick Start: https://medium.com/swlh/indexing-network-traffic-with-moloch-and-elastic-931dda8a1685
А также другие решения, если вдруг захочется «а можно всех посмотреть?»:
Traffic Analysis/Inspection: https://github.com/caesar0301/awesome-pcaptools#analysis
Traffic Capture: https://github.com/caesar0301/awesome-pcaptools#capture
Прочитал на прошлой неделе "Мифический человеко-месяц" Брукса, своего рода икона в области литературы по процессам разработки программного обеспечения. Очень, даже очень многие на неё ссылаются в своих работах, но читать её сейчас не стоит. Только как исторический экскурс, потому что окружающая среда кардинально изменилась и в повествовании всё время натыкаешься на проблемы вроде аренды килобайтов памяти за тысячи долларов, что сильно мешает пониманию сути происходящего. Хотя, конечно, выйдя на сломе эпох, даже спустя столько времени чувствуется её революционный дух и видно откуда растут ноги классических, сейчас, утверждений, например не использования
Так вот, провозглашая программирование как творческую профессию автор уделяет очень много внимание знакам статуса технического руководителя и эксперта, а также удобству и комфортности рабочего места. Как правило многие отмечают, что мощный компьютер это важный аспект, а вот про кресло, которое должно быть не хуже кресла менеджера и кабинет с не меньшей площадью, мысль для меня интересная. Насколько важно ощущать себя на должном уровне в корпоративной иерархии, а она есть даже в очень маленьких компаниях, чтобы результат твоей работы был лучше. И наушники не спасут если сидишь в опенспейсе даже самом дальнем уголке. При том что профессия программиста или сисадмина во многом превратилась в работу клерка, но как минимум не ниже по статусу чем менеджера на телефоне, хотя порой, особенно сисадмины сами загоняют себя на дно. Хороший костюм, это важно. Быть инженером, по настоящему, как пишет Russ White это уважать себя и свою профессию, в которой, в массе своей, осталось так мало настоящего технического искусства.
GOTO или перехода к высокоуровневым языкам программирования. Гораздо понятнее и ближе к текущим реалиям, но тоже уже историческая статья: "Серебряной пули нет" - вот её стоит почитать и понять что многие современные вещи родились, пусть и в качестве идей, больше 30 лет назад и не сильно изменились с тех пор.Так вот, провозглашая программирование как творческую профессию автор уделяет очень много внимание знакам статуса технического руководителя и эксперта, а также удобству и комфортности рабочего места. Как правило многие отмечают, что мощный компьютер это важный аспект, а вот про кресло, которое должно быть не хуже кресла менеджера и кабинет с не меньшей площадью, мысль для меня интересная. Насколько важно ощущать себя на должном уровне в корпоративной иерархии, а она есть даже в очень маленьких компаниях, чтобы результат твоей работы был лучше. И наушники не спасут если сидишь в опенспейсе даже самом дальнем уголке. При том что профессия программиста или сисадмина во многом превратилась в работу клерка, но как минимум не ниже по статусу чем менеджера на телефоне, хотя порой, особенно сисадмины сами загоняют себя на дно. Хороший костюм, это важно. Быть инженером, по настоящему, как пишет Russ White это уважать себя и свою профессию, в которой, в массе своей, осталось так мало настоящего технического искусства.
rule 11 reader
Too Little Engineering
One of my pet peeves about the network “engineering” world is this: we do too little engineering and too much administration. What brought this to mind this week is an article about Margaret Hamilt…
Про котят и сетевые протоколы. В комментариях продолжение и толковые замечания.
Хабр
Как правильно раздавать котят
Раздача котят по DHCP Привязать к котёнку поводок Запустить котёнка в толпу Когда хозяин будет найден, он сам отвяжет котёнка от поводка. Раздача котят по HTTP...
Объясняй это просто, но не проще чем требуется. Простое объяснение работы OSPF, но только на его вдумчивое чтение придётся потратить, я думаю, несколько часов. Есть про типы
Повествование последовательное, так что перелистывать не стоит, но если прямо всё действительно кажется простым, то последняя часть Connecting The LSA подводит итог и на примере показывает как из данных OSPF database собирается готовый маршрут.
LSA от 1 до 5, про Area, про заголовки и LSDB и про то как это всё вместе работает, с упоминанием особенностей и примерами вывода для Cisco IOS.Повествование последовательное, так что перелистывать не стоит, но если прямо всё действительно кажется простым, то последняя часть Connecting The LSA подводит итог и на примере показывает как из данных OSPF database собирается готовый маршрут.
packetpushers.net
OSPF: Graphs, LSAs, And The LSDB - Packet Pushers
Each LSA type in OSPF acts as a single piece of the puzzle that, when put together, creates a graph of the full network topology. OSPF uses this graph to run SPF and calculate an SPT for each router in the topology. This blog will attempt to explain these…
Собственно программирование сетей, как есть: ConQuest - гоняемся за микробёрст на скорости порта. Нужны устройства с поддержкой P4 через которые проходит трафик или на которые трафик зеркалируем. Если проходит то ещё эффективно можем на него влиять, гораздо гибче предопределённых правил QoS. Как там интересно в ближайшем будущем, будет магазин с приложениями для коммутаторов?
APNIC Blog
ConQuest: fine-grained queue analysis | APNIC Blog
Guest Post: With ConQuest, operators and researchers can monitor the queuing buffer, pinpoint the particular bursty flows, and perform corrective actions.
Forwarded from Эшер II A+
#dns И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)
✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)
✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0
✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c
👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)
✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)
✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0
✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c
👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)