Не RPKI единым, по IRR тоже можно эффективно фильтровать если захотеть. Надо только не забывать про актуальность, чтобы не случилось как в Индии. Но тут, видимо, виноват National Internet Registry - IRINN, через который операторы управляют своими объектами в базе APNIC.
С RPKI, где есть однозначный признак валидности, было бы веселее. Поэтому, возможно, мы ещё не скоро увидим фильтры по UNKNOWN записям, тем более что сбои случаются у всех.

Надёжность всей системы определяется самым слабым её элементом. Домашние роутеры, многие из них, не отличаются высокими стандартами и подходами к обеспечению собственной безопасности, безопасности пользователей. И никогда не отличались.

Масла в огонь добавляют сами операторы, предлагающие адаптированные модели для своих абонентов, в которых тоже обнаруживаются многочисленные проблемы. Например, Telia, как подсказывают нам наши подписчики, за что им отдельное спасибо.

Написать свою реализацию BGP становится модным. CoreBGP реализует только конечный автомат - установку соединения и механизм получения и отправки UPDATE, никак их не интерпретируя. То есть, вся та сложность, которая с годами накопилась в многочисленных вариантах использования различных атрибутов, выносится за скобки - реализуй только то что надо, на готовой основе. Сделано на Go, тоже сейчас модном.

​Шпаргалки по базовой настройке OSPF и BGP в Junos. По страничке в PDF, каждая.

​Не важно сколько миллионов стоит ваш коммутатор если вы забыли про инфраструктуру. Нулевой и минус первый уровень тоже существуют и важны не меньше всех остальных: круглосуточный и круглогодичный доступ к аппаратным, наличие дежурной службы, инженеры и техники, которые именно в этом разбираются, регулярное обслуживание и контроль, бюджеты для всего этого... И тогда, может быть, ваши сети будут чуть меньше простаивать. А аварии, случаются в любом случае.

Известная особенность BGP, но не так часто упоминаемая - это то что BGP никак не заботится о какой-либо безопасности на транспортном уровне, об этом надо позаботиться отдельно. Хороший обзор проблемы на PF2017 от Игнаса Багдонаса и его презентация. PF2017 вообще хорошо прошёлся по многим аспектам обеспечения безопаcности при работе с BGP.

Одним из решений тогда назывался BGP over QUIC и теперь это обрело форму в rustybgp. Cтатья про это в блоге автора на японском, с которой переводчик сносно справляется. Дальше видимо везде, но, скорее всего, не сразу.

Замечательный драфт про неудачные проектные решения при выборе числовых значений и их формировании в повсеместно используемых протоколах, которые делают их уязвимыми в очень широком смысле. Описание проблемы и временные вехи, как это потом пытались исправить.

Во FreeBSD ещё в апреле починили бридж - улучшили производительность с ~4Mpps до ~19Mpps:

Run the bridge datapath under epoch, rather than under the BRIDGE_LOCK().

We still take the BRIDGE_LOCK() whenever we insert or delete items in the relevant lists, but we use epoch callbacks to free items so that it's safe to iterate the lists without the BRIDGE_LOCK.

Tests on mercat5/6 shows this increases bridge throughput significantly, from 3.7Mpps to 18.6Mpps.

Без особых подробностей заметка в блоге, а обещанная статья так и не состоялась.

По мнению Apple:
- IPv6 быстрее IPv4 из-за отсутствия NAT,
- HTTP/2 быстрее HTTP, вероятно, из-за своей бинарной природы,
- а ещё у них TLS1.3, который быстрее TLS1.2 и MTCP

Но это у Apple, а как в мире можно посмотреть тут https://stats.labs.apnic.net/v6perf/XA и почитать, что к чему.

​Если на клетке слона прочтёшь надпись «буйвол», не верь глазам своим.

Детальный обзор Cisco 2960, которая совсем не Cisco. При этом всё работало и даже устраивало владельцев, пока не пришло время обновляться. Я думаю многие так и не заметили бы - списали бы как брак, или потому что просто не обновляются. Может быть, даже покупали бы подешевле, зная что это не настоящая Cisco. Что, в том числе, говорит о высоком уровне технологического обеспечения тех кто такие подделки делает и серьёзных затратах на это.

Не читая сам документ, попробуйте определить на какой картинке подделка, на левой 👈 или на правой 👉.

​Я сейчас не часто покупаю себе бумажные книжки. Раньше делал чуть чаще, особенно студентом, почти с каждой стипендии. Но раньше выбора было поменьше, да и стипендии не на всё хватало. Сейчас я, отчасти, восполняю этот пробел покупая классические вещи, но делая это от случая к случаю, больше под настроение чем системно. И вопрос цены, по прежнему, тут не последний.

Сегодня забрал с доставки "Внутреннее устройство Windows" в современном варианте. Читать буду обязательно, надеюсь будет интересно, потому что в своё время я так и не забрался сильно глубоко. Для моих практических целей хватало win32.chm и SoftICE. И даже то что вы можете увидеть на фотографии на полке слева, я с трудом помню, что вообще читал.

Пока вы спали, у cloudflare на 23 минуты прилегло 50% их сети. Знаете почему?? Опечатка в конфиге на роутере в одном из приватных бекбонов! https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020

Пульс Интернета - каждый участник глобальной сети подключенный к ней по BGP может это увидеть.

Остальные могут воспользоваться ris-live.ripe.net и одной из двух десятков точек присутствия, или всеми сразу, чтобы получать уже отформатированные данные и нарисовать свой пульс. А можно просто смотреть за сменяющими друг-друга сообщениями и медитировать, прикоснувшись к самой его сути.

Про BGP - тезисно. Разные аспекты работы, не все, но очень важные. Шпаргалка, чтобы вспомнить, для тех кто уже знает.

Кстати, простой способ DNS over TLS используя systemd-resolved, с большой вероятностью он уже есть в системе. И держим в уме что всё падает, поэтому резервируем своим.

Современное состояние мира Интернет, того самого, который с большой буквы. В котором одновременно существуют IPv6 и IPv4 и это делает его хуже. НО, надежда есть.

Это статья продолжение вот этой песни и не менее замечательная. В ней нету технических деталей, всё простым и понятным языком, про те эмпирические законы на которых Интернет был построен и IPv6, в том числе, и что из этого получилось.

Коллега админ поднимал тестовую среду и столкнулся с проблемой что SFP+ не определяется в сервере - нет интерфейса. Дело уже почти дошло до перекомпиляции драйвера, но хватило опции allow_unsupported_sfp=1. Такой привычной для Cisco, но почему-то не подумалось, что такое может быть для серверной карточки и её драйвера. Причём эту опцию он как раз в коде драйвера и увидел.

Самый быстрый способ - известный в первую очередь тебе самому, а значит самый простой. Проблема могла бы быть решена и заменой SFP+, и "прошивкой", чтобы мимикрировать под нужного вендора, и перекомпиляцией драйвера, если так проще. И это всё верные решения, правильные с разных сторон, для разных людей с разным опытом и разными подходами. И теперь в этой копилке есть ещё одно.

Что к чему с настройками разрешения имён DNS в Linux, в пяти частях. Про все конфигурационные файлы, чуть про Docker с Kubernetes и отладка. В продолжение настроек DNS over TLS.

А вот то, про что я говорю последние два года: эпоха единого интернета проходит, начинается фрагментация. Уже есть четыре самостоятельных сети, регулируемых США, Евросоюзом, Китаем и Индией.

Если вас интересует состояние и будущее интернета - обязательно прочитайте, особенно про Индию и Jio. Статья небольшая, но важная https://stratechery.com/2020/india-jio-and-the-four-internets/

Апдейт: В блоге Дзена отличная выжимка-перевод этой статьи https://t.iss.one/zenleaks/2625