Помните преимущества IPv6, в частности что адресов так много что прямой перебор невозможен, почти. И по началу даже MAC адреса встроили прямо в IPv6 адрес - EUI-64. Потом правда подумали что слишком и прикрутили различные расширения размывающие след оставляемый в сети - рандомизацию адреса и ротацию префиксов. Но, конечно, всё что было когда-то придумано уже не изымешь из обращения, это Интернет.

Просто замечательная техника основанная на EUI-64 и вашем домашнем роутере - CPE. Ведь у каждого есть роутер, наверное, и если начать перебирать адреса, с учётом знаний что выделенные префиксы на абонента лежат в диапазоне /48 - /64, то немалая часть роутеров ответит, а вы получите ответ ICMPv6 UNREACHABLE с адреса роутера. Если это EUI-64 адрес, что для роутеров является очень вероятным ввиду более редкого обновления, экономии не ресурсах, ну и в целом меньшей защищённости и более расхлябанного отношения вендоров к защите, то отследить дальше этот уникальный адрес уже дело техники и ротация префиксов не сильно помогает, о чём собственно и статья. И, конечно, этот роутер можно просто сломать, ведь адрес вы уже знаете, он глобально маршрутизируемый.

Помимо этого можно достоверно узнать структуру адресного пространства провайдера, например, какой длины префикс выделяется на одного абонента, достаточно перебирать по одному адресу в каждом /64 и ловить ответы с ошибками с одинаковыми EUI-64. По статистике из статьи, ~40% - /56 на абонента, 30% - /64 на абонента, ещё одно частое значение это /60 на абонента.

Безопасность системы определяется самым незащищённым её компонентом, IPv6 не лучше по умолчанию. За любой заложенной проектной абстракцией стоит реализация, которая всё это может помножить на 0, потому что так было проще.

Немного общих слов про Jitter от Doug Dawson. Замечу только что тенденция упрощать, в том числе, приводит к тому что мы часто смотрим только на ICMP, как самое доступно средство измерения, Jitter в том числе. Но картина в разрезе работы конкретных протоколов может быть разная. Не умоляя важности пингов, всегда стоит держать в уме что скорее всего придётся копать глубже в случае чуть более запутанных проблем чем оборванные линки.

Статический маршрут всегда выиграет при прочих равных у Cisco или про то насколько может быть глубока кроличья нора, если действительно захотеть добраться до самого конца, в данном случае это не удалось.

Про современную FAT, которая ещё всех переживёт, и её реализации. Если вдруг кажется что там всё просто, то вовсе нет. И, конечно, документация это одно, а реализация немного другое, но к этому нам не привыкать.

Не знаю насколько вы следите за драмой перехода логинов на cisco.com на почтовые адреса вместо никнеймов (уже год как), которые теперь нельзя поменять, а только создать новые с потерей всех сертификатов естественно, которые, вероятно, можно перенести с помощью тех.поддержки. Я расскажу про Сетевую академию. Она жила со своими логинами отдельно от cisco.com и уже пережила несколько переездов, в один из которых мне грохнули всю мою историю, доступы к сертификатам Академии и курсам, что-то восстановилось опять же через тех.поддержку, но собственно мне не сильно было надо, доступ к Packet Tracer остался и ладно.

Потом работу с Packet Tracer привязали к онлайн логину в Академии, но по-прежнему это был отдельный логин. И вот через какое-то время непользования запускаю я Packet Tracer и меня спрашивают уже логин от cisco.com. Ого думаю, наверное использовали cisco id, который я указывал в личном кабинете Академии. Ан нет, залогинившись под cisco.com я получаю сообщения что вы не являетесь членом Академии - приехали... Я немного погоревал и пошёл на сайт Академии помахать кулаками, естественно там тоже просят логин от cisco.com, но при этом вываливают информационное сообщение, мол если не получилось залогиниться, то попробуйте свою старую почту которую использовали для Академии и старый пароль.

Я попробовал и получилось, но знаете как они это сделали? Та-даам! Они конвертнули логин академии в логин cisco.com *facepalm* и теперь у меня два логина от Cisco, *double facepalm*. Сайт Cisco и вот это вот всё что они делают в вебе никогда не были хороши, что Cisco периодически и доказывает. Если ещё не заходили и не сталкивались зайдите посмотрите, если собрались менять адрес почты, озаботьтесь этим заранее тем более имея сертификаты. А я пойду поиграюсь в Packet Tracer, пока опять что-нибудь не придумали.

​​Замечательная, на мой взгляд, серия статей BGP Zero to Hero от Яссера Ауда. На данный момент представлено 7 статей. По плану должно быть 15.
Соответственно сами статьи:
1. BGP Zero to Hero Part 1 , Establishing Peering’s
2. BGP Zero to Hero Part 2 , Attributes and Best Path Selection Algorithm
3. BGP Zero to Hero Part 3 , iBGP Scaling
4. BGP Zero to Hero Part 4, BGP Peer Group, Peer Templates
5. BGP Zero to Hero Part 5, BGP Conditional Advertisement & Redistribution
6. BGP Zero to Hero Part 6, BGP Aggregation & Load sharing/balancing
7. BGP Zero to Hero Part 7, BGP Communities

Круто, иду читать!-🔥
Однозначно в закладки!-❤️
Мне не интересно! -👎

Заходим в наш уютный чат - https://t.iss.one/automate_devnet
Основной канал - https://t.iss.one/automate_net

#bgp #zero_to_hero

Приятная технико-художественная статья про сокеты в переводе на Хабре. Это даже не статья, а рассказ и такого формата не так много и его, лично мне, правда не хватает. Когда можно читать что-то лёгкое и знакомое, но в то же время непротиворечащее тому чем ты занимаешься. Кстати, про SO_REUSEPORT, который был добавлен в Linux Kernel в 2013 и который ещё может поменяться или совсем исчезнуть.

Какие IPv4 адреса встречаются в частном адресном пространстве, конечно, не только 192.168.0.0/16 и компания RFC1918, хотя они самые популярные.

Помимо статистики интересен процесс получения этих адресов, спрятанных от большого Интернет за роутерами - и это обратная сторона безопасности Certificate Transparency log. Подопытными кроликами стали NAS от WD и VPC от AWS. Не обошлось и без Министерства обороны США.

И, как всегда, Ben Cox предоставил доступ ко всему инструментарию и исходным данным.

Vlan'ы это прямо рубеж в понимании сетей новичку, такой же, по значимости рубеж как понимание массивов в программировании. Даже зная какую-то общую теорию прорыв всё равно происходит на практике. Моя практика начиналась на D-Link и я сейчас слабо представляю как быть по ту сторону непонимания, слишком это было давно и слишком это обыденно для меня сейчас и людей вокруг меня. То есть научить понимать кого-то, у меня возможно и не получится.

Картинка которая пытается научить виланам на примере практики Cisco, правда я уже не могу судить насколько она будет полезна тем кто ещё ничего не знает про виланы.

Если вы следите за проектом Полярный экспресс, который уже начали строить, то стоит последить и за Far North Fiber, который пойдёт с другой стороны полюса, длиннее и планируется завершиться раньше, но пока только планируется.

Ещё раз про фильтрацию на магистралях с NANOG84. Подходы, подводные камни, результаты - достаточно для того чтобы брать за основу.

Когда 64Кбайт на длину IP пакета мало, то можно и больше, но только для IPv6 в Linux.

Geoff Huston про IP адреса как уникальный идентификатор, всю длинную историю, и текущее положение вещей.

Вся прелесть классической академической модели что в неё вписывается всё что было и всё что будет, как минимум в ближайшее время.

Вчера был день резервного копирования, а также "Вчера" - правильный ответ на вопрос "Когда вы сделали последний backup?". Про вчерашний день я забыл, а вот резервные копии сделал и вы тоже сделайте, а лучше несколько раз, а потом ещё и проверьте дважды.

Наконец, я добрался до починки Twitter и поэтому в моей домашней инфраструктуре появились SOCKS5 и HTTP прокси и Tor. Мне не сильно нравится такая схема, но то что у меня есть вокруг IPv6 в случае Twitter неприменимо, потому что у Twitter нет IPv6. Я ещё не заглядывал в ленту, но зато починил @BGP-TableBot, хвала requests который умеет SOCKS5 и может подтягивать данные прямо из переменных окружения, так что ничего дописывать и переписывать не пришлось.

Чтобы в принципе исключить зависимость от Twitter я вернулся к мыслям считать статистику по BGP самому, поэтому сделал ещё одного бота @FullViewBGPbot, который берёт данные из RIPE NCC RIS, своего full-view у меня к сожалению нет. По причине ограниченности ресурсов на VPS, только с одного Московского коллектора rrc13, наверное через какое-то время я вернусь к этому вопросу и допилю все остальные. Пока это черновик, мне не очень нравится в попыхах написанный код, корявые фразы и картинки, но тут я в силах это править и буду этим заниматься время от времени. Отзывы и комментарии приветствуются, поддерживаться будут оба.

А вот замены Twitter как новостной технической ленты у меня нет, и это напрямую сказалось на наполняемости канала, но больше конечно это резко возросшая необходимость много чего сделать и переделать, планировать и перепланировать. Я по прежнему получаю удовольствие от того что делюсь интересными вещами с вами, поэтому постараюсь это делать, по мере своих возможностей. Надеюсь скоро их будет побольше. Они у меня копятся и то что останется актуальным обязательно здесь окажется.

Запущен новый туннельный сервис Route48.org: https://lowendspirit.com/discussion/4059/route48-org-ipv6-bgp-enabled-tunnelbroker-service

На выбор предложено 15 локаций, в том числе довольно экзотические в Южной Америке и Юго-Восточной Азии.
Для России вероятно ближе всего окажутся Норвегия или Нидерланды.

Каждому пользователю выделяется подсеть /48, также есть поддержа анонса собственных адресов через туннель посредством BGP.

https://route48.org/

Если вы ждали знака чтобы реализовать поддержку шифрования ГОСТ в IPSec и X.509, то вот он - RFC9227 и RFC9215

Пошаговый разбор установления соединения QUIC, рядом про TLS. Для нескучного вечера пятницы.

Такой близкий, но такой далёкий SS7 и как он уживается с IP. Не вполне законченная серия из 5 статей про теорию телефонных сетей SS7 с лабами на GNS3, я думаю автор её продолжит, хотя и взял паузу. Все примеры строятся на аналогиях в IP сетях, поэтому должно быть понятно, погружение в настоящий, кондовый телеком.