Использование случайного MAC при каждом подключении - настраиваем NetworkManager.

Много лет уже рассказываю людям про IPFS, ZeroNet и прочие децентрализованные системы нового интернета. Но все это оставалось игрушкой, требующей установки не очень понятного софта на свой компьютер. Но сегодня новость-бомба, CloudFlare подняли публично доступный IPFS гейтвей.

IPFS это такая виртуальная файловая система, где все данные хранятся “в сети”, условно говоря как торренты - по хешу файла можно получить этот файл с любого узла сети. Гейтвей нужен для того, чтобы доступ к этим файлам можно было получить из браузера. Почему важен этот шаг Cloudflare: потому что мало кому придет в голову его забанить. Забанить CloudFlare это сегодня забанить почти половину интернета, причем лучшую половину. Теперь-то я развернусь и тоже по-полной начну использовать IPFS! https://blog.cloudflare.com/distributed-web-gateway/

Атакуем DNS грамотно. Даже если находиться внутри своей сети за тремя файрволами, всё равно остаётся возможность обращаться к вашим устройствам не только вам. Достаточно открыть не совсем порядочную страницу в Интернете и тогда система DNS всё сделает за вас, TTL 1 в помощь. Сложность состоит только в догадке какая серая сеть используется внутри периметра и какие устройства в нём есть. Тут на помощь атакующему приходит массовость и лень - 192.168.0 или 1.0/24 угадать/перебрать не сложно. Если вы подключены к Интернету то это уже небезопасно, как минимум пароли надо поставить вообще на всё что может управляться. Если победить лень то можно и DMZ организовать, что конечно для домашнего подключения уже на грани допустимой сложности.

Второй вариант даже без приманки будет работать. Проблема известна как минимум с 2009 года и состоит в предсказуемости идентификатора IPID в фрагментированных DNS ответах. В результате фрагменты которые идут за первым могут быть подменены. Конечно можно запретить фрагментировать, но лучше включить DNSSEC. Про борьбу со спуфингом говорить не стоит, сейчас мы её проигрываем.

Жонглируем виланами на Juniper MX. На маршрутизаторе получается даже лучше чем на многих коммутаторах.
Немного странновато, конечно. Выглядит как уступки созданной архитектуре и дизайну сети, но если очень хочется...

Ростелеком вот такие тематические встречи делает, сегодня про космос (спасибо большое нашему читателю за ссылку).
3 доклада - про историю и перспективы, система Гонец и проект Эфир внутри программы Сфера. Это всё про низкоорбитальную связь, Интернет конечно же. Маск далеко не единственный, кто об этом думает, очень далеко. В общем, мои границы восприятия точно расширены.
Ролик записался за 25 минут до начала, там просто заставка, надо будет вперёд промотать, в конце минут на 15 обсуждение, целиком 3 часа. Смотреть интересно, даже очень, в том числе и с точки зрения организации и формата проведения.

Хорошая технология или плохая, совершенно никак не отразится на том будут её использовать повсеместно, или только вспоминать по вечерам в узком круге ценителей.
Судьба SCTP как один из примеров, в статье также про IPv6 говорят - но тут надежда ещё теплится. Будет ли найдена замена TCP в ближайшее время и будут ли её искать, но SCTP, видимо, останется только для ценителей.

Мир (программирования и не только) катится к чёрту или уже там. Никита Прокопов в своём блоге про то как трава была зеленее и деревья выше, а сегодня никуда не годится. Всё по делу, правда по английски, но простым языком и с юмором, читается легко не смотря на большой объём. Не обошлось без манифеста лучшего мира.
Статья как раз для наступающей осени, порефлексировать о своём предназначении.

В Cisco IOS вилан и порт слабо связаны. Точнее связаны только в одном случае - в режиме access, а в режиме trunk любой вилан, не важно какой, просто пропускается и учёт его не важен. По этой причине ветка CISCO-VLAN-MEMBERSHIP-MIB .1.3.6.1.4.1.9.9.68.1.2 в принципе не покажет транковые порты. Что в режиме обобщённого вывода .1.3.6.1.4.1.9.9.68.1.2.1.1.2, где каждый вилан описывается HEX строкой принадлежности к порту побитно, начиная с первого порта. Что в группировке по портам .1.3.6.1.4.1.9.9.68.1.2.2.1.2 - здесь воспринимается попроще для человека.

Виланы на транковых портах надо вытаскивать отсюда CISCO-VTP-MIB .1.3.6.1.4.1.9.9.46.1.6. Это ветка VTP поэтому там много можно чего ещё вытащить, но разрешённые виланы switchport trunk allowed vlan сосредоточены в:
.1.3.6.1.4.1.9.9.46.1.6.1.1.4
.1.3.6.1.4.1.9.9.46.1.6.1.1.17
.1.3.6.1.4.1.9.9.46.1.6.1.1.18
.1.3.6.1.4.1.9.9.46.1.6.1.1.19

Каждая ветка содержит информацию о 1024 виланах, группировка по портам, каждый порт представлен строкой где каждый бит это вилан. Для первой ветки счёт с 0, для остальных надо сделать соответствующую поправку.

snmpwalk -v2c -c readonly -Ox 192.0.2.1
.1.3.6.1.4.1.9.9.46.1.6.1.1.4.49

iso.3.6.1.4.1.9.9.46.1.6.1.1.4.49 = Hex-STRING: 08 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 08 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

49 порт, разрешены виланы 4, 105, 191, 303, 316. Опция -Ox сделает приемлемый вывод в консоль. Native vlan прячутся в ветке .1.3.6.1.4.1.9.9.46.1.6.1.1.5.

Сложно? Но есть способ получше. Используем базовую ветку .1.3.6.1.2.1.17.1.4.1.2 - индекс порта, и комьюнити вида community@VLANID.

snmpwalk -v2c -c readonly@316 192.0.2.1
.1.3.6.1.2.1.17.1.4.1.2

iso.3.6.1.2.1.17.1.4.1.2.26 = INTEGER: 26
iso.3.6.1.2.1.17.1.4.1.2.49 = INTEGER: 49

Результат - список портов как транковых так и нет где этот вилан бриджуется (присутствует) . Возможно работает и на других ветках за пределами BRIDGE-MIB.1.3.6.1.2.1.17, но тут всё зависит от реализации. Автоматике всё равно, а человеку приятно.

З.Ы. MIB любезно предоставлены Cisco, без регистрации и СМС в отличие от их сайта ;)

Цикл из 6 статей о том как правильно зеркалировать и в целом захватывать трафик из сети. Рассматриваются в том числе организация процесса зеркалирования.
Много внимания посвящено основам Ethernet: хабы, коммутаторы, скорость, дуплекс - что полезно в не зависимости от необходимости зеркалирования и анализа трафика.

Для VSCode есть расширение для синтаксиса Cisco IOS. Исходники на Github. Ни разу не думал над тем чтобы использовать полноценный редактор, чуть ли не IDE, для подготовки конфигураций, но почему бы и нет. Вряд ли, конечно, такое на экзамене позволят ;)

Несколько сценариев работы с BGP в картинках - поставлена задача и написаны подходы к её решению. Написано не очень подробно (без конфигураций) и с BGP надо уже хорошо разбираться чтобы понимать что к чему, это именно сценарии использования. Хорошая основа чтобы собрать такую конфигурация в лабе и попробовать её решить. Есть вторая часть, посложнее. Картинки немного мелковаты, поэтому придётся масштаб подкрутить.
А ещё это такой современный тренд, Julia Evans, например, рисует комиксы и не только, а Microsoft мультики снимает.

24 сентября 1993 года вступил в силу RFC1519 "Classless Inter-Domain Routing (CIDR): an Address Assignment and Aggregation Strategy" (был опубликован 1 сентября) он дополнил и заменил собой RFC1338 "Supernetting: an Address Assignment and Aggregation Strategy". RFC1597, в будущем RFC1918 где определили частное адресное пространство появился только спустя полгода 1 марта 1994.

Решали очевидную, даже в то время проблему Eventual exhaustion of the 32-bit IP address space. При этом в тексте приводятся сведения о размере таблицы маршрутизации, которая на декабрь 1992 года составляет 8561 запись. Сейчас больше 730000 и мы ещё держимся.

Очень заметный RFC предопределивший облик всех современных сетей.

Больше 200 вопросов разного уровня, которые могут встретиться на собеседовании для *nix администраторов. Помимо уровней сложности начальный и продвинутый, есть также разделение по специфике - сети, безопасность, devops. Ответы присутствуют, но не для всех вопросов.
Пригодится не только для собеседований, но и как шпаргалка по некоторым часто встречающимся задачам.

Если хочется покрасивее, чтобы подсветка синтаксиса, меньше опций командной строки то меняем curl на HTTPie (Python).
А стандартный клиент mysql меняем на mycli. Есть аналогичные утилиты и для других БД того же авторства. Вопрос привычки больше, я SQuirreL SQL невероятно древней версией пользуюсь до сих пор, вроде ничего - сделать пару запросов в месяц хватает.

Чтобы отследить общую доступность на интерфейсе в слоёном пироге из уровней, не подкручивая в отдельности каждый из протоколов можно использовать BFD. Простое объяснение с базовым конфигом как это работает на howdoesinternetwork.com.

Очень удобен для BGP сессий, где таймеры по умолчанию десятки секунд. В то же, время для этого нужна добрая воля обеих сторон, а это, учитывая пограничную природу протокола, бывает проблематично. Аналогичная история с парольными сессиями.

400Гбит/c от Cisco, можно заказывать в тест.

Количество LIR в RIPE NCC достигло 20000. А всё потому что IPv4 адреса в обозримом будущем совсем пресовсем кончатся, а каждому новому LIR всё ещё дают /22 в руки. Кроме того, одной организации можно сколько угодно LIR открывать, на диаграмме в тексте видно что у кого-то больше 60 открытых LIR.
Правда и закрывают LIR много, после трансфера который возможен только через 24 месяца, лишняя сущность становится не нужна. На первом месте по количеству LIR Британия, Россия и Германия.

Безудержный оптимизм на сайте https://disableipv4.se/ - инструкции для Windows и MacOS, но пока это фальстарт. Большой Интернет не позволит вам этим насладиться. А вариант отключить IPv6 есть (или нет), но делать это тоже не стоит.

Если вас ещё волнуют уязвимости Spectre и Meltdown, включая и последние находки, то эта утилита для Windows позволит проверить степень взволнованности. Встроенная защита Windows будет ругаться на не подписанного издателя. Бинарники качаются с Github.
Для тех кто не очень глубоко погрузился во все эти проблемы - автор говорит: "Чем больше зелёного тем лучше"

Публичный инструмент HE для просмотра списка политик для пиров. Можно задать ASn (в примере для AS12322) и посмотреть что отфильтровано и состояние принятых маршрутов на POP. На отдельной страничке - применяемый алгоритм фильтрации для всех.
Отличный пример правильного (прозрачного) поведения для всего сообщества Интернет.