Замечательный доклад представленный на ENOG18 теперь можно почитать на Habr - про циклы маршрутизации в Интернет. Помимо теории, особенна хороша последняя часть про различные "необъяснимые" странности, которые вот прямо сейчас присутствуют в Интернет.

Хорошая вводная в понимание iptables, без лишних упрощений, но и не перегибая палку погружения в детали.

Ужасы PAM - просто мысли разработчика, почти без деталей по мотивам написания собственного модуля. И сразу глубокое погружение в аутентификацию BSD, где деталей хватает.

Просто напоминание что нужно делать резервные копии и проверять их тоже нужно даже если это занимает почти 6 дней.

​​IPv6 в следующие 10 лет, прогнозы с NANOG83.

Виртуальные лабы на academy.apnic.net, если ещё не видели не проходите мимо. Нужна регистрация: почта, пароль и короткая анкетка. Ничего кроме браузера не требуется, разные темы, разные устройства, доступ в консоль и пошаговые инструкции. Плюс ссылки на курсы по теме, там же на academy.apnic.net.

https://www.ietf.org/id/draft-schoen-intarea-unicast-127-00.html - ох… Впрочем, это только драфт, каких их только не бывает. Два года прошло и никого это не спасёт, а организует кучу проблем - читайте очень обширную секцию Security в этом же документе. А ещё лучше потратьте время на IPv6, в любом случае это придётся сделать.

www.saddns.net - спуфинг плюс скорость. С первым можно и нужно бороться и когда-нибудь это будет побеждено, возможно тотальным подписыванием всего, с нулевым доверием источнику без этого. Второе стало возможно с ростом вычислительной мощности, в том числе и полосы пропускания, когда методы защиты хорошо работавшие 10 лет назад сейчас ломаются простым перебором и я подозреваю мы увидим возрождение ещё не одной атаки.

SAD DNS

Группа ученых из Калифорнийского университета и Университета Цинхуа обнаружила ряд критических недостатков безопасности, которые могут привести к возобновлению атак с отравлением кеша DNS

Этот метод, получивший название "SAD DNS-атака" (сокращение от Side-channel AttackeD DNS), позволяет злоумышленнику выполнить атаку вне пути, перенаправляя любой трафик, первоначально предназначенный для определенного домена, на сервер находящийся под контролем злоумышленника. тем самым позволяя им слушать трафик, вмешиваться в данный тип коммуникаций

Информация от первого лица (видео прилагается):

https://www.cs.ucr.edu/~zhiyunq/SADDNS.html

Уставшим от вендорлока и мечтающим о EVPN/VxLAN датацентровой фабрике, посвящается. И пусть тут объясняют только как уехать с цисковской fabricpath, наверняка кому-то это в жизни пригодится.

https://stubarea51.net/2021/11/18/migrating-from-fabricpath-to-evpn-vxlan/

​​Флешка, которая в случае опасности прожигает кумулятивной струёй свою печатную плату, создана АО "НПП Краснознаменец". Говорят, что их вариант безопасен, в отличие от остальных. Идеи, как говорится, витают в воздухе.

Как включить и настроить использование геоинформации в BIND. В качестве базы - MaxMind и при желании её можно подправить. Статья обзорная, но все нужные ссылки с деталями есть внутри.

Что такое SRE от обратного, если вдруг есть сомнения, что вы делаете именно это.

Интересный способ резервирование IPv6 туннеля до HE, тут соль не в IPv6 и туннелях, а в использовании виртуального адреса HSRP в качестве источника соединения.

То есть, в случае если маршрутизатор находится в режиме ожидания, данный адрес имеет состояние down и туннель не поднимается. Активное устройство, напротив, может использовать этот адрес в качестве рабочего. В результате переключения (в момент сбоя) меняется и возможность использования виртуального адреса, что и обеспечивает отказоустойчивость и подъём туннеля на резервном устройстве и гарантию, что туннель будет поднят только один раз, потому что активный маршрутизатор может быть только один. Такой приём подходит не только для туннелей, но и для всего где явно можно задать адрес источника. Хотя это и не самый правильный путь, но когда нет другого используем то что есть.

Speedtest от Apple внутри macOS Monterey, который делает тесты на приём и передачу одновременно, а не по очереди. И немного внутренностей https://mensura.cdn-apple.com/api/v1/gm/config - ссылки используемые для тестов, а также идентификатор точки подключения.

https://icmpcheck.popcount.org - проверка на рабочий Path MTU discovery.

​​Результаты опроса по использованию - настройке DNS резолверов, проведённого CZ.NIC. Выборка не очень большая, 337 участников, но надо сказать и вопросы довольно специфические. Смотрим что получилось, ищем себя.

Коллеги, вышел новый номер журнала Интернет Изнутри. Скачать электронную версию журнала можно здесь: https://ii.org.ru/

plag (prefix-list aggregator)

https://gitlab.com/qratorlabs/plag

Мой коллега, Александр Зубков, написал инструмент для эффективного и быстрого агрегирования префикс-листов.

Немного бенчмарков тут: https://www.ripe.net/participate/mail/forum/opensource-wg/PENBQnIrdTBadDVvTS1pOG5BV3BxLTNHSHhMM0x2bUFPaWhNNDE9PVU0TXh3QVNZK1NuUUBtYWlsLmdtYWlsLmNvbT4=

Запись вебинара "MSK-IX для сетей и облаков" для приятного вечернего пятничного просмотра, пока всё ещё лучше не собираться вживую. Неожиданно, уютный формат на диванчиках в компании инженеров - много новостей за год с интересными техническими деталями. Я знаю что коллеги из MSK-IX читают, поэтому выскажу осторожное пожелание в таком виде, хотя бы, несколько раз за год собираться.

Запись доклада Салам Ямут, почему-то в этом видео нет, но всё что важно знать - то что Netflix можно поставить рядом с GGC и Akamai в вашей серверной.