Текущее состояние борьбы с bufferbloat со стороны IETF: стандарты, черновики, протоколы. Ещё одна сторона борьбы с дизайном пакетной передачи и hop-by-hop принципом, когда хочется чтобы источник и приёмник и многочисленные посредники договорились о скорости передачи, а не реагировали на проблемы постфактум, переполняя буферы и сбрасывая скорость до 0. Причём договориться надо ещё и между уровнями сетевого стека, далеко не прозрачными. И пока лучшее из придуманных решений сбрасывать пакеты по какому либо из алгоритмов, не дожидаясь пока буферы переполнятся, отдавая контроль скорости передачи вышестоящим протоколам, в надежде что они умеют это разруливать.

Отчёт NS1 про DNS (рекламу в тексте придётся игнорировать) в основном Северная Америка и Европа, я уже скачал. С IPv6 не очень, так же как и с DNSSEC. UDP рулит. Есть статистика по резолверам, там все лица знакомые и по типам запросов и ответов.

Если вдруг нужен моноширный шрифт - Spleen 2.0, в разных размерах, для разных операционок. Я не любитель, просто увидел DOS в описании :)

Когда у вас большая anycast сеть с серверами в разных частях света и на вас обрушивается DDoS, то можно попытаться перераспределить трафик между сайтами так чтобы уменьшить его влияние на сервис, заранее к этому приготовившись. Статья на APNIC так себе, а вот публикация на Usenix очень подробная с перечислением методов управления трафиком и последствиями этого управления.
А ещё я вспомнил про доклад ИВИ на Пиринговом форуме 2018, где anycast и распределённый пиринг сам по себе хорошо помогает в случае DDoS, размазывая нагрузку на всю сеть.

Дополнение к предыдущему посту про борьбу с DDoS от нашего подписчика, за что от меня отдельное и большое спасибо, про работы в области защиты от DDoS:

Так есть проекты подобие https://paaddos.nl/
Также ведут публичные DDoS fingerprints от одного из известного CDN поставщика - Clearing House
https://github.com/ddos-clearing-house/documentation/wiki с описанием подробностей в блоге https://www.concordia-h2020.eu/blog-post/setting-up-a-national-ddos-clearing-house/
также недавно, в январе 2023 года вышла еще одна работа Defending Root DNS Servers Against DDoS
Using Layered Defenses https://www.isi.edu/~johnh/PAPERS/Rizvi23a.pdf на конференции Comsnets 2023 https://ant.isi.edu/blog/?p=1948

То что мне приходилось наблюдать 10-20Гбит/c спасала собственная широкая полоса, а в текущий момент широкая полоса нашего провайдера. Наверное, без этого компонента противопоставить что-то в ответ проблематично.

RRDtool всё ещё рисует самые красивые картинки, в данном случае это MRTG. Бразильцы молодцы.

А вот и 30Tbps, из которых 20Tbps в Сан-Паулу.
Причем закопано емкости у них по Сан-Паулу раза в 2 больше (на момент марта 2021 было что-то около 32Tbps).

Vai Brasil!

Вчера в моей статье на Habr про обратную маску, один из читателей нашёл ошибку в ACL которая там была с момента написания статьи, больше 10 лет назад и после 100К просмотров. Я повторно и внимательно вычитал и нашёл ещё одну ошибку уже в другом ACL. Это к вопросу о сложности и нужности, о чём как раз зашла речь в комментариях. Тут иногда в простых префиксах ошибиться можно так что несколько часов на поиск уходит, с обратной маской всё гораздо запутаннее. Чем проще, пусть даже и многословнее, тем в конечном итоге надёжнее, да порой надо экономить на ресурсах железа, но это порой.

Чуть день IPv6 не пропустили, дата не круглая поэтому просто включаем, без шампанского. Прогнозы про 5% вроде ещё в силе - по Гуглу не дотянули до 45%, но близко, всем не очень до этого было.

Мы все с вами живём в том самом доме который построили программисты, поэтому удивляться что всё падает от случайно залетевшего в глобальный роутинг атрибута не приходится. В этот раз Juniper подвёл, но впрочем все так могут, остаётся лишь верить что непреднамеренно.

Чтобы понять как что-то работает стоит сделать своё - Traceroute на Python. Я бы сказал что надо быть подготовленным читая этот текст, как минимум в Python потому что реализация даётся как есть, хотя и с предварительным описанием алгоритма. Но наверное кому-то так будет нагляднее.

Starlink тоже домашний роутер, поэтому уязвимостей в нём, наверняка, не будет меньше. Простой перебор доступных вариантов gRPC команд (pdf) сходу выявил возможность выключить терминал из работы. Это работает изнутри сети и доступе к пользовательскому интерфейсу, про что большую часть статьи как раз и написано - как сделать так чтобы даже в этом случае возможностей атаки было меньше.

В Евросоюзе решают кого впереди телеги ставить провайдеров или генераторов контента, но как и у нас, не очень понятны принципы и почему именно так, а не иначе.

Как RIPE NCC учитывает принадлежность ресурсов к конкретной стране - по юридическим документам принятым в конкретной стране предоставленными держателем ресурсов. И что с ресурсами и их принадлежностью в этом контексте происходило на Украине последний год - владельцы, при смене страны, в основном, оставались прежними.

Ещё раз про то что IPv6 это не IPv4 с RIPE86 и презентация. Поэтому чтобы обеспечить свою безопасность придётся перестроится и держать в голове совсем другие подходы учитывая динамичность назначения префиксов, их множественность, разные их типы и всё ещё NAT.

Сделай сам USB sniffer: прошивки, схемы, плагин к Wireshark и рекомендации от автора.

В nDPI теперь есть MS Teams, пока не в релизе. Где-то там внутри сидит не совсем доеденный Skype, а ещё тысячи корпоративных пользователей которым от этого, наверное, легче не станет.

Хорошие провайдеры это те которые не теряют своих абонентов и для этого не обязательно быть большим, скорее наоборот, надо быть маленьким, уютным и родным для своего абонента. Универсальные рассуждения, но так плохо почему-то понимаемые.