Большая лаба по BGP на разные аспекты управления трафиком, о чём же ещё. И прямая ссылка на Google drive PDF: начальный конфиг, задача, проверка, изменения, финальный конфиг, проверка - всего 155 страниц.

Итоги на мой взгляд ожидаемые. Смешно, но я забыл термин dial-up, может быть, потому что мой первый Интернет был через EDGE, а проводной через DSL, а компьютер без Интернет был в общем-то нормой. Ещё я вас обогащу термином AON - это оптика до вашего домашнего роутера, но не PON, где A - Active. И пока мы посматриваем не взять ли себе домой гигабитное подключение, некоторые наши подписчики, спасибо им большое за комментарии, живут в абсолютном будущем и могут позволить себе 25Гбит/c чистого незамутнённого Интернета оптикой прямо в порт не PONом!, который у нас становится всё популярнее.

Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.

Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.

Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.

Мораль:

1. Проверяйте фингерпринты сертификатов даже если лень.

2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.

Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.

Пост на HN: https://news.ycombinator.com/item?id=37955264

Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/

Шпаргалка по бинарной арифметике и логике и чуть больше. Мне нравится тем что охвачено сразу много, включая числа с плавающей точкой и, особенно, то что есть конкретные примеры работы с битами в нижней части схемы. Мне не хватает примеров составления логических функций по таблицам истинности и их упрощения, хотя базовые элементы этого присутствуют. С отрицательными числами на мой взгляд вообще мимо в плане восприятия. Для тех кто помнил, но забыл.

Поведение различных устройств/систем при попытке установки соединений BGP от неизвестных соседей - сессия не устанавливается, но мы знаем что BGP это прикладной протокол, поэтому TCP SYN может проходить и добираться до демона BGP, хотя и не для всех. Это может быть проблемой, поэтому добавьте фильтров на сетевой интерфейс, не надейтесь на поведение по умолчанию.

Устройство сети в VK Cloud - всё виртуальное и программно-определяемое. Про не виртуальные сети почти не говорится, зато про остальное достаточно подробно. История собственной разработки, было/стало.

VPP и виланы, теория и конкретные примеры настройки в конкретных задачах.

Убедитесь что своей инфраструктурой управляете вы и только вы, или будьте готовы делиться не только ответственностью и сложностью, но и проблемами. История про Aruba, ZeroTouch и облака, в которой администраторов с доступом больше чем вы видите. Частная история, но не новая, Ruckus тоже так умеет.

Geoff Huston на тему TCP vs. QUIC на APNIC 56 проходившей в начале сентября, и презентация. Процитирую последний слайд:

What can a Network Operator Do?
When all customer traffic is completely obscured and encrypted?
- Traffic Shaping?
- Regulatory Requirements for traffic interception?
- Load Balancing / ECMP

А сейчас с QUIC всё очень даже неплохо.

Поразмышлять перед сном. Лично мне не хватает BNG/BRAS, не вообще, а одного конкретного, но его уже никто не заменит. А в текущих потребностях нормального корпоративного маршрутизатора где всего понемножку: с туннелями, NAT'ом, файрволлом с кластеризацией и асимметрией, SD-что-то пусть тоже там будет.

Обширное дополнение про перехват в механизме выпуска сертификатов от автора RFC8657 и много чего ещё Hugo Landau. Плюсы, минусы, дыры, что произошло и что ещё может произойти, как защищаться или как минимум усложнить жизнь атакующей стороне.

Балансировка нагрузки сетевого UDP приложения средствами сетевого стека Linux: SO_REUSEPORT и SO_ATTACH_REUSEPORT_CBPF в двух частях. Все грабли и суть во второй части вместе с очень простым примером программы на BPF и способом его компиляции, а также кодом самого сервера на разных этапах по ссылкам на Github.

В коллекцию говорящих PTR в трассировке, не буду приводить полностью, просто один шаг:

6 34 ms 34 ms 35 ms tspu-6364.no-hope.msk-m9-cr5.ae666-3002.rascom.as20764.net [80.64.97.55]

Но надежда, что Telegram вернется к жизни ещё остаётся.

Красивая шпаргалка по основным моментам BGP, но это если не придираться к деталям, которые показывают насколько глубоко вы в BGP погружены.

Конечно, битовая природа CRC имеет смысл, потому что компьютеры обрабатывают далеко не только байты, особенно при их передаче. На мой взгляд не совсем понятен заход со стороны математики, а не практики, но может быть это только мне. А ещё, бит чётности - это CRC1.

Страшно, очень страшно - меняем на горячую одну пару vPC L2 коммутаторов на другую. Совсем страшно немного другое, если всё сделать аккуратно и правильно то связность восстановится и даже может и не пропадёт, но конечным хостам в этом домене может всё равно поплохеть. Вариантов как это всё пройдёт от слоя к слою до высокоуровневых протоколов очень много, с неожиданно истёкшими таймерами, заново формируемыми таблицами коммутациями, внезапно сменившимися идентификаторами. Поэтому заложите в работы простой, так будет спокойнее.

А теперь, как замена двух коммутаторов выглядит в реальных красках. Утащено у автора Заметок сетевого архитектора.

Краткая история Ethernet к 50 юбилею на NANOG 89 и слайды.

Практика обеспечения отказоустойчивости DHCP и зачем нужно поле secs, на примере Windows серверов.