Товарищ скинул https://t.iss.one/habr_com/61393, я в ожидании открыл и сильно разочаровался. Самого главного ощущения от дефрагментации и тяжёлой работы, того самого глубокого звука диска, резонирующего в корпусе, проникавшего через стол прямо тебе в душу, который никогда больше не забудешь - к большому сожалению, передать не удалось. Сравниться с ним мог, наверное, лишь Norton Disk Doctor или Speed Disk, последний заставлял диски издавать такие звуки, что не в каждом фильме ужасов услышишь.
Помним и больше никогда не возвращаемся.

Cloudflare рассказывает как бороться с BGP утечками и перехватами на конкретном примере со своим 1.1.1.1/32, который произошёл 27 июня. Обратите внимание на временные отрезки, которые приводятся очень подробно, между фактическим началом проблемы (на самом деле двух проблем) и её обнаружением с заведением тикета прошёл час, а окончательно всё разрешилось через семь часов. Последствия были не сильно большие, в основном боролись с утечками и неправильным поведением фильтрации недействительных маршрутов по ROA и это всё не в инфраструктуре Cloudflare.
Помимо инцидента, подробно рассказывается про техники борьбы и подходы к обеспечению безопасности в мире BGP. Стоит обратить внимание на monocle если ещё не видели - это bgpdump на Rust стероидах.

Кто и как сканирует IPv6 в Интернет. Если про себя никак не заявлять, то может быть вас и не найдут, но заявлять обычно приходится. Исследователи так и делают, добавляют IPv6 адреса в DNS разными способами, после чего смотрят кто же их находит.

Распределение IPv4 префиксов по регионам, между RIR, по типам и по компаниям. Но тут всё должно быть знакомо. В России ресурсных записей IPv4 больше всего, но по количеству IP даже в десятку не входим, там главенствует США с 44% всех адресов, без DoD тоже никуда.

Атака на NAT маршрутизатора результатом которой является перехват правильного значения последовательности TCP и порта, а дальше, как говорится, дело техники. Тут конечно опять маршрутизаторы подвели, которые ничего не проверяют и всё упрощают и таких много. Для проведения атаки надо быть в локальной сети и это не обязательно Wi-Fi, но авторы проверили на нём и нашли, что в 75 из 93 локаций их атака успешна.

Пример eBPF приложения на Go для отбрасывания трафика адресованного конкретному процессу, с объяснениями и исходным кодом.

Выученные уроки аварии, теперь в удобном веб формате, с лаконичными универсальными рекомендациями. И рассуждения вдохновлённые этим отчётом и авариями в принципе - если аварии не победить, то посторайтесь быть к ним готовыми.

Доброе корпоративное пятничное утро.

Кажется, сообщество перестаралось с популяризацией сетевых технологий, в частности прямого подключения к Интернет из своей собственной автономной системы, поэтому в RIPE NCC озаботились вопросом выдачи номеров AS в частные руки, хотя это ничему не противоречит, было разрешено и сейчас разрешено. Основная проблема, как мне показалось из статьи, это уловки некоторых LIR, которые зная внутренние механики регистрации и используя недосказанность, делают на этом бизнес. А ещё, автор интересно использует определения для IPv4 и IPv6 адресов, как 32-х битные винтажные адреса и 128-ми битные новые, по аналогии с 16-битными и 32-битными номерами автономных систем.
Интересно и боязно увидеть вечный сентябрь в настоящем Интернете, но судя по статье мы его уже наблюдаем. Брать себе домой автономку, потому что это круто, точно не стоит, даже если очень хочется, да и вообще не стоит - это отдельная забота, не дающая никакого технического преимущества, кроме мнимой крутизны. Поиграться возможностей хватает без этого, даже упоминаемая DN42, уже не игрушки и до которой надо дорасти.

Я обычно ничего не меняю в Windows кроме нескольких мелочей из базы, да и Windows, из того подмножества вещей которыми я пользуюсь, остаётся весьма стабильной очень давно. Но вот этот набор инструментов, выглядит, как минимум, полезным - Microsoft PowerToys, я раньше не сталкивался, да и смысла не было искать. Действительно POWER, конечно, другой набор инструментов - Sysinternals, вот его надо ставить сразу, рано или поздно обязательно понадобится.

Чтобы качественно управлять потоком, задержками очередями, надо обязательно знать что просиходит на другой стороне и лучше это знать до того как сеть будет перегружена, что и реализуется в механизме контроля перегрузки ETC представленнoм в публикации на USENIX ATC24. Выкидываем ECN и все реактивные действия на RTT и потери, проактивно измеряем время доставки с высокой точностью, и если видим что что-то собирается пойти не так, управляем скоростью передачи, одновременно обеспечивая справедливое распределение полосы между потоками. Есть промышеленная реализация поверх UDP, авторы уверяют что работает лучше всего того что сейчас есть.

Внутренности eBPF и реверс инжиниринг готовой программы. Совсем не про сети, но низкоуровневая суть, со ссылками на почитать подробнее, представлена хорошо.

Тесты VPP на разных сетевухах для GoWin R86S. Совсем немного про компиляцию, надо обладать пониманием процесса, и дальше разные тесты, с особенностями и выводами по итогу.

Представление MAP-T у Juniper, что к чему и как настраивать. Для тех кто уже перешёл на IPv6-only внутри своей провайдерской инфраструктуры.

Кого очень сильно расстраивало что для документирования IPv6 максимальный префикс всего /32 - 2001:db8::/32, то c сегодняшнего дня можно аж на целых /20 размахиваться с 3fff::/20. А если давно не заглядывали в специальные IPv6 сети, то в этом году добавили ещё префикс для SRv6 - 5f00::/16 и anycast для регистрации сервисов в DNS-SD - 2001:1::3/128.

Взгляд Google на проектирование инфраструктуры в ретроспективе 25 лет развития. Выученные уроки, борьба с законом Мура и представление о будущем.

Если остались ещё настоящие Сисадмины, то всех вас с праздником! Crowdstrike, конечно, на недельку поторопился с подарком, но сегодня подарки самим себе можно устраивать, если про вас ваши юзеры вдруг забыли, что тоже само по себе является подарком. Хорошей всем праздничной пятницы, каждой пятницы. Ура!

В Голландии довели до боевого воплощения DDoS Clearing House, хорошо бы, конечно, не допускать ситуации возникновения условий для DDoS, но уж как есть так есть, надо действовать сообразно ситуации и действовать совместными усилиями лучше чем в одиночку. За ссылку большая благодарность нашему подписчику.
Наверное, про защиту от DDoS многие задумываются, смотря на бесконечные новости. Но для многих, как мне кажется, это всё равно будет неожиданностью, не всё, к тому же, решается шириной полосы. Можно и на РКН с ГРЧЦ и ЦМУ ССОП надеяться, а можно самим подготовиться.

Когда сломали твой домашний модем, а ты в попытке выяснить как это сделали сломал своего провайдера, но причину так и не нашёл.

Напоминание, что петли маршрутизации тоже петли и с ними надо поступать так же как и с петлями в L2 - недопускать. Хотя они и могут быть иногда полезны, чтобы сгенерировать тестовый трафик, много трафика, но наружу такое выпускать не стоит - каждый ваш префикс должен иметь конкретную точку приземления. Если сходите по ссылке внутри заметки, то там обстоятельная статья про то, что петли маршрутизации это довольно обычное явление.