Простая задача Import/Export префиксов BGP, в этот раз решается на Juniper QFX  и VMWare NSX ESG.
Обратите внимание, что в самом конце, для проверки работы заданных условий автор переходит в консоль NSX ESG. Наверное его из консоли настраивать нельзя, надо посмотреть будет внимательней. И проверить работу из графического интерфейса нельзя. Вот такая западня.

top для видеокарт NVIDIA, версии для разных Linux. Полезная утилита, с учётом того что видеокарты давно не только видеокарты. Даже совсем не видеокарты.

Quad9 (9.9.9.9) тоже может в DNS over HTTP (DoH). В статье, помимо новости, приведены клиенты с помощью которых можно в этом убедиться. Из браузеров - Firefox.

Минус, а может и плюс, что DNS отрывается от системы, а браузеры становятся всё более независимыми. Такими шагами наличие или отсутствие любых IP настроек в ОС уже ни на что не будет влиять, как минимум в наиболее продвинутых браузерах. Главное чтобы средства отладки не забыли добавить.

С другой стороны DNS это всё же сервис для IP. Тот факт что его клиентский API был встроен в библиотеки сетевого стека не мог существовать бесконечно, просто к этому все привыкли. Для этого даже RDNSS (RFC8106) для IPv6 придумали, который вот-вот, чуть больше года назад заработал в Windows. А теперь приложение само заботится о доступе к DNS, вроде как логично - сеть тут ни при чём.

Этапы соединения SSH в общих чертах, но с одной всегда ускользающей деталью файлом known_hosts. Тот момент когда надо нажать на кнопку или не забыть это сделать заранее, иначе можно долго искать почему же ничего не соединяется.

Списки паролей по умолчанию, которые уже использовали. Использовать их ещё раз совсем плохая идея. Также как и эти от устройств IoT.

24x100G, ещё лет пять подождать и можно на них сразу перескакивать с 8x1G :) Фотография с NXTWORK, прямо сейчас.

Если про вас есть какие-то записи в RIPE DB и там указана почта в abuse-c, то RIPE NCC собирается проверить актуальность этой записи.

Проверяться будет только техническая возможность доставки почты по указанному адресу, а не то как на эту почту реагируют или не реагируют. Если адрес вызовет подозрение то тогда придётся всё же ответить на письмо, ожидается что это не больше 25% от 70000 адресов которые есть в базе.

Повод зайти посмотреть на ваши записи в RIPE DB и проверить их актуальность, или вспомнить что они существуют.

ВО! Отличная работа. Поцоны заморочились и запилили карту Backbone Networks in Russia

Собираете логи с Windows машин? Моя практика не привела меня даже к возможности начать такое делать, но вопрос интересный.
JPCERT/CC выпустила SysmonSearch - систему которая позволяет собрать и анализировать логи Windows Sysmon. Вывести статистику, искать по логам и мониторить выискивая аномальное поведение. Есть GitHub, но можно сразу docker использовать. Весь сервер разворачивается на Linux (по крайней мере инструкции только под него написаны). Внутри Python, Kibana и Elasticsearch.

ICANN своё дело сделала - KSK rollover случился. Новый ключ id=20326 используется для подписи корневой зоны.
Теперь дело за малым, подождать и посмотреть что всё работает как и работало.

​И всё-таки карта IPv6 интернета есть. Правда основана не на том сколько хостов ответило, а на том сколько сетей было анонсировано в BGP.

Как это было сделано написано в блоге APNIC, подходит не только для IPv6. Инструмент доступный и открытый для использования.

17 советов о том, как сделать красивые и удобные сетевые диаграммы. Очень подробно, с большим количеством примеров от мелочей до концептуальных вещей. Как-то я постеснялся сказать чертёж и проект, но вот эти советы как раз из разряда как сделать читаемый и понятный чертёж сети, говорящий сам за себя.

Немного шпионская история про порт 1999, который позволял идентифицировать устройства Cisco (сейчас нет). Теории заговора, грязные хаки, потерянная партия роутеров, Советский Союз и Финляндия, интересная история одним словом.

IANA, кстати, держит его в зарезервированных, начиная с 1985 (HSRP) одна Cisco.

RIPE77 в самом разгаре со вчера и целую неделю впереди. По ссылке интерактивное меню - презентации уже доступны, видео по мере поступления.

Навскидку - про DDoS и то что невозможно с ним бороться не вмешиваясь в абонентский трафик, какой-бы клиент не был. NTT достаточно мягко (не блокирует, а режет полосу) обходится на 29 слайде. Можно брать на вооружение:

Implementing exploitable port filters
NANOG - Job Snijders job@ntt.net: “NTT has deployed rate limiters on all external facing interfaces”

ipv4 access-list exploitable-ports
permit udp any eq ntp any
permit udp any eq 1900 any
permit udp any eq 19 any
permit udp any eq 11211 any
!
ipv6 access-list exploitable-ports-v6
permit udp any eq ntp any
permit udp any eq 1900 any
permit udp any eq 19 any
permit udp any eq 11211 any
!
class-map match-any exploitable-ports
match access-group ipv4 exploitable-ports
match access-group ipv6 exploitable-ports-v6
!
policy-map ntt-external-in
class exploitable-ports
 police rate percent 1
  conform-action transmit
  exceed-action drop
 set precedence 0
 set mpls experimental topmost 0
class class-default
 set mpls experimental imposition 0
 set precedence 0
!
interface Bundle-Ether19
description Customer: the best customer
service-policy input ntt-external-in
!
interface Bundle-Ether20
service-policy input ntt-external-in

У Neighbour Discovery есть расширение Secure Neighbour Discovery которое решает проблемы доверия между участниками. И это не было бы так важно (насколько хорошо защищен ваш ARP в пределах широковещательного домена?), если бы ещё не SLAAC и назначение адресов. Я в домашней сеточке до сих пор переживаю что у меня SLAAC и кто угодно может прислать мне адреса - DHCP, как минимум, предсказуемей. Остальное, вроде спуфинга, подмены роутеров и всевозможных DoS решается в комплексе.

Так вот, приемлемой реализации SEND RFC3971 - нет. Поэтому появился проект iSEND который ставит своей целью реализацию протокола в достаточной степени для эксплуатации в Linux подобных системах (на уровне пользователя), включая Android. Задействуют ip6tables для обработки. Альфу версию надеются выпустить к концу года.

Путь ещё долгий. Но это на самом деле очень полезная реализация, которая позволит спать спокойно очень многим админам и не админам тоже.

В libssh обнаружена уязвимость CVE-2018-10933 в духе "Скажи слово друг и проходи". Если атакующий пошлёт сообщение об успешном входе - буквально, то сервер его пустит. Библиотека популярная, поэтому оперативно обновляемся.

​Ресурс на котором можно посмотреть все некорректные префиксы BGP использующие RPKI. Есть фильтр по странам, ASn, RIR, протоколу. Приводится не только сам префикс но и причина по которой он не прошёл проверку. Обновление информации - по расписанию. Целей гораздо больше, всё только начинается.

Всего сейчас видно 1,592 IPv4 и 86 IPv6 префиксов с проблемами. С учётом того, что  RPKI практически не используется, то это не вызывает проблем с маршрутизацией (глобально) и с немалой долей вероятности является сигналом администратору всего лишь проверить актуальность ROA.
Например, 185.54.244.0/24 анонсируется с неверной AS57822, а должен с AS49673 которая принадлежит той же организации.

Конечно часть ресурсов может и подверглось атаке, так что инструмент что с той стороны, что с этой очень даже полезный. Надо хотя бы записи ROA создать, у нас созданы ;)

​DENDY (NES) на PHP в консоли.

Пока у меня перезагружается, можно в телеграме посмотреть на смешные картинки.

Сегодня, вот эта, прямо затронула нужные чувства и былые привязанности. Потому что чистая правда. Код на Ассемблере - весь, но комментарии есть почти для каждой строчки и в них много истории, очень много. Коллеги вот такое нашли:

;* * * * * * REVISION HISTORY * * * * * *

; 08/18/82  2.42  Increase stack from 80 to 256 (Damn! Overflowed again!)