How Verizon and a BGP Optimizer Knocked Large Parts of the Internet Offline Today

Подробный разбор вчерашнего инцидента, в результате которого пожухла половина интернета.

https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today

Тут в один чатик принесли интересную подборку утилит, на первый взгляд некоторые вещи выглядят интересными. Далее цитата.

Если кто вдруг не знал, UNIX утилиты переписанные на Rust (зачастую быстрее оригинала)：
- альтернатива grep - https://github.com/BurntSushi/ripgrep
- альтернатива sed - https://github.com/chmln/sd
- альтернатива jq/pq - https://github.com/dflemstr/rq
- aльтернатива coreutils - https://github.com/uutils/coreutils
- альтернатива bash - https://github.com/mitnk/cicada
- альтернатива GNU Parallel - https://github.com/mmstick/parallel
- альтернатива терминалу - https://github.com/jwilm/alacritty

#utils

В RFC, обычно в самом конце есть раздел Security Considerations. Там нет привычных MUST и MAY, там просто "соображения о...". Очередной раз у нас всплыла особенность c IGMP, когда роутер, по соображениям безопасности, может проверять источник IGMP отчёта, сравнивая его со своей подсетью на интерфейсе, RFC2236. А может не проверять и так делают большинство. Но наш роутер проверяет без возможности изменить своё поведение. В MLD, кстати это исключили из Considerations прописав требование к достоверному link-local адресу непосредствено при описании основной части RFC.
В результате можно, наверное, похвалить вендора о такой заботе, но с другой стороны практика большинства решает. Это ограничивает наш выбор в случае архитектуры с multicast vlan, добавляя ещё один пункт в список проверки возможностей оборудования при подборе решения. И ещё раз напоминая что безопасность и удобство стоят по разную сторону шкалы и решение в таких случаях всегда компромиссное.

Как работает и что собой представляет Pre-Defined NAT на IOS XR. Это механизм позволяющий избавиться от логирования состояний Частный-Публичный IP, за счёт определения постоянного диапазона портов и адресов по некоторому алгоритму. То есть, зная публичный адрес, порт и настройки можно вычислить какой используется частный адрес.

Такой промежуточный вариант между полностью описанной трансляцией статического NAT и NAPT, когда трансляция (адрес и порт) формируются по факту запроса и несколько сессий с одного частного адреса могут оказаться в разных частях публичного диапазона. Во многих решениях CgNAT, опять же, чтобы снизить количество записей состояний и их логирования, используется подход выделения на частный IP диапазона из 16 или больше портов. Если количество сессий превышает количество выделенных портов, то добавляется ещё столько же. В любом случае, в отличие от Pre-Defined NAT, можно увидеть только мгновенное состояние трансляций, придётся записывать логи.

Подход с логированием более динамичен и позволяет в большей степени упаковывать частные адреса в публичные. Для механизма Pre-Defined NAT высокая степени экономии может быть достигнута если утилизация частного адресного пространства высока, т.е. мы управляем назначением IP адресов и периодом их реального использования, например с помощью PPPoE. В конечном итоге результат зависит только от того сколько портов будет зарезервировано в настройках на один частный адрес. Ориентироваться в современных условиях стоит на 4000 или больше - 16 частных на один публичный. Для серой сети /24 потребуется /28 белой. Если частное адресное пространство с пропусками, то эффект экономии падает.

Зачем знать это состояние и тем более сохранять его? В статье в первом предложении прямо написано, что так требует государственное регулирование (на самом деле намного больше этого). В общем случае, если у кого-то появляется желание найти кого-то, кто что-то делал где-то в Интернете, то такие данные будут нужны, иначе связать публичный и частный IP и абонента не получится никак. Массивы данных накапливаются большие и обычно лежат мёртвым грузом, до редких моментов их использования, на всякий случай.

Ещё один grep на стероидах, точнее на NVIDIA CUDA. Ускорение обработки regexp до 10 раз по сравнению с обычным grep, а по сравнению с perl regexp в 68 раз. Правильная ссылка на Github.
Если прошли мимо ripgrep из одного из предыдущих постов, то он тоже быстрее и не только классического grep.

Wendell Odom интригует. L2 отправляется на свалку истории? И даже любимого циской EIGRP нет :)

Tadviser немного громковато пишет, если не смотреть на то что железо это x86, то да. RDP делает, наверное, самые приятные для админов железки, привычные и понятные, потому что выросли как раз из именно того самого Экотелеком, делали для себя и у них получилось.

Для среднего и мелкого провайдера выбирать сейчас действительно есть из чего отечественного, пусть и с поправкой на элементную базу. Есть, конечно, много мусора или того что ещё в самом начале и пользоваться этим нереально, но есть достойные представители. Вообще, по заголовку я подумал что речь про Eltex, у них тоже большая линейка. Так что если откинуть предубеждения и подходить инженерно, с испытаниями и контрольными тестами, то конкуренция вполне себе есть, не только потому что так требует государство.

​Таки я стал счастливым обладателем RIPE Atlas probe, завтра отвезу на узел и включу в сеть. В этот раз ни почта ни таможня не добралась до посылки. Точнее посылка добралась до меня, но внутри конверта я обнаружил порванный, хотя его можно было бы и просто открыть, и заклеенный скотчем пластиковый пакет с искомым содержимым.

Чистого времени на пересылку ушло 20 дней судя по штампам. С момента запроса прошёл год. Комплектацию можно посмотреть на картинке, очень компактное и аккуратное исполнение, все нужные патчи присутствуют - бери и включай.

На Cisco 9000 тоже можно свои приложения пускать внутри Docker. Универсальность x86 даром не проходит, если есть ресурс/возможность то это вылезет не только у Extreme.
Насчёт безопасности пишут что она есть, но всё же, наверное, не стоит совмещать критически важный коммутатор с каким нибудь публичным сайтом, хотя теперь можно.

Вот так вот.

Теперь мы официально представлены на Яндекс.Маркет! Все последние модели и решения Cisco, точное описание характеристик в карточках товаров, постоянный мониторинг списка продавцов и "чистка" серых магазинов, удобный фильтр для поиска самой оптимальной модели, промо-кампании, полезные статьи и многое другое. Посмотрите сами: https://market.yandex.ru/brands--cisco/722706.

​Тут как-бы про BGP, но больше про IPv6.
Airtel AS9498 пульнули анонс блока 2400::/12 и неделю всём было фиолетово, пока один товарищ случайно не заметил и подсказал им, что опечаточка вышла и должно быть 2400::/127.
А на картинке показано, как GTT принимает префикс и всё нормально.
В удивительное время живём.

Очень неприятная ситуация с серверами ключей для OpenPGP. Проблема не перестаёт быть проблемой если её просто не замечать, в один прекрасный момент кто-то обязательно воспользуется, но будет уже поздно.

Интересная утилита dnsmorph , генерирующая список доменов с различными искажениями в имени, которые позволяют технически или психологически принять его за заданный. Если задать опции resolve или whois (не всегда показывает), то можно увидеть какие домены из этого списка уже есть в сети, имеют активный IP адрес или запись whois. Очень полезно для понимания куда потенциально могут зайти пользователи вашего сайта, или уже заходят попадаясь на фишинговые атаки.

И ещё одна утилита для "атаки" на DNS (спасибо за ссылку нашему подписчику), которая ищет поддомены для домена, используя различные источники. В том числе virustotal, certspotter и многие другие.

Сервис для поиска утечек в BGP с историей. Такие сведения можно найти на многих ресурсах, в том числе radar.qrator.net, но здесь не надо никакой регистрации и можно для любого префикса смотреть, а не только для своего. Как всё устроено написано на той же страничке.

Адрес IPv6 де факто и даже де юре имеет структуру и состоит как минимум из Interface ID - младшие 64 бита и оставшейся части. Которая в свою очередь тоже может состоять из разных частей, но это менее строгое и не совсем устоявшееся деление. Провайдеры, как правило, назначают динамические IPv4 адреса своим частным клиентам, внезапно, для IPv6 используется такая же практика. В результате адреса постоянно меняются и для того чтобы привязать доменное имя приходится использовать сервисы динамического DNS.

В чём сложность для IPv6? В том что устройства, могут быть очень простыми и вообще не уметь ничего кроме SLAAC в сетевом плане, соответственно они не смогут обновить своё имя в DNS. Но если мы знаем что их часть Interface ID остаётся постоянной, то нам надо обновить всего лишь оставшуюся часть. При этом сделать это можно одновременно для всех устройств, одним запросом с какого нибудь "умного" хоста. Так как всё находятся под одним префиксом, то имена обновятся для всех корректно. Вот об этом и пишет Johannes Weber в своём блоге, а потом дополняет его парой ссылок с работающими публичными сервисами, которые используют данный подход.

Не забываем про множественные дополнения связанные с приватностью и безопасностью в которых подразумевается что порция Interface ID задаётся случайно. Тогда описанный подход не сработает и придётся обновлять уже каждую запись DNS.

Если задумали использовать Kea вместо ISC DHCP то есть инструмент для переноса конфигурации - Keama. Alan Clegg на последнем Nanog рассказывает про данный процесс, слайды из презентацию можно посмотреть отдельно.

Google думает что провайдеры потянут новый проект потокового игрового сервиса Stadia, интервью Phil Harrison для gamespot.com. Может быть, следом за потоковым видео, которое занимает большую часть пропускной способности канала провайдера, это потянет средние значения ещё выше, а может и нет. Всё-таки игры не такой универсальный сервис как видео. В любом случае, во многих городах миллионниках России, как минимум, найти провайдера с тарифами выше 100 уже не проблема, мы выше 500 предлагаем и на это есть спрос.

При этом в мобильном сегменте добрались до значений 20/10 в России, в среднем, по данным Speedtest. А Мегафон оказался самым быстрым в мире и даже значком специальным наградили. По проводу самый быстрый провайдер в Бельгии - Voo, но там какие-то жуткие проблемы с отдачей, не больше 20, при загрузке под 100.

Если у вас есть какой-то из этих сертификатов то вероятно вам платят больше, по крайней мере так насчитали в ipioneer.co. Но скорее всего сертификат всего лишь следствие, а не причина - людям которым платят больше (по другим причинам), имеют какую-то сертификацию.

Про стоимость самого сертификата не упоминается, но дорогой сертификат может и не принести больше зарплаты. Например Google Cloud Architect всего 200$, а CCNP обойдётся в 300$ для каждого из трёх необходимых для него экзаменов.

Юбилейная Debian 10 buster - встречаем.