Ещё одна статья из серии "всё пропало" про ИИ агентов и программирование каким оно стало за последний год. Не имея практического ограничения по скорости генерации кода, ИИ очень быстро сделал его так много, что разобраться в нём самостоятельно уже не может, человек и подавно. При этом, обладая навыками среднего программиста, в созданном коде делается какое-то количество средних ошибок, но его много, очень много, и ошибок поэтому много, сильно больше чем сделали бы люди. Но ИИ от этого не страдает никак, это машина, там где человек остановился бы от непонимания, от возросшей сложности, и вынужден был бы что-то менять, ИИ продолжает дальше не сбавляя темп.

Поддержка ECH в curl, как пример продвижения ECH для полного шифрования при запросе веб серверов, где DNS обязательная и неотъемлемая часть. Упоминаемому Cloudflare это, конечно, не помешает узнать к каким сайтам и ресурсам вы обращаетесь. Список компаний которым сейчас принадлежит Интернет, включая DNS, не такой уж и большой. Доверие от Интернет провайдеров и операторов связи перетекло к облачным провайдерам, ECH закончит этот процесс.

Каждый подход имеет свой предел, оптимизируя одно, с чем-то надо смириться. Есть места где Leaf-Spine перестаёт работать и может потребоваться что-то другое.

Перевод IP адресов в предложения для мнемонического запоминания, есть для IPv6 и для IPv4 то же. Наверное, нужно если у вас нет DNS и для шпионов. Предложения на английском, поэтому работает только если английские слова для вас что-то значат. IPv6 и тут длинее предложения генерирует, чем IPv4, но его таким и придумали.
Не знаю у кого как, но для меня, когда часто работаешь с адресами и префиксами, они запоминаются достаточно быстро. IPv6, если не автосгенерированные, обычно делают приемлимых длин и читабельно для людей, вполне подходящем виде для запоминания как есть.

Анализ ошибочного исходящего трафика, как инструмент поиска проблемных узлов внутри периметра, в том числе задейстованных во вредоносных целях. Такого трафика меньше и можно определить чёткие критерии ошибочности, например, отсутствие ответа или ICMP сообщения об ошибках, которые легко анализируются.
Я тоже как-то то ловил уж совсем неправильный трафик в 2014 году, не делая никаких выводов, просто перечисление того, чего быть не должно.

В свете последних новостей и замаячивших изменений лицензирования в сфере связи обновил картинку, с учётом прошедшего года, по общему количеству лицензий и количеству новых лицензий из прошлогодней статьи о предыдущих изменениях пошлин. Статью дополнять не имеет смысла, зависимость понятна - цена выше, лицензий и операторов меньше. Сейчас общее количество на уровне 2004 года, но тренд обратный.

Хорошая. Из комментариев у Вечернего Дани.

Как загружается Linux в 5 частях в виде рассказа решения задачи по установке нового образа поверх старого, без использования промежуточного сохранения на диске. Последние части про глубину кроличьей норы, как вообще ядро что-то запускает и без чего можно, а без чего нельзя обойтись.

Распределённая сеть пробников для проверки доступности ресурсов - globalping.io. Можно воспользоваться услугами или предоставить свои мощности. Есть консоль, API, GitHub и аппаратные пробники, за спонсорство.

Универсальный инструмент против специального. В данном случае, ускорение вывода /proc/interrupts на треть, за счёт подрезания жирного функционала printf(). А всё потому что обращаться приходится слишком часто, чтобы это имело эффект и потребовалась специализация.

Социальная инженерия для оператора связи. Злоумышленники убедили транзитного провайдера и установили сессию BGP с номером автономной системы, которым не обладали. Безопасность, она не только про технические средства, которые тоже важны, но не являются панацеей.

Много и обстоятельно про Safe Mode в микротиках, который вернёт конфигурацию в исходную, если доступ к устройству потерян, и другие подходы к безопасному конфигурированию, с примерами. Единственная мысль которая у меня мелькнула относительно этого, а почему не сделать этот режим включенным по умолчанию? В Eltex ESR, например, commit всегда требует подтверждения. Можно, наверное, придумать ситуации от которых и такой вариант не спасёт, но внеполосный доступ и резервные копии, упоминаемые в статье в том числе, никто не отменял.

SPF, DKIM и DMARC, почему не помогают и что можно с этим сделать - добавить MTA-STS, выкрутить все опции в strict и не забыть про DNSSEC и CAA.

IPv6 много, мы сами этого хотели, а используется их мало. Многое из неиспользуемого попадает в петли маршрутизации. От этих петель пользы никакой, но вред принести можно и достаточно ощутимый. Поэтому если сеть не используется, заверните её в Null0, потом достанете.

Строим отказоустойчивую схему на двух Juniper SRX с их фишками. В комплекте - два провайдера, NAT, IPSec site-to-site, клиентский VPN, BGP, зоны безопасности, VRF.

Для любителей притащить работу к себе домой - что попадает в NetFlow на домашнем роутере, помним про гиковость автора и его расположение в Индии. В качестве коллектора используется Akvorado.

Если задаться целью, то конечно можно дожать IPv6 и до 80% трафика и даже до 100% трафика. Но исходные 67%, у автора, прямо очень не плохо, в предыдущем посте тоже доля IPv6 преобладающая. Оставшиеся приложения, в данном случае это был BitTorrent, можно подтолкнуть, для совсем оставшихся есть CLAT.

Промелькнул в ленте туннельный брокер route64.org (лучше сразу идти в панель управления, там же и регистрация, manager.route64.org), поймал себя на мысли, что сильно проще сделать самому на виртуалке в облаке, или где угодно. VPN все делать научились, надо к нему только IPv6 добавить, даже если у кого-то ещё нет IPv6, то мест где он есть полно. Не знаю как работает конкретно этот, регистрацию точно принимает, выглядит развесисто, но, кажется, всё это доживает последние дни, особенно если посмотреть на графики с двух предыдущих постов.

Возможно в физическом смысле время бесконечно, но это не точно. В инженерном смысле оно точно конечно, напоминание про это от Geoff Huston. Если не брать в расчёт GPS, где время уже несколько раз кончалось, то до ближайших дат больше 10 лет.

Новое руководство NIST про DNS в pdf. В блоге APNIC небольшой обзор. DNSSEC и DNS over что-то - присутствуют, свои DNS лучше и не забываем про мониторинг.