Получаем код V-SOL OLT через гугление, в забытом, но открытом web каталоге, а дальше анализируем его и находим много уязвимостей и причин бояться за своё оборудование. В конце, автор даёт несколько очевидных советов по ограничению доступа, смене паролей, отключению неиспользуемых функций и других, а также говорит, что ещё много чего можно накопать. Не так эпично как с RedBack, случился неожиданный open source аудит.

Поиск проблем с прохождением трафика между двумя Juniper маршрутизаторами, без подробностей, но с упоминанием терминов и задействованных механизмов. Виной всему оказался фильтр трафика, но не сам по себе, а из-за своего большого размера, на прохождения которого тратилось слишком много времени.

Свежий RFC 9972 определяет больше параметров которые можно получать с помощью BMP и короткий обзор где это пригодится.

А как с BMP справляются в Akvorado. С версии 2.2 - лучше, а в будущей 2.4 - гораздо лучше.

Пока обсуждали в чатике аварию с DE, добрались до проблемы стандартных ограничений BIND в 50 итеративных запросов, которых катастрофически не хватает уже ни для чего, с учётом А, АААА, и DNSSEC записей. Даже если забрать копию корневой зоны себе, а не перебирать серверы, всё равно не будет хватать, до тех пор когда всё нужное не окажется в кеше. Уже закрытое issue в BIND GitLab.
К вопросу о простоте DNS, как и BGP, которая позволила добавить в них столько много дополнительных вещей, что они уже вываливаются наружу.

Как изменилось соотношение количества префиксов в BGP по слепкам из моего @FullViewBGPbot, в основном по данным коллектора RRC0, за последние четыре года. Доля /24 IPv4 растёт с 59% до 63%, соотношения между префиксами сохраняются. Но последнее время стало заметно, что доля /23 тоже стала расти, и может быть, в ближайшее время /22 лишаться своего второго места. Предположу, что /22 стали разагрегировать на продажу или для использования на нескольких площадках.

В IPv6 картина с /48 стабильно крутится около 45-46%. Но куда заметнее чем в IPv4 виден рост долей /40 и /44 префиксов, которые, вероятно, тоже скоро вытеснят /32 со своего места. Это не может быть связано с дефицитом адресов, возможно, с более широким использованием механизмов управления трафиком и ростом популярности IPv6. А ещё можно увидеть как /47 префикс сменяет /29, который мы больше не видим среди первой шестёрки, хотя стоит отменить, что сумма долей всех других префиксов вместе взятых занимает второе место. В IPv6 куда больше вариантов делить своё адресное пространство.

Пятничное. Ошибки при работе с ИИ, заголовочный файл. Там же по ссылке аналогичный, но для людей, написанный 10 лет назад.

TTL (Hop Limit в IPv6) важная штука, решающая проблему колец маршрутизации и позволяющая понимать пути следования пакета при решении проблем. Правда, как и всему в Интернет, не стоит слепо доверять тому что вы видите, потому что многие TTL перезаписывают, что мешает исследователям. Поэтому они всех посчитали, а с AT&T разобрались отдельно. В причинах - MPLS, баги, желание скрыть внутреннюю структуру.

Я почему-то думал что уже давно никто не доверяет ни IP адресам ни MAC адресам как средству идентификации устройства, поэтому проблема случайных MAC адресов, внедрённая разработчиками ОС, должна была пройти незаметно. Но до RADIUS такое поведение докатилось только сейчас и в качестве выходы из ситуации предлагается новый атрибут Persistent-Device-Id, который не требует модификации протокола, а только корректного заполнения из сертификата выданному устройству. Наличие сертификата устройства подразумевает корпоративную среду и централизованное управление, где проблему можно решать многими уже доступными способами, начиная от запрета смены MAC адресов, заканчивая агентом установленным в систему.
Кстати, домашние провайдеры, если не используют PON, где привязка идёт к ONT, или PPPoE где у нас логин с паролем, перекладывают ответственность привязки и не смены MAC адреса на абонента, заставляя его каждый раз подтверждать доступ логином паролем на веб портале при смене устройства подключенного к сети. Некоторые и этого не делают, идентифицируя абонента привязкой к интерфейсу своего оборудования, если уверены, что он не может внезапно смениться. Сертификаты, впрочем, здесь тоже применимы, если провайдер выдаёт и привязывается только к своим устройствам, но пока у нас не так.

Статистика Google по использованию IPv6 больше 50% дала повод многим написать очень много восторженных отзывов, действительность куда более приземлённее. Статья из этой серии, что ваш сайт станет быстрее с IPv6, если надо повлиять на человека не вполне погружённого в тему. Но даже в этой статье видно что только 30% сайтов имеют поддержку IPv6, среди популярных больше, но это все те же 50%. Не забываем что Интернет это не только сайты. В любом случае, процесс уже не остановить, поэтому внедряем, но быстрее от этого ваш сайт, скорее всего, не станет.

В большинстве стран, большинство пользователей использует DNS резолверы предоставленные провайдером или другие локальные. А если не используют их, то скорее всего Google или Cloudflare. А вот с точки зрения авторитетных DNS, картина уже другая и многие, вероятно, используют DNS предоставленные хостером, а это чаще всего Amazon, Google и Cloudflare - на троих больше 40%.

Инструмент всего лишь инструмент и для него есть своя область применения, BGP Damping один из них. Надо очень чётко представлять какого результата вы хотите добиться, чтобы подогнать параметры и согласовать поведение других механизмов и инструментов. Ничего не лечит, в причинах флапания всё равно придётся разбираться и чем раньше тем лучше. При наличии мониторинга и возможности вмешиваться в процесс другими средствами, скорее скрывает проблему, чем помогает.

Ещё про RADIUS и что его ждёт в ближайшем будущем - TLS.

Поздравляю всех подписчиков с началом лета! И вручаю вам тёплый летний подарок: методичку по харденингу Ubuntu 24.04 на русском.

Методичка - моего авторства (@bykva)
Долгие и нудные часы чтения 1000-страничного CIS и публичной ansible роли зародили во мне идею - вот бы была готовая выжимка, по которой можно было бы настроить автоматизацию, при этом понимать что именно она выполняет. и сделать это за 1 день, а не за несколько недель.

В итоге родилась она - сжатая выжимка тысячестраничного CIS Benchmark: по каждому пункту коротко - что и зачем настраивать, с выделенными нюансами и ссылками на источники.

Внутри - более подробное описание что это и зачем.

З.Ы. саммаризация была сделана полностью без ИИ, но вот цветовое оформление, фактчекинг и правки орфографии и пунктуации я уже делал с помощью него, поэтому что-то могло поехать. Буду благодарен за ОС.

Привет всем! Вышла заметка как я из интереса купил почти 300 штук симок и решил исследовать - https://telegra.ph/Kak-ya-kupil-292-sim-karty-na-Ozone-i-nashel-na-nih-interesnoe-06-02

Опять день IPv6 поэтому давайте зафиксируем что в этом году добрались до 50%, хотя выглядит с натяжкой, как будто бы 50% всё ещё остаётся рубежом об который бились половину прошлого года и половину этого и пока чисто не преодолели. Если сравнивать с самым первым нашим прогнозом 5% за год, то должно было бы быть уже 60%. Сейчас рост 5% за два года, итого ещё 20 лет, но это не точно. Точно, что рост ещё замедлился на рубеже 2023-2024.

В продолжении темы, сколько нужно DNS запросов чтобы разрешить имя - Geoff Huston разбирает процесс на примере teams.microsoft.com по мотивам доклада Ondřej Surý на RIPE92.

Большое спасибо нашему подписчику за ссылку на карту с местами подключения к AWS - chris.elsen.xyz/dx-location-details. Дополним её историей от создателя карты, где есть ответы на вопросы почему и зачем, и раскрываются заложенные в неё возможности.

SRv6 на VPP, теория и немного лабораторной практики. Плюс исправления для поддержки не только физических интерфейсов, добавленные в следующий ожидаемый релиз 26.06.

BGP Router ID это не IP адрес, хотя выглядит привычно похоже. Если на маршрутизаторе есть IPv4 адреса, то можно использовать их, если нет, то придумать свою структуру и использовать любой уникальный в рамках своей автономной системы. Лучше назначить руками, чтобы не оставлять процесс на самотёк.