Ээх ДОМ.RU, ДОМ.RU - как отвечать знаем, а вот чтобы делом подкрепить... Не надо так. И конечно уже не удивительно, что у дома Челюскинцев 23 в Самаре есть твиттер.

Большой, а может не большой Костариканский оператор AS262197 заставил сегодня понервничать сетевых инженеров в утренней дежурной смене или, как меня, по пути на работу. Потому что решил, что принимать трафик с Cogent AS174 совсем не надо и выставил максимальное количество препендов в своих анонсах BGP. Некоторые маршрутизаторы, в частности Quagga, восприняли это болезненно выключив пиринг соседство со всеми откуда эти анонсы прилетели. Получилось не очень, но всё достаточно быстро кончилось и все выдохнули.

На nag.ru заметили, и даже issue было оформлено. Там, кстати, видно с чем приходится работать во время отладки. Мало слов и много цифр:

 07:47:27 BGP: %NOTIFICATION: received from neighbor 192.168.0.1 3/5 (UPDATE Message Error/Attribute Length Error) 3298 bytes 50 02 0c de 02 ff 00 00 0c b9 00 00 00 ae 00 04 00 3e 00 04 00 3e 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00 35 00 04 00

Если нашли ff, то они означают, что число ASn в AS-PATH равно 255, максимальное количество из возможного.

А ещё конечно BGPlay заметил, где всё начинается в 5:37:24 UTC:

 A > prepending Involving: 186.177.130.0/24
Short description: The route 41095 262206 262197 introduced/removed prepending 41095 262206 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 26219

Вот такое вот утро, не совсем типичное, но случается. Эта AS262197 была и ранее замечена в мелких пакостях. Так что по возможности защищаем себя и стараемся не сломать Инетрнет.

Залог отличных выходных - день тишины перед ними и наличие бэкапов. Rancid до сих пор ещё актуален - дёшево и сердито. Но ещё проще в своей Cisco написать:

archive
     path tftp://backup.mycompany.org/$H
     write-memory
     time-period 1440

Сохраняем раз в сутки и дополнительно при перезаписи startup файла конфигурации. $H подставляет hostname автоматически, можно не только TFTP. Файлы формируются или с номером или по времени. Смотрим что уже сохранилось командой show archive, восстанавливаем configure replace или copy.

Почему-то именно этот способ встечал не так часто, хотя самый удобный и простой вариант для небольшого парка устройств.

Как всегда всё есть на cisco.com, где больше параметров и примеров.

Ростелеком в 2016 на MSK-IX Peering Forum рассказал как они SDN тестируют. И в итоге протестировали. А что с этим дальше будут делать, не сказали.

Про SDN, как то не сильно в последнее время слышно, всё про блокчейн и АИ больше. При этом у нас в стране практически один из самых главных институтов по этой теме - ЦПИКС.

Если вы не замечаете, что Солнце последние несколько дней нас поджаривает чуть сильнее чем обычно, то значит ваши передатчики и приёмники надёжно экранированы от космического излучения.

Больше всего это видят радиолюбители, вот так, например, на форуме radioscanner.ru - полностью теряется возможность приёма/передачи на всех длинах волн которым для дальнего прохождения надо взаимодействовать с магнитосферой (отражаться).

Ну как же тут без медведей? А в Вашингтоне без ушей. Весёлые админы, залог хорошей компании.

Кстати, адреса вида fd00::/7 - это уникальные локальные уникаст адреса, назначаемые локально, которые при правильном применении уменьшают головную боль во время объединения двух сетей.
Основной посыл это 40 битная случайная часть - fdxx:xxxx:xxxx::/48. Которая даже при 10000 возможных вариантов соединений, даёт вероятность совпадения порядка четырёх стотысячных.
Но контроля за этим никакого, всё на совести локального управления. Каждый сам себе злобный буратино, а относительная лёгкость перенумерации IPv6 сглаживает многие возможные проблемы.

RIPE сегодня, немного, завалил своих серверов в IPv6 зоне. Но, вроде, незаметно прошло.

Хорошие правила только для хороших парней - взаимное соглашение операторов для безопасной маршрутизации в Интернет. Надо фильтровать спамеров, поддерживать актуальные данные в открытых базах и вообще быть паиньками. На плохих парней не распространяется, они как и раньше могут делать что хотят.

Инициативе уже 3 года, у неё есть влиятельные последователи, но вот что-то подсказывает мне, что плохих парней это не изменит.

Сегодня 256 день в году, который ещё день программиста. Всех программистов с праздником, а от mail.ru ещё и подарок. Будет не совсем честно если я прямо так скажу какой, но если смотреть на https://corp.mail.ru/ru/ внимательно под капотом, то всё быстро находится.

А где у неё кнопка? Частый вопрос про Cisco и вообще "большие" сетевые железки. На некоторых есть.

Но, обычно индикацию смотрят в двух случаях: когда первый раз включил, и когда сломалось так, что ты уже пришёл, а консольный кабель ещё не подсоединил. Все эти кнопочки и лампочки расписаны или в небольшой инструкции прямо из коробки или в документах которые называются Hardware install.

А что же кнопка? Очень полезная вещь, когда надо полностью сбросить настройки, ну вот прямо совсем - самый быстрый способ, нажать и подождать 10 секунд. Сработает express setup и всё вернётся к заводским настройкам, в консоли как правило это делается дольше.

Если нажать случайно то эффект тот же, кнопка большая и часто её зажимает патчкордом в ящике. Поэтому для параноиков есть команда no setup express.

Tcpdump, инструмент которым решаются все проблемы - немного обновили. Устранили целых 92 уязвимости.

Вообще, в плане уязвимостей по сети есть абсолютно надёжное решение - не включать сеть. Bluetooth так особенно.

Осталось меньше суток, как единственный, на данный момент, искусственный аппарат около Сатурна завершит свою работу. Это история, такое не стоит пропускать.

На geektimes совсем небольшой обзор.

Зашёл сегодня на сервер, стал настраивать себе окружение и понял, что глобально не настроен автовыход по timeout. Нехорошо. Прививка для забывчивых.

Написал в ~/.bash_profile: TMOUT=300; export TMOUT

И никаких особых привилегий не надо. Бери консоль свою, как зеницу ока. Одним способом выстрелить себе в ногу меньше.

Наши студенты из МГУ, снова победили. На этот раз на хакатоне, по компьютерному зрению для дронов. В общем как-то хакатоны опопсели :), не думаю что у них вот так было как в фильме "Социальная сеть".

РКН, внезапно, озаботился наличием GGC у операторов. Суть такая: "А есть ли сертификат на оборудование?". На geektimes довольно старая статья про суть GGC, но всё актуально.

В общем, насколько сильно напрягся именно ваш провайдер, можно узнать по ссылке http://redirector.c.youtube.com/report_mapping - где будет показано название используемого вами узла GGC: привязка к оператору и городу, по аэропорту.

Помимо GGC есть ещё Akamai с подобной же технологией.

На rublacklist перевод WikiLeaks про СОРМ. Секрет Полишинеля, конечно. Да и статья не очень захватывающая. Самое интересное это документация на реализацию одного из вариантов СОРМ. Ничего секретного там нет, просто всё собрано в одном месте и доступно теперь не только заказчикам и исполнителям, но и широкой публике.

P.S. Наши, тоже могут по ЕСПД, не только ЦРУ

Ещё немного внутренней кухни. Касперский рассказывает про свою песочницу. Достаточно подробно чтобы не быть лёгким чтением, но не достаточно чтобы что-то повторить у себя.

Google, конечно, наше всё, но иногда хочется выбрать без долгих поисков, что-то проверенное. Wireshark с удовольствием делится сетевыми инструментами, а на sectools.org инструменты для анализа сетевой безопасности. Не удивительно что многое пересекается - инструмент он же только инструмент, всё в головах.

А у вас есть главный сетевой коммутатор? В Telegram есть и сегодня ему было не очень хорошо.

Интересно, что вот никак по другому центральную железку и не назовёшь. Главный сервер, главный маршрутизатор, главный коммутатор. И какая бы не была распределённая структура, всё равно где-то главный так и норовит упасть.

Простой сканер WEB сайтов , совсем новый. Пишет понятным языком, правда по английски. Есть косяк с импортированием модуля parse, потому что имя пересекается в глобальном пространстве. Решается переименованием каталога где модуль лежит и правкой пары файлов (Python27 ругается в нужных местах).

В общем на вскидку, мне понравился, удобнее для экспресс анализа многих других инструментов. KaliTut рекомендует.