OVH Network запустила новую магистраль, написано задержка 33мс (наверное в одну сторону). Но всё равно для 10000км прямо хорошо, лучше чем у нас до некоторых Московских сайтов всего-то за 1000км.
И да, Россия совершенно не пользуется спросом как транзитная страна, хотя было бы короче.

Виртуальные лабы от Juniper - свободный доступ, но нужна регистрация. Несколько топологий, можно резервировать время на будущее, красивый интерфейс. Пока подписано как бета режим, значит можно быть в числе первых кто попробует.

NLnet Labs, создатели Unbound и NSD включились в разработку утилит для поддержки RPKI инфраструктуры. Пока экспериментируют с получением данных, для чего написали Routinator 3000. Это далеко не полный набор того что нужно для работы, но начало положено.

Полностью рабочая вещь написана в недрах RIPE NCC так и называется rpki-validator. Это просто база, со стороны маршрутизаторов (для фильтрации маршрутов) также нужна поддержка. Практический пример использования всего этого есть на Хабр.

В конечном итоге это должно привести к стойкой схеме доверенного распространения интернет ресурсов среди получателей. Сейчас, и это даже удивительно, всё основано на честном слове и дружеских отношениях, но последнее время это плохо работает.

TLS 1.3 теперь официально RFC 8446. Честно, я не осилил мегатекст в блоге Cloudflare, но интересующимся стоит почитать, такого не было давно.

Дружим Openconnect и Cisco AnyConnect Hostscan хакерским методом. У меня конечно сомнения насколько это полезно и выполнимо, включать hostscan, а потом самим же его обходить.

​Рассчёт радиолинка и зоны покрытия по версии Ubiquiti, с привязкой к местности. Можно выставить параметры высоты, частоты, ширины канала, расстояния. Есть готовые шаблоны для различных устройств Ubiquiti, но от них можно отказаться.

Каждодневный выбор взрослеющего провинциального провайдера за 1000 км от столицы. Купить у большого магистрала доступ к московскому IX и получить возможность самостоятельно, напрямую пириться с большей частью Рунета. Но при этом пинги будут 30мс. Или довериться пиринговой политике своего местного апстрима, который сам присутствует на IX с пингами 20мс.

А самое интересное, конечно, являются ли эти лишние 10мс платой за надёжность или платой за используемые технологии и академические архитектурные решения. Прямо философский вопрос, но который надо решить, причём за конечное время.

Команды в CLI удобны тем что легко поддаются автоматической обработке, и это одно из главных преимуществ чёрного экрана с мигающим курсором. Но для оператора-человека тоже надо данные поставлять. Сделать жизнь чуть проще во многих случаях поможет флаг -h, но не только. Подробнее в статье по ссылке.

Уже более 24 часов наблюдаются проблемы со связностью по IPv6 между многими российскими провайдерами и сетью Hurricane Electric -- причём как их собственной, так и их клиентами, т.е. теми до кого в "мирное" время маршрут шёл через he.net.

Судя по всему, они подключали MSK-IX, но что-то пошло не так...

С нашей стороны трейс на ней и кончается:

Host Loss% Snt Last Avg Best Wrst StDev
1. 2a02:2698:8000::501 0.0% 11 1.2 1.1 0.9 1.3 0.0
2. 2a02:2698:8000::1e02 0.0% 11 1.1 1.1 0.8 1.9 0.0
3. msk-ix-ipv6.ertelecom.ru 0.0% 11 25.5 26.7 25.1 39.2 4.1
4. ???

С их стороны - уходит внезапно в Таллинн, и заканчивается там:

core1.ams1.he.net> traceroute ipv6 2a02:2698:8022:2482::1 numeric

Tracing the route to IPv6 node 2a02:2698:8022:2482::1 from 1 to 30 hops

1 33 ms 63 ms 32 ms 2001:470:0:2b1::2 100ge8-2.core1.sto1.he.net
2 67 ms 33 ms 79 ms 2001:470:0:35d::2 10ge11-11.core1.hel1.he.net
3 33 ms 60 ms 27 ms 2001:470:0:34d::1 10ge1-2.core1.tll1.he.net
4 * * * ?
[...]
30 * * * ?
# Entry cached for another 59 seconds.

Проверить затронуло ли вас, можно просто потрейсив их сайт, he.net. На практике, неудобств конечным пользователям это доставить не должно, современные браузеры благодаря механизму Happy Eyeballs очень быстро обнаруживают отсутствие доступа по IPv6 и переходят для связи с конкретным сайтом или сервисом на IPv4.

Когда-то давно я работал с сетью где были только Cisco роутеры и для маршрутизации был включен EIGRP. Но в то время я совсем ничего не понимал в сетях, а позже практического навыка работы с EIGRP получить не пришлось. Интересная статья как инженеры пытаются совместить несовместимое - растущие скорости интерфейсов, поддержку низкоскоростных интерфейсов и аппаратные ограничения устройств. Решением для EIGRP стала возможность ручного управления масштабом метрики с помощью опции rip-scale.

P.S. Не проходите мимо blog.ine.com, там не только про EIGRP. Вот, например, как пользоваться фильтрацией OSPF. И комментарии тоже не пропускайте.

​Карта стабильности Интернета - показывают наиболее критические точки, где что-то происходит не так как обычно. Делает лаборатория под эгидой Oracle Cloud.
Можно выбрать страну или конкретную AS: графики задержек и traceroute мне нравятся очень. Хорошо видно кто аплинк и как всё меняется в динамике. Для России RTT 200мс и дальше в космос, что делает просмотр особенно интересным с точки зрения как нас в мире видят.

NTP скоро совсем дожмут в плане безопасности, это помимо непосредственной переработки реализации.
Вероятное ближайшее будущее - по две версии каждого протокола, в классическом виде и с TLS внутри.

Коллега поделился ссылкой http://seclists.org/oss-sec/2018/q3/124 - для всех реализаций OpenSSH, с версии 2.3.0 точно, доступен механизм перебора пользователей заведённых в систему. Уже есть принципиальная реализация на Python.

Ботнетописатели тоже люди на чём и попадаются, так как используют "красивые" IP адреса для временного назначения неиспользуемым доменам.

В кеше Unbound нашлось вот такое:

alkomagnit.net. 6815 IN A 1.1.1.1
b.reich.io. 43072 IN A 8.8.8.8

Можно сказать что ничего не нашлось, правда кеш живёт не так долго.

Однако со стороны провайдера стоит скорее другая задача: поймать не головную часть, а участника ботнета - абонентское устройство. Потому что провайдер (хороший) должен заботиться о своём абоненте чтобы у него всё работало, чему ботнет не способствует. А ещё не позволять своим абонентам, осознанно или неосознанно, пакостить в сети.
За полчаса мониторинга в ответах попадались пару раз 1.1.1.1, 5.5.5.5 и 8.8.8.8 это при 3000 в секунду. Только не забываем что эти адреса могут быть и вполне легитимными, а в остальном рабочий и не такой затратный способ опережающего действия.

Компилируемые языки сейчас для меня это наложить патч (случается раз в два, три года). IDE для этого не нужен. Самый сложный программный код который я пишу сейчас, занимает не более 2-3 стандартных экранов в любом редакторе, и как правило IDE для этого не нужен.
На TecMint перечислены 18 IDE и редакторов кода для C/C++ (в общем это не важно, большинство продуктов имеет варианты и для других языков), не обошли стороной даже Vim и Emacs. Кое что упустили, но обзор строился на решениях для Linux.
Для себя отметил что пробовал всё из перечисленного - удобны далеко не все. Но выбор можно сделать только самостоятельно, если в IDE или чем-то большем чем текущий текстовый редактор, действительно есть необходимость.

DNS трафик стал разменной монетой в эпоху тотального ухода в HTTPS. У нас это усугубляется необходимостью блокировок. И это к сожалению глобально, вот так мой домашний провайдер делает:

$ dig @9.9.9.9 AAAA linkedin.com +short
2a02:2698:a002:1::3:17

Хорошо ещё IPv6 отдаёт (не тот конечно), часто именно блокировка IPv6 осуществляется только так, через подмену DNS ответа в котором AAAA вовсе нет.

Ещё такое часто применяют для тарифов с нулевым балансом. С другой стороны если абонент не хочет пользоваться провайдерскими DNS ну что ж... А ещё с другой стороны если провайдер предоставляет DNS, то трафик-то всё равно абонентский, профессиональная этика и вообще.

Ещё одна статья с обзором данного исследования - выход видится в шифровании DNS тоже.

Всё время забываю как посмотреть версию конкретного дистрибутива Linux. Почему этого нет в uname -a или в виде show version?

Как всегда способ не один, но обычно хватает lsb_release -a. Подробнее для Centos и Ubuntu.

Looking Glass у хостеров. Много точек на карте по всему миру. Есть пинги и трейсы, возможность померить скорость путём скачивания файла, BGP - нет. На Хабр подробности что к чему.

Детектор вредоносного трафика, использует общедоступные черные списки, отчёты антивирусов, эвристику. Можно ставить зеркалом или как приманку (honeypot). Выглядит внушительно, наверное, в некоторых случаях сможет заменить какой нибудь коммерческий IDS.