Результаты роста Интернет за 2024 год на коллекторе RRC0 из @FullViewBGPbot. Плюс ещё порядка 32000 префиксов
Автономных систем с
Зафиксируем и количество /24 префиксов
IPv4 и 26000 префиксов IPv6. Сравнивая с 2023 годом можем сказать что не стало хуже, если делать себе скидку на погрешности измерений, рост IPv4 в абсолютных цифрах чуть больше, рост IPv6 чуть меньше, но всё это укладывается в линейную зависимость. С ускоренным ростом IPv6, на возвращение которого я где-то ещё надеялся, можно попрощаться окончательно. Общее количество IPv4 стабильно больше миллиона, но значение на коллекторе слегка завышено относительно того что видит рядовой провайдер получая полную таблицу маршрутов, но миллион и там не далеко.Автономных систем с
IPv4 приросло на 1000, с IPv6 на 2000. В 2023 году примерно также, хотя в IP4 рост был больше, но этот рост пришёлся на пик в конце года, который закончился уже в начале 2024.Зафиксируем и количество /24 префиксов
IPv4, которых стало 61%, а /48 в IPv6 стало почти 46%, рост и там и там порядка 1%.👍7
Forwarded from ISACARuSec
https://csrc.nist.gov/pubs/sp/800/189/r1/ipd
"This document provides technical guidance and recommendations to improve the security and resilience of Internet routing based on BGP. Technologies recommended in this document for securing Internet routing include Resource Public Key Infrastructure (RPKI), Route Origin Authorization (ROA), ROA-based route origin validation (ROA-ROV), and prefix filtering. Additionally, the technologies recommended for mitigating DDoS attacks focus on the prevention of IP address spoofing using source address validation (SAV) with access control lists (ACLs) and unicast Reverse Path Forwarding (uRPF). Other technologies are also recommended as part of the overall security mechanisms, such as remotely triggered black hole (RTBH) filtering and flow specification (Flowspec)."
"This document provides technical guidance and recommendations to improve the security and resilience of Internet routing based on BGP. Technologies recommended in this document for securing Internet routing include Resource Public Key Infrastructure (RPKI), Route Origin Authorization (ROA), ROA-based route origin validation (ROA-ROV), and prefix filtering. Additionally, the technologies recommended for mitigating DDoS attacks focus on the prevention of IP address spoofing using source address validation (SAV) with access control lists (ACLs) and unicast Reverse Path Forwarding (uRPF). Other technologies are also recommended as part of the overall security mechanisms, such as remotely triggered black hole (RTBH) filtering and flow specification (Flowspec)."
CSRC | NIST
NIST Special Publication (SP) 800-189 Rev. 1 (Draft), Border Gateway Protocol Security and Resilience
This publication provides guidance on Internet routing security, preventing IP address spoofing, and certain aspects of DDoS detection and mitigation. It particularly focuses on Border Gateway Protocol, which is the routing protocol used to distribute and…
👍3
Традиционные отчёты Geoff Huston о состоянии таблиц маршрутизации Интернет за прошедший год по количеству и по динамике. Стабильно замедляемся,
IPv6 теперь линейно растёт, а IPv4 уже не линейно, а всё медленее и медленнее, но Geoff тут оставляет надежду и выбор из вариантов для возобновления роста. В динамике апдейтов всё стабильно, ещё год должны пройти.APNIC Blog
BGP in 2024 | APNIC Blog
Geoff Huston’s analysis of BGP routing table growth for 2024 and some projections.
👍5
Патчкорд
Я немного увлёкся занимаясь старым проектом и получился обзор по истории лицензирования связи в России https://telegra.ph/O-licenziyah-svyazi-c-1991-po-2024-04-01 с привязкой к текущей ситуации с ценой на новые лицензии и некоторыми ключевыми точками в прошлом…
Ещё одни итоги года, хотя и в первые месяцы было уже более менее понятно, что получилось. Добавил данные за полный год и опубликовал на Habr - Про лицензии связи: историю и результаты повышения пошлины.
Из интересного, то что не касается лицензий, но касается открытых данных РКН. Так как файл для анализа был уже другой, результат расчёта некоторых параметров отличался, но не на добавленных данных, а на исторических. Если я не ошибся, то заметил такое на номерах приказов. Это минус того что исторические данные как есть в виде слепка за все числа недоступны на сайте открытых данных, только несколько последних дней. Даже уточнение и дополнение прошлых периодов, меняет эту самую историю в текущем слепке, чего быть, на мой взгляд не должно, для сохранения строгости анализа.
Из интересного, то что не касается лицензий, но касается открытых данных РКН. Так как файл для анализа был уже другой, результат расчёта некоторых параметров отличался, но не на добавленных данных, а на исторических. Если я не ошибся, то заметил такое на номерах приказов. Это минус того что исторические данные как есть в виде слепка за все числа недоступны на сайте открытых данных, только несколько последних дней. Даже уточнение и дополнение прошлых периодов, меняет эту самую историю в текущем слепке, чего быть, на мой взгляд не должно, для сохранения строгости анализа.
Хабр
Лицензии связи в России с 1991 по 2024
Прошёл год с момента вступления в силу закона об изменении величины пошлин за получение лицензий связи в которых прописано требование использования СОРМ. За это время можно уже сделать какие-то выводы...
👍8
Forwarded from Будни сетевика
В продолжении поста про поддержку ipv6 в онлайн-кинотеатрах РФ проверил как обстоят дела за пределами РФ. Как видно, даже «там» IPv6 запустили не везде.
Если порассуждать на тему, что может тормозить переход, используя наш опыт в качестве примера:
1️⃣ IPv6 — это не эволюция, а скорее революция. У него нет обратной совместимости с IPv4, что означает необходимость внедрения dual stack и сосуществования обоих протоколов до завершения перехода. А это может занять довольно много времени.
2️⃣ Параллельный запуск IPv6 создает дополнительные риски. Появляется новый вектор атаки, и необходимо следить за безопасностью двух протоколов одновременно.
3️⃣ Отсутствие стимула или мотивации для перехода. У нас еще есть IPv4-адреса, и все функционирует, необходимости менять что-то прямо сейчас нет. Я проверил статистику обращений к нашим ресурсам по IPv6 в партнерских CDN (которые предоставляют IPv6 «из коробки»), и она стремится к нулю — почти никто не использует ipv6 для доступа к контенту 🤷.
4️⃣ Сложности в миграции существующих систем. Переход на IPv6 требует значительных изменений в инфраструктуре и программном обеспечении, что может быть дорогостоящим и времязатратным процессом. Нужно обосновать бизнесу значимость всей этой затеи, а аргументов пока не много.
5️⃣ Недостаток знаний и опыта. В процессе могут возникнуть проблемы, и это может привести к сбоям. Но сетевики снова будут нужны 😅
Мы находимся на стадии изучения протокола IPv6 и планируем проводить эксперименты и тестирования, далее можно будет думать над появлением ipv6 для конечных пользователей.
P.S. Немного был удивлен, что в Amazon Prime Video нет ipv6.
Если порассуждать на тему, что может тормозить переход, используя наш опыт в качестве примера:
Мы находимся на стадии изучения протокола IPv6 и планируем проводить эксперименты и тестирования, далее можно будет думать над появлением ipv6 для конечных пользователей.
P.S. Немного был удивлен, что в Amazon Prime Video нет ipv6.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11👎1
Плюсы, не самые большие, джуна в команде - вспоминаешь зачем у тебя именно это в конфигурации и почему ты что-то больше никогда не делаешь. Минусы, существенные - часто это случается во внеурочное время.
👍11👎3
Starlink теперь в настоящего провайдера превратился, предоставив IP транзит на остров в Тихом океане. BGPlay события, где AS Starlink AS14593, AS клиента AS55722.
X (formerly Twitter)
Megaconstellations 🌍📡🛰️🛰️🛰️🛰️🛰️🛰️ (@Megaconstellati) on X
🇳🇷 The Pacific island of Nauru is now connected by a @Starlink community gateway using own IP prefix (203.98.224.0/23) & own AS (AS55722), so proper IP transit, a novelty for Starlink. Upstreams are Starlink (AS14593) & @onqcomm (AS7594). RTD varies widely…
👍12
Добавить секунду так чтобы этого никто не заметил - высший пилотаж, нет никаких технических деталей, но сама идея и воплощение достойна, чтобы про неё подумать. Манипуляцию с добавлением секунды давно не делали, секунду можно не только добавлять, но и удалять, такого вообще никогда не делали, это, возможно, как раз и случится в следующий раз. Так как с этим всегда какие-нибудь сложности, обсуждают, в том числе, чтобы вообще больше так никогда не делать.
👍3👎1
Как отправить низкочастотный аудио сигнал TOSLINK (S/PDIF цифровое аудио) через обычный SFP и гораздо дальше заложенных стандартом 10м, знает Ben Cox. Заодно, на практике увидеть где начинаются "умные" функции
SFP и оптических систем (с 10G), чтобы побороть несовершенство физического мира и убедиться в простоте и возможности отправлять по оптике таким способом фактически всё что угодно. Ответ на вопрос "Зачем?" мы все и так знаем - потому что можем!blog.benjojo.co.uk
Building Ultra Long Range TOSLINK
👍8
Knot DNS обновил страничку со своими тестами, кто на первом месте догадайтесь сами.
www.knot-dns.cz
Benchmark – Knot DNS
High-performance authoritative DNS server
👍5
Пример deadlock'а в HTTP/2 и HTTP/3 тоже, и как с ним побороться не используя страусиный алгоритм.
Sam Lightfoot
HTTP/2 Flow Control Deadlock
Plagued by indefinitely hanging HTTP requests, starved connection pools, and widespread SLA breaches, we put on our troubleshooting hats and reported a Reactor Netty issue.
The hangs primarily affected a high-volume, scheduled background process responsible…
The hangs primarily affected a high-volume, scheduled background process responsible…
👍4
Forwarded from The After Times
Наш Роскомнадзор ебашит вообще адовые ТСПУ.
Ну такой вот примерно рецепт усредненный, потому что вариаций масса.
Берется список доменов, он не анализируется, анализировать - это не про наш Роскомнадзор. Он берет это список, вываливает его в скрипт и начинает резолвить. Добавляет в скрипт регулярок, IP-адресов из tcpdump, доменов статического и динамического контента, DNS! для вязкости, CDN и SNI сверху. Всё это дописывается, пока вообще всё не перестанет работать. Потом сокращается до одной регулярки и форматируется как ACL.
Потом Роскомнадзор берет и щедро полив резолвингом начинает применять это ACL. При этом выполняет их прямо на ТСПУ, шкрябая по ним командной строкой. Выполняет и приговаривает полушепотом ух бля. При этом у него на лбу аж пот выступает. Любезно NOC'ам иногда предлагает, но они отказываются.
Надо ли говорить о том какой дичайший траблшутинг потом? Инцидент-репорты такие пишутся, что обои от стен отклеиваются.
Ну такой вот примерно рецепт усредненный, потому что вариаций масса.
Берется список доменов, он не анализируется, анализировать - это не про наш Роскомнадзор. Он берет это список, вываливает его в скрипт и начинает резолвить. Добавляет в скрипт регулярок, IP-адресов из tcpdump, доменов статического и динамического контента, DNS! для вязкости, CDN и SNI сверху. Всё это дописывается, пока вообще всё не перестанет работать. Потом сокращается до одной регулярки и форматируется как ACL.
Потом Роскомнадзор берет и щедро полив резолвингом начинает применять это ACL. При этом выполняет их прямо на ТСПУ, шкрябая по ним командной строкой. Выполняет и приговаривает полушепотом ух бля. При этом у него на лбу аж пот выступает. Любезно NOC'ам иногда предлагает, но они отказываются.
Надо ли говорить о том какой дичайший траблшутинг потом? Инцидент-репорты такие пишутся, что обои от стен отклеиваются.
👍37👎3
Интернет конечно всё помнит, но потом в нём ничего не найдёшь, поэтому ещё парочку реперных точек.
👍3