Сетевые технологии *

27 февраля 2012 на конференции RSA Conference, Cisco Systems анонсировала обновление линейки межсетевых экранов Cisco ASA, её дополнят 5 новых моделей: 5512-X, 5515-X, 5525-X, 5545-X и 5555-X.

В качестве основных нововведений, заявляется:

• Четырёхкратный рост производительности, пропускная способность МСЭ составляет 1 — 4 Гбит/с, 250 Мбит/с — 1,3 Гбит/с для IPS и 200 — 700 Мбит/с для VPN
• Монолитное шасси, включающее модули ускорения и расширения — дополнительные функции активируются программным ключем
• Переход на 64-разрядную архитектуру с оптимизацией под многоядерные процессоры и возможностью запуска дополнительных сервисов в будущем с помощью обновления ПО

Дата прекращения поддержи текущих моделей (ASA 5505, 5510, 5520, 5540 и 5550) не сообщается.

В четверг австралийские пользователи столкнулись с необычной проблемой: многие из них (от 3 до 10 миллионов человек) так и не смогли посетить ни один международный ресурс. Оказалось, что проблема эта носит общенациональный характер (для Австралии). Произошел очень масштабный сетевой сбой в сети одного из провайдеров (или сразу нескольких, ситуация пока не особо прояснилась).

Странные дела происходят сейчас в Интернет ассоциации Украины. На 29-е февраля запланирован XIII съезд этой влиятельной организации украинского интернета. В повестке дня предусмотрен стандартный набор пунктов — отчеты, планы и т.д. Но есть там один интересный вопрос под № 14 «О реорганизации ГП «УкрМОТ».

Возможно, никто бы не обратил внимание на этот пункт, но сегодня вышла статья в издании Интернет.юа, которое является близким к одному из членов правления ИнАУ — Михаилу Комиссаруку. В статье утверждается, что под реорганизацией ГП «УкрМОТ» подразумевается приватизация украинской точки обмена трафиком — изменение статуса с ООО в акционерное общество.

Добрый день.

Хабрапользователь ValdikSS в статье «Восстанавливаем удаленную почту на mail.ru (и других)» поделился вариантом восстановления на сервере почты уже полученной клиентом. Хочу поделиться другим способом восстановления не зависящим от формата базы клиента.

В каких случаях этот способ сработает

К сожалению, применимость этого способа в большей степени зависит от протоколов передачи почты, которые поддерживают сервера и клиенты, а именно IMAP4.

Некоторые популярные почтовые клиенты с поддержкой IMAP:

• Mozilla Thunderbird
• The Bat!
• Outlook Express
• Microsoft Outlook

О поддержке IMAP конкретным почтовым сервером можно узнать из соответствующих инструкций по настройке почтовых программ. Ниже перечислены некоторые популярные сервисы и ссылки на страницы помощи:

• gmail.com
• rambler.ru
• yandex.ru
• yahoo.com

И не смотря на то, что требуемый протокол существует с 1994, его поддержка некоторыми игроками данной области воспринимается как не обязательная опция. Примером этому может служить сервис mail.ru, который отказался от IMAP некоторое время назад.

Итак. Если вы настроив почтовый клиент через pop3 и забыв поставить галочку «хранить почту на сервере» решили восстановить письма на сервере или хотите пополнить почтовый ящик любыми другими письмами из имеющихся в вашем почтовом клиенте аккаунтов, то welcome под Хабракат.

Внимание!
Если вы нашли эту страницу из поисковика, и у вас нет сохраненной копии всех писем, или если вы никогда не использовали почтовую программу, а только веб-интерфейс mail.ru, восстановить почту невозможно! Пожалуйста, не пишите мне на email.

Всем привет!
Случалось ли вам наблюдать пустой почтовый ящик после того, как вы настроили почтовый клиент через pop3, и забыли поставить галочку «хранить почту на сервере»? Случилось это и со мной.
Итак, у вас есть почта в почтовом клиенте, нет почты на сервере. Все бы ничего, сами письма же сохранились, но почта на сервере была очень нужна, и я стал думать.

Anonymous или некто, кто причисляет себя к «анонимам» (по определению, это может быть кто угодно) разместил угрожающее объявление на Pastebin. Оно гласит, что «в знак протеста против SOPA, воротил Уолл-стрита, наших безответственных лидеров и почитаемых банкиров, которые обирают весь мир ради своих эгоистических целей и садистического удовольствия, 31 марта Anonymous выведут из строя интернет». В сообщении на Pastebin подробно описывается, каким образом они собираются это сделать (вкратце: поток поддельных UDP-запросов от имени уязвимых DNS-серверов к 13-ти корневым серверам с помощью специальной программы и сети добровольцев).

Если атака действительно состоится, то она совершенно безнадёжна. Система кэширования работает таким образом, что даже если полностью вывести из строя все 13 серверов (на самом деле это десятки дата-центров, так что возможность чисто гипотетическая), то за первый час не будет обработано всего 2% запросов, за второй час — 4%, и так далее. Чтобы полностью отрубить все запросы, требуется зафлудить корневые серверы на 48 часов.

В последний раз, когда предпринималась атака на инфраструктуру DNS (в 2007 году), злоумышленникам удалось сделать недоступными всего 2 из 13-ти корневых серверов. В 2002 году — 9 из 13-ти.

Компания Google запустила Public DNS в декабре 2009 года, и за два года он стал крупнейшим DNS-сервисом в мире с более чем 70 млрд запросов в сутки, то есть 810 тыс. в секунду, в среднем. Для сравнения, OpenDNS получает около 37 млрд запросов в сутки.

Согласно внутренней статистике Google DNS, 70% DNS-запросов идёт из-за пределов США.

Компания ставит своей целью ускорить DNS, и поэтому в 2011 году совместно с OpenDNS и другими компаниями выступила с инициативой нового расширения для протокола DNS, целью которого является более эффективно направлять пользователей на ближайшие CDN конечной точки. Это расширение уже де-факто поддерживают несколько компаний, включая Google.

IP-адреса Google Public DNS
8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844

Инструкция по смене настроек DNS-сервера под разными ОС

Судя по сообщениям пользователей из Ирана, с четверга 9 января некоторые интернет-провайдеры страны начали фильтровать интернет-трафик по сигнатурам (deep packet inspection), блокируя почти все пакеты SSL/TLS. Таким образом, у пользователей перестали работать HTTPS-сервисы, включая Gmail, поиск Google и сайты других интернет-компаний. Туннелирование по SSH в иранском интернете заблокировано уже несколько месяцев назад.

Ддос-ят нас.

С 6 февраля, примерно десяти вечера, и по сей момент…

При этом, в отличие от предыдущих, DDoS управляемый: супостаты переодически меняют структуру пакетов, чтобы обойти фильтры. Из-за этого форум то виден, то нет.

Ддосят только форум, трекеры не трогают. Около 300к запросов в сек.

Такие дела…

P.S. Наверное, не в тот блог, перенесите, если не прав.

Основная цель DNS — это отображение доменных имен в IP адреса и наоборот — IP в DNS. В статье я рассмотрю работу DNS сервера BIND (Berkeley Internet Name Domain, ранее: Berkeley Internet Name Daemon), как сАмого (не побоюсь этого слова) распространенного. BIND входит в состав любого дистрибутива UNIX. Основу BIND составляет демон named, который для своей работы использует порт UDP/53 и для некоторых запросов TCP/53.

Основные понятия Domain Name System

Исторически, до появления доменной системы имен роль инструмента разрешения символьных имен в IP выполнял файл /etc/hosts, который и в настоящее время играет далеко не последнюю роль в данном деле. Но с ростом количества хостов в глобальной сети, отслеживать и обслуживать базу имен на всех хостах стало нереально затруднительно. В результате придумали DNS, представляющую собой иерархическую, распределенную систему доменных зон. Давайте рассмотрим структуру Системы Доменных Имён на иллюстрации:

Компания Google опубликовала ряд рекомендаций, как уменьшить задержку (latency) для TCP-соединений между веб-сервером и браузером. В этих рекомендациях обобщаются исследования, которые компания вела в течение нескольких лет.

1. Увеличьте первоначальный размер congestion window до 10 (IW10). Сейчас в начале TCP-соединения отправляется три пакета данных в три раунда (RTT) для передачи небольшой информации (15 КБ). Наши эксперименты показывают, что IW10 уменьшает сетевую задержку для веб-соединений более чем на 10%.

2. Уменьшите первоначальный таймаут с 3 секунд до 1 секунды. RTT в 3 секунды был приемлем пару десятилетий назад, но в современном интернете нужен гораздо меньший таймаут. Наше обоснование для этого хорошо задокументировано здесь.

Любой администратор рано или поздно получает инструкцию от руководства: «посчитать, кто ходит в сеть, и сколько качает». Для провайдеров она дополняется задачами «пустить кого надо, взять оплату, ограничить доступ». Что считать? Как? Где? Отрывочных сведений много, они не структурированы. Избавим начинающего админа от утомительных поисков, снабдив его общими знаниями, и полезными ссылками на матчасть.
В данной статье я постараюсь описать принципы организации сбора, учёта и контроля трафика в сети. Мы рассмотрим проблематику вопроса, и перечислим возможные способы съема информации с сетевых устройств.

Как мы помним, 8 июня 2011 года состоялся World IPv6 Day — глобальное мероприятие по тестированию готовности инфраструктуры к переходу на IPv6. Все участники акции с 00:00 до 23:59 в указанный день предоставляли доступ как по IPv4, так и по IPv6. В мероприятии принял участие и ряд российских компаний, в том числе «Яндекс», «Рамблер», «Мастерхост» и Reg.ru.

В этой короткой статье я опишу процесс настройки функций для переключения маршрутов между двумя провайдерами в случае, если физический линк присутствует и даже есть наличие локальной сети провайдера, но нет самого интернета.
Рассмотрим пример с 2 провайдерами:

• ISP1
  interface IP 1.1.1.100
  gateway IP 1.1.1.1
  netmask 255.255.255.0
  interface name ge-0/0/2.0
• ISP2
  interface IP 2.2.2.200
  gateway IP 2.2.2.1
  netmask 255.255.255.0
  interface name ge-0/0/2.0

Конфигурирование будет состоять из двух этапов:

1. Настройка rpm — который проверяет доступность выбранных хостов
2. Настройка ip-monitoring — который непосредственно выполняет переключения рутинга

Этап 1

Как правило выбираются хосты изначально постоянно доступные для icmp-ping в моем примере. Для примера, а не для подражания возьмем для мониторинга IP крупных провайдеров: 213.180.193.3, 209.85.148.104. Я беру 2 IP для мониторинга так как по одному возможны ложные срабатывания. В реальной обстановке можно мониторить и сеть провайдера и хопы после его граничных маршрутизаторов.
Заходим в режим редактирования конфигурации из командной строки.

Учитывая, что в операционной системе Junos используется довольно стандартный демон ssh, я осмелился предположить, что организация ssh туннелей в нём реализована. И хотя в документации о таком применении коммутаторов, маршрутизаторов или межсетевых экранов не удалось найти упоминания — это работает. Мало того, ssh туннели разрешены по умолчанию.

Приведу пример, позволяющий продемонстрировать, где это может пригодиться.

Всю собственную внутреннюю сетевую инфраструктуру и соответствующие процессы корпорация Google собирается перевести на IPv6 уже в скором времени. Эта новость стала известна благодаря докладу Ирены Николовой, занимающей в Google пост инженера по сетевым коммуникациям. Николова также заявила, что переход на IPv6 может оказаться довольно непростым, поскольку компании придется столкнуться с рядом изменений.

Началось все 1 месяц назад. Клиенты нашей компании стали испытывать проблему при доступе в интернет. Проблема проявляется только у клиентов использующих роутеры и приставки STB. В течение дня, в разное время на оборудование были зафиксированы всплески активности продолжительностью 5-10 минут. Всплески могли происходит в любое время суток утром днем и вечером. Пример такого всплеска я покажу.

Мобильные устройства, такие как смартфоны, дали возможность потребителям получить доступ к растущему числу интерактивных и полезных приложений, в любое время, в любом месте. Однако, как только пользователь садится в автомобиль, доступ к таким приложениям и их возможностям резко ограничивается – либо потому, что есть ограничение для использования некоторых приложений в автомобильных информационно-развлекательных системах (IVI) либо из-за проблем взаимодействия с небольшим экраном мобильного устройства, подключенного к док-станции.

В течение многих лет, корпоративные пользователи использовали технологии удаленного терминала, такие как Virtual Network Computing (VNC) и удаленный рабочий стол Windows для удаленного доступа к компьютерам и устранения неполадок. Не так давно удаленный терминал нашел свою нишу в смартфонах, где терминальный клиент на телефоне позволяет пользователю видеть и контролировать удаленное приложение.

В автомобильной среде, все наоборот: смартфон становится сервером, а автомобильная информационно-развлекательная система становится клиентом. TCP/IP через Bluetooth или USB, как правило выступает в качестве основного протокола связи между телефоном и автомобилем, в то время как Bluetooth Serial Port Profile (SPP) или устройство USB-связи класса (USB CDC) осуществляет коммуникации на более низком уровне связи.

Этот специфический язык программирования, представленный на днях компанией Ebay, предназначен, по словам разработчиков, прежде всего для эффективного агрегирования API-функций для HTTP. В результате «на выходе» получается единый вызов с SQL-подобным синтаксисом. Компания создала этот декларативный событийный язык программирования для увеличения эффективности и производительности написания кода разработчиками, а также для снижения общего количества строк в коде.

Сразу оговоримся, не стоит воспринимать заголовок слишком буквально. Если звезды зажигают… и так далее.

Тем не менее, семейство протоколов Spannning Tree, если не отживает свой век в качестве основного инструмента резервирования в ethernet-сетях, то как минимум плавно перетекает в узкие и специфические ниши (само собой, их обсуждение выходит за всякие рамки этой статьи, но в приветствуется в комментариях).

И да, конечно, никто не отменял Spanning Tree как технологию защиты от человеческой ошибки.