1.2, Аноним (-), 19:21, 29/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
> автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети. Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).
Отобрать AS теперь надо у этих китайцев, чтоб другим неповадно было. Экспериментаторы, блин.
| |
|
2.24, metakeks (?), 22:53, 29/05/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
AS58879
Country: CN
Registration Date: 2013-03-22
Registrar: apnic
Owner: ANCHNET Shanghai Anchang Network Security Technology Co.,Ltd., CN
Да, пожалуй лишить на год-другой, пусть за натом посидят. Лучше учиться будут.
| |
2.44, Аноним (-), 16:48, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Лушче бы отобрать у тех, кто BGP-анонсы не фильтрует. Но тогда в мире 3,5 AS останется, остальные за NAT поедут.
| |
|
1.3, An (??), 19:37, 29/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не знали, а проверить?
Сделано в Китае, сделано с умом )
| |
1.4, Аноним (-), 19:52, 29/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
>администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов.
вся суть эникейщиков, нанятых из-за кошмарного кадрового голода
| |
|
2.19, пох (?), 21:44, 29/05/2018 [^] [^^] [^^^] [ответить]
| +7 +/– |
увы, нет в этой области никакого "кадрового голода", есть стойкое нежелание работодателей платить нормальные зарплаты инженерам.
Нате вам, реальность, данная нам в виде документа: компания очень-плохая-дорога ищет в default city (нет, не Пекин) инженера уровня CCIE/HCIE _со_знанием_китайского_языка_ (на уровне "как-то уметь понять разговорную речь", а не кое-как прочесть документацию). На жестко фиксированную зарплату, 80000 не долларов (спасибо что не йен)
Как думаете, найдет?
Вот и мне кажется, что человек с разговорным китайским и умом и талантом, позволяющим претендовать на ccie, найдет себе работу раз в десять более высокооплачиваемую - но, вероятно, ему придется искать ее в смежных отраслях, а настраивать маршрутизаторы он в этой жизни уже не будет.
| |
|
3.23, Аноним (-), 22:30, 29/05/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
Не преувеличивай, ccie и прочие собачкины медальки это всего лишь знания, которые наживаются тем или иным способом, а решить, что анонсировать что попало в бгп можно только будучи слабоумным, просто зазубрив ответы для экзамена. Кстати, вся история может быть жалкой выдумкой для прикрытия неведомой нам операции китайского рейхскомпозора.
| |
|
4.28, пох (?), 00:29, 30/05/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Не преувеличивай, ccie и прочие собачкины медальки это всего лишь знания, которые наживаются
> тем или иным способом
нет. Это умения (+теоретические знания, но это отдельно и там можно зазубрить). Восемь часов наедине со сложной сетью, в которой есть пачка проблем (найти причины и точное место - твоя задача), и другая пачка, побольше - "надо сделать", чеклист в руках, вперед. Сеть реальная, из настоящего железа. А, да - гугль во время тестов недоступен.
Желаю тебе успехов тут что-то "просто зазубрить".
Циска вот утверждает, что сдать может только человек с реальным опытом строительства/эксплуатации аналогичных сложных сетей - и не обязательно с первой попытки. Многие (с реальным опытом) фейлят и вторую тоже. Нынче уже $1,600 USD per attempt, между прочим.
отличный промежуточный шажок к "стабильной зарплате" в восемьдесят килорублей, не правда ли (если ты еще умеешь сносно говорить по-кошачьи)?
Это, для непонявших, ведущая китайская компания на рынке телекоммуникационного железа такое на полном серьезе предлагает, видимо, расстраиваясь, что никак не попадается адекватный кандидат. Угадаешь, что там происходит в самом китае и у третьесортного китайтелекома?
Впрочем, китай в этом плане ничем от эрефиии не отличается, полагаю, что изрядная часть штатовских сетей уже тоже давно обслуживается индусскими "специалистами", с умением "грамотно подать резюме".
Never attribute to malice that which is adequately explained by stupidity.
| |
|
5.35, anonymous (??), 11:07, 30/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
>[оверквотинг удален]
> нет. Это умения (+теоретические знания, но это отдельно и там можно зазубрить).
> Восемь часов наедине со сложной сетью, в которой есть пачка проблем
> (найти причины и точное место - твоя задача), и другая пачка,
> побольше - "надо сделать", чеклист в руках, вперед. Сеть реальная, из
> настоящего железа. А, да - гугль во время тестов недоступен.
> Желаю тебе успехов тут что-то "просто зазубрить".
> Циска вот утверждает, что сдать может только человек с реальным опытом строительства/эксплуатации
> аналогичных сложных сетей - и не обязательно с первой попытки. Многие
> (с реальным опытом) фейлят и вторую тоже. Нынче уже $1,600 USD
> per attempt, между прочим.
Цискины экзамены большая часть людей сдаёт по дампам. Практический экзамен тоже дампится, только иначе (узнаются все варианты лабы и отрабатываются до посинения). Для меня давно CCIE значит примерно ничего - у всех знакомых пресейлов, даже путающих IGP и EGP он есть. Из экзаменов реально котируется JNCIE, на него дампы найти куда сложнее и там обычно люди всерьёз готовятся.
| |
|
|
7.37, anonymous (??), 12:46, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> В Нидерланды они тоже с дампами ездили?
Сами дампы никуда везти не надо, из зазубривают до экзамена и сдают без понимания. Как и лабу, поскольку их обычно всего 3-4 варианта и их сливают.
| |
|
|
5.41, mumu (ok), 15:28, 30/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А, да - гугль во время тестов недоступен.
А компутер дадут? Или только А4 из вторсырья? А на круглый люк посадят? А со сферическим конём переговариваться можно будет по рации?
| |
|
6.50, пох (?), 21:51, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> А, да - гугль во время тестов недоступен.
> А компутер дадут? Или только А4 из вторсырья? А на круглый люк
дадут ("только A4" будет перед этим, written test - этот просто чтоб не тратить на тебя электричество, если заведомо ничего не можешь), но там сеть только та самая - которую тебе настраивать надо (точнее, даже не она, а доступ к ее консолям). Мобилы, ноуты - оставляешь дома, "камера хранения не предусмотрена", деньги не возвращают.
раньше давали еще "univer cd" (без поиска ;-) но, в виду его феерической бесполезности в XXI веке, сейчас, похоже, и этого не дают. '?' в cli доступен, поскольку железки-то настоящие, но надо ж знать, чего '?'... Да и времени, на самом деле, не будет.
> посадят? А со сферическим конём переговариваться можно будет по рации?
как на любом экзамене - поймают - досвидос без права апелляции.
Какой ты нахрен "эксперт", если без гугля и рации сеть настроить не можешь? :-)
А что, захотелось попробовать? ;-) Там все честно - никакого "сдайте сперва экзамен на младшего помощника старшего протиральщика полок, потом поапгрейдите до второго заместителя" и т д на десять лет, нужны только бабки.
Индусы сдают. Ну, не все, и даже не каждый пятый, и не с первого раза.
Пользы вот только на нынешнем рынке труда от этого - никакой.
| |
|
|
|
|
|
1.5, Аноним (-), 19:56, 29/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
да лана, всюду видеть злой умысел. Китайцу досталась цискина методичка первого издания. Что в ней означают буквы и цифры, он своим изможденным разгадыванием графических ребусов мозгом ниасилил, тупо скопировал текст со страницы, надеясь, что волшебным образом это настроит ему bgp.
Еще лет семь назад, помнится, кто-то из 1st tier публиковал статистику (тогда - не используемых и не анонсируемых никем) потоков мусора на 1.1.1.1 и 2.2.2.2 - выглядело довольно смешно.
цискины индусы, кстати, по сей день не научились использовать в своей документации example network или хотя бы private диапазоны по назначению.
| |
|
2.11, Аноним (-), 20:32, 29/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Подтверждаю. Из-за некоторого железа, включая циски, 1.1.1.1 до сих пор у некоторых не работает по всему миру, т.к. там captive portal и прочая фигня. Остаётся только второй вариант, 1.0.0.1.
| |
|
3.18, пох (?), 21:09, 29/05/2018 [^] [^^] [^^^] [ответить]
| –5 +/– |
то есть вопрос не к профессионализму китайца, а к профессионализму желающих всех осчастливить "dns-over-shitls".
Любой человек, листавший когда-то на заре карьеры книжку Халлаби, должен был немедленно дать по рукам изобретателю этой идеи с "красивым адресом". (в Гугле, кстати, таких человек есть - furry там далеко не единственная, а она эту книжку точно читала, поэтому они и выбрали себе адреса, никем и никогда не использовавшиеся не по назначению)
| |
|
4.31, Аноним (-), 03:45, 30/05/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
С куяли по рукам автору идеи с красивым адресом? Это в цисковских книжонках использовали адреса которые не имели право использовать. Это авторов этих цисковских книжонок нужно бить по яйцам.
| |
|
5.49, пох (?), 21:33, 30/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> С куяли по рукам автору идеи с красивым адресом?
потому что дурак - он. Мир не устроен идеально, и отличие "я щас все найду в гугле" от грамотного инженера как раз в том, что инженер должен знать/соображать, на личном опыте, чего делать нельзя, хотя это нигде не написано. Но, как уже говорено, инженерам сейчас модно платить три копейки, поэтому имеем вот таких. Одни копипастят без понимания, другие не в курсе о том, что копипастят первые и что это явление стало массовым.
> Это в цисковских книжонках использовали адреса которые не имели право использовать.
я имею право писать на (своем, заметим, собственном) заборе абсолютно любые адреса, даже из трех букв. Что ты примешь это как руководство к действию - я могу и не предвидеть.
> Это авторов этих цисковских книжонок нужно бить по яйцам.
а, ню-ню...
| |
|
|
|
|
|
2.27, Аноним (-), 23:51, 29/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Сила китайцев! а это они еще даже не злые...
Им можно. Они кстати еще переодически сканируют весь инет (причем все порты) на наличие vpn серверов. Не знаю, в курсе ли педиковатые админы, но бородатые кто предоставляет vpn службы за деньги про это точно знать должны.
| |
|
1.7, Аноним (-), 20:11, 29/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну так же ж есть поддержка "DNS over TLS". Вот и нужно ее использовать
| |
|
2.20, loolz (?), 21:57, 29/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
не нужно использовать паблик днс, как все супер мега админы делают, забивая 8.8.8.8/1.1.1.1 везде где попало, настройте свой днс второго уровня смотрящий в корневые зоны, с верификацией если потдерживаетса.
Не нужно думать, что OpenDNS не взломают и вас не начнут наебывать
| |
|
3.25, Аноним (-), 23:19, 29/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> настройте свой днс второго уровня смотрящий в корневые зоны, с верификацией если потдерживаетса.
Конгениально. Как же все до этого раньше не додумались.
(вообще-то "нет", запросы на корневые могут, блин, обслудиваться много дольше, чем выбор правильных серверов для forward-инга)
| |
|
4.29, Crazy Alex (ok), 01:35, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Да плевать - у тебя закэшируются. Зато будешь использовать нормальную отработанную схему, а не работать подопытным кроликом не понять у кого.
| |
|
5.42, Аноним (-), 16:32, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Да плевать - у тебя закэшируются.
Да это-то понятно.
Но вообще, It's depend. Я делал и так, и эдак. И переключал тоже.
В одном случе лучше так, в другом - через правильно выбранных форвардеров.
И от внешних каналов зависит, и от многих других факторов.
| |
|
6.45, Аноним (-), 17:06, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Да плевать - у тебя закэшируются.
> Да это-то понятно.
> Но вообще, It's depend. Я делал и так, и эдак. И переключал
Правильно будет «It depends».
> тоже.
> В одном случе лучше так, в другом - через правильно выбранных форвардеров.
> И от внешних каналов зависит, и от многих других факторов.
Зависит от прямоты рук. Форвардер работает так быстро потому, что уже всё закэшировал, а не потому, что у него какие-то волшебные каналы.
| |
|
7.53, Anonymous_ (?), 02:55, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Правильно будет «It depends».
Да, это я лажанулся. Это, как оказалось, часто встречающаяся ошибка.
> Зависит от прямоты рук.
Да руки-то тут причём. И то, и другое настраивается в пол тыка.
> Форвардер работает так быстро потому, что уже всё закэшировал, а не потому, что у него какие-то волшебные каналы.
Ну это-то нифига не однозначно. Разные форвардеры ведь бывают.
А скорость ответов можно сравнить и на несуществующих доменах.
| |
|
|
|
|
3.30, arisu (ok), 02:44, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
берём dnscrypt, настраиваем три экземпляра с рандомной ротацией (желательно — сервера из разных пулов), проверяем совпадение ответов. более-менее защитит от ошибок конфигурирования пулов, а больше с централизованой системой всё равно не сделаешь.
| |
|
|
1.8, Аноним (-), 20:15, 29/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может был расчёт на то что браузер не ругается на плохой сертификат в днс?
| |
|
2.9, IB (?), 20:26, 29/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это какой браузер по умолчанию подписанный ДНС использует?
Страдать ещё лет 10, как до сих пор страдают хомячки с telnet по умолчанию на железках
| |
|
3.15, Аноним (-), 20:47, 29/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Кто покупает роутеры с алиэкспреса сами в этом виноваты. В нормальном оборудовании telnet не светит своей жопой в интернет.
| |
|
4.34, КО (?), 09:32, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Достаточно если он светит своей жопой браузеру, который работает изнутре и лазает наружу, остальное дело техники.
| |
|
|
2.13, Аноним (-), 20:38, 29/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Смотря о чём вы. Вообще в браузерах сейчас поддержки нет, кроме лисы (где пока надо вручную включать, в 60 ещё с багами, в 61 уже нормально). И в этом случае днс дело ОСи.
Из ОСей движуха пока слышна только в новом андроиде.
Ответить могу по поводу лисы. Она не будет ругаться на сертификат, подобно сайту, конечно, но и работать митм-днс не будет, проверки там есть (иначе нафиг такое бесполезное шифрование?). В зависимости от выбранного режима, либо вообще днс не будет работать, со стандартной ошибкой, либо откатится на легаси-днс.
| |
|
1.12, Нанобот (ok), 20:33, 29/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Я тоже раньше использовал адрес 1.1.1.1 для тестов, как адрес, который никогда не отвечает...Так что в злой умысел не верю
| |
|
2.16, Аноним (-), 20:52, 29/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Почему не используете рекомендованые адреса для тестов каких точно нет в интернете?
| |
|
3.22, пох (?), 22:11, 29/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
потому что "рекомендации" iana были совершенно невнятны в этом месте - и не содержали ни четких объяснений, чьи это "тесты", ни гарантий, что их таки нет и никогда не будет в интернете (я вот предпочитал читать их как "это тесты - самой iana, и их могут поанонсить с тестовыми целями, использовать нельзя никому и ни для чего")
а вот 1.1.1.1/2.2.2.2 были во-первых точно известно что никому не принадлежащими, во-вторых, одобрены циской (вообразить себе идиота, платящего миллионы чтобы заполучить такой адрес, еще лет десять назад было невозможно)
| |
|
4.33, Аноним (-), 08:11, 30/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> а вот 1.1.1.1/2.2.2.2 были во-первых точно известно что никому не принадлежащими
Точно никому не принадлежат только локальные адреса, а эти находятся в сегменте глобальных адресов. Если они не отвечают, не значит что они никому не принадлежат.
| |
|
5.48, пох (?), 21:28, 30/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
а для теста, сюрпрайз, иногда нужны нелокальные. Потому что далеко не всегда локальные дадут то, что нужно для тестирования бордера (где может быть acl, который исказит картину).
правда, для моих тестов обычно достаточно просто routable - пофиг, отвечающих или нет, но у других инженеров могли быть и другие идеи.
Печально известный пример, более понятный местной публике, явно далекой от сетей - чудесный сайт www.ru, принимающий мегатонны icmp и high-port udp траффика. Феерически бесполезный для своих владельцев (попробуй всунуть рекламу - в icmp ;-) и обходящийся настолько дорого, что первоначальный его владелец даже продать не сумел, отдал тем, кто вообще согласился забрать.
Можно сколько угодно рассказывать, что он не предназначен для тестирования. Но если ты его купишь в надежде озолотиться (или размещать сведения государственной важности, или нечто общественно полезное там сделать) - ты такой же точно дурак, как "авторы" идеи с 1.1.1.1
| |
|
|
|
|
1.14, Аноним (-), 20:38, 29/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да тут вообще шах и мат. Либо КНР беспредельствует с BGP и им это сходит с рук. Либо их отключают от инета, а им только этого и надо: "это не наше правительство вас отключило, а зарубежные партнёры-варвары".
BGP же особо и не заменишь: оно специально сделано на взаимодоверии и без него там никак, систему оперативно менять не получится, даже если переделать bgp на протокол с криптой, всё равно в доверие и злоупотребление им упрёмся.
Короче, самый оптимальный вариант - отключить контроллируемые КНР компании от интернета, а поставку инета в кнр возложить на компании вне юрисдикции КНР через спутник.
| |
|
2.43, F (?), 16:34, 30/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Завтра Украина с подачи США то же для рунета предложит. И будем жить двумя системами, ага, СССР-2.
| |
2.46, Аноним (-), 17:14, 30/05/2018 [^] [^^] [^^^] [ответить] | +2 +/– | Такое происходит каждый день по всему миру 8212 какие-то люди шлют каким-то д... большой текст свёрнут, показать | |
|
3.51, пох (?), 21:57, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Такое происходит каждый день по всему миру — какие-то люди шлют каким-то другим
> людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот,
самое смешное, что хрен с ними, чужими префиксами - но ведь и 0/0 умудряются не только принять, но и дальше раздать. Или сотенку тыщ /32
Сейчас вот еще стало модно полный список роснадзоровых блокировок поанонсить от себя ;-)
> Нет. RFC8205.
феерически мертворожденный.
| |
|
|
|
2.39, Аноним (-), 13:51, 30/05/2018 [^] [^^] [^^^] [ответить] | +3 +/– | К сожалению на хабре появление подобных статей не редкость Это рерайт, а не го... большой текст свёрнут, показать | |
|
3.40, Аноним (-), 14:46, 30/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Видомо успели отредактировать до полного удаления статьи. У меня было полное совпадение:
"Некоторые участники обсуждения не верят подобному объяснению (маловероятно, чтобы администратор крупного ISP совершил столь грубую ошибку при выборе адреса для тестирования) и считают, что инцидент является следствием оплошности при попытке организации перехвата трафика 1.1.1.1 на территории Китая в рамках деятельности "Великого китайского файрвола"."
| |
|
|
1.52, Аноним (-), 23:20, 30/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кто знает практикуется ли контролируемый анонс одной и той же си в разных частях мира. Для благих целей?
| |
|