تغییر رفتار پیش‌فرض eBGP با RFC8212

پیرو Route Leakage‌های مختلفی که در دنیای اینترنت رخ داده‌است، و همینطور نیاز مبرم Service Providerها، از اواسط سال 2015، در IETF گروه GROW بحثی شروع شد مبنی بر طراحی یک رفتار پیش‌فرض BGP در رابطه با تبادل روت‌ها با همسایگان خارجی (eBGP).
همانطور که می‌دانید در RFCهای مرتبط با BGP، علی‌الخصوص RFC4271، تابحال توضیحی در رابطه با رفتار پیش‌فرض همسایه‌های eBGP در تبادل روت‌ها زمانی که Policy خاصی اعمال نشده، ارائه نشده است، و این امر باعث شده که هر وِندوری رفتار سلیقه‌ای داشته باشد.

فارغ از جزئیات، بعنوان نمونه می‌توان به مدل‌های پیاده‌سازی زیر اشاره کرد:

  • بطور پیش‌فرض دو همسایه eBGP، زمانی که Policy خاصی روی ارتباطات eBGP تنظیم نشده باشد، روت‌های انتخاب‌شده در BGP Table خود را به یکدیگر ارسال می‌کنند و از یکدیگر قبول می‌کنند.
  • هیچ روتی ارسال نمی‌شود و هیچ روتی قبول نمی‌شود (discard) مگر اینکه Policy متناسبی تنظیم شده باشد.
  • برخی پیاده‌سازی‌ها هیچ روتی قبول نمی‌کنند و فقط روت‌های مربوط به AS خود را advertise می‌کنند.

مثلاً در حالت مثال اول، یکی از مخاطرات ممکن زمانی است که یک AS ناخواسته ترانزیت ارتباط بین ASهای دیگر می‌شود (در RFC7908 توضیح خوبی درباره‌ی Lateral ISP-ISP-ISP Leak همراه با دو بررسی دقیق در قسمت منابع، ارائه شده) ادامه خواندن “تغییر رفتار پیش‌فرض eBGP با RFC8212”

DOTS، روشی جدید در مواجهه با حملات DDoS؟

این روزها حملات DDoS به بخش لاینفکی از دنیای اینترنت مبدل شده‌اند و روز به روز نیز در حال پیچیده‌تر و قوی‌تر شدن می باشند.
طبعاً شرکت‌های مختلفی وجود دارند که سرویس‌های DDoS Protection/Mitigation ارائه کرده و هر یک از آن‌ها نیز راهکارها و روش های خاص خود را دارند (گاهی نیز شبیه به هم).

جدای از بحث استفاده از تجهیزات مقابله با DDoS در شبکه‌ها، زمانی که از یک سرویس‌دهنده‌ی بیرونی استفاده می‌شود، بطور خیلی کلی، معمولا دو حالت پیاده‌سازی (با استفاده از BGP و Tunnel) وجود دارد (معروف به Diversion/Reinjection یا Offramping/Onramping):

  • کل ترافیک دائماً از طریق آن سرویس‌دهنده عبور داده شود و اگر حمله‌ای وجود داشته باشد، همانجا مانده و تنها (به اصطلاح) ترافیک پاک به شبکه برسد (Scrubbing).
  • فقط زمانی که شبکه تحت حمله قرار می‌گیرد، طی یکسری عملیات و تغییر routing، ترافیک ورودی به شبکه بجای آن که مستقیم از اینترنت به شبکه وارد شود، مانند مدل قبل به سمت یک سرویس‌دهنده هدایت شده و توسط آن بررسی شده و تنها ترافیک پاک به شبکه می‌رسد. این روش، به نوعی On-demand محسوب می شود و کل عملیات و تغییر روتینگ می تواند به صورت خودکار و یا بصورت دستی توسط یک اپراتور رخ دهد.

ادامه خواندن “DOTS، روشی جدید در مواجهه با حملات DDoS؟”

خواندنی: پروتکل‌های جدید باید IPv6 محور باشند

روز به روز تاکید بر مهاجرت به IPv6 داره بیشتر میشه؛ طبق آمار گوگل حدود ۱۴.۶ درصد ترافیک جستجوها تحت IPv6 هست.

گروه IAB هم IETF رو ملزوم کرده که در طراحی پروتکل های جدید وابستگی به IPv4 زیاد مدنظر نباشه و تمرکز بر طراحی حول محور IPv6 باشه.

IAB Statement on IPv6

IPv4 is OVER. Really. So quit relying on it in new protocols, sheesh

چی بخونم که بازارش خوب باشه؟

سلام! به کرّات از من این سوال پرسیده میشه که “چی بخونم؟” “چی یاد بگیرم؟” “کلاسِ چی برم؟” “بازار کارِ چه تخصصی خوبه؟” و من همیشه یک پاسخ میدم: “چیزی رو بخونین که بهش علاقه دارین“.
مطلب امروز صرفاً دیدگاه شخصی من در پاسخ به این سوال هست و سعی میکنم با توجه به حوزه‌ی کاری خودم در زمینه شبکه و امنیت، توضیحات مختصری هم در این رابطه ارائه کنم.
ضمناً روی صحبتم با افرادی هست که قصد متخصص شدن و پیشرفت دارند و نه یک کار روتین، چون بنظرم کار روتین تخصص لازم نداره. هیچ اشکالی هم نداره، هرکسی یک سبک زندگی رو دوست داره و این انتخاب کاملاً شخصی هست.

قبل از شروع بحث اصلی یکسری توضیحات در رابطه با وبلاگ و پاره‌ای از تغییرات عرض کنم:

  • هفته‌ی پیش یکی از بدترین اتفاقاتی که ممکنه برای دیتابیس MySQL بیافته برای وبلاگهای من افتاد و باعث شد مدتی خارج از سرویس باشن. به هرحال این مورد حل شد و تمامی Table ها مجدداً ریکاوری شدن بجز اون اطلاعاتی که مربوط به عزیزانی بود که عضو خبرنامه وبلاگ شدن. برای همین درصورت علاقه با استفاده از همین جعبه‌ی کوچولوی کنار صفحه، قسمت اطلاع رسانی، عضو خبرنامه وبلاگ بشین 🙂
  • همینطور که میبینین وبلاگ تغییرات ظاهری زیادی کرده؛ بررسی‌هایی کردم و به این نتیجه رسیدم که تا امکان داره وبلاگ رو سبک کنم و SEO / Google friendly.
  • به نصیحت برخی دوستان پیرو همه‌گیر شدن تلگرام در ایران، کانالی برای وبلاگ ایجاد کردم که با عضو شدن میتونین براحتی از مطالب جدید مطلع بشین. ID کانال networkz هست؛ میتونین براحتی با کلیک کردن در اینجا کانال رو ببنین.
چی بخونم که بازارش خوب باشه؟

من عقیده دارم اگر بتونیم به این خودشناسی برسیم که به چه تخصصی علاقه داریم، فارغ از بحث بازار اون رشته، در کنار داشتن پشتکار، همون علاقه باعث میشه که مسیر متخصص شدن در اون رشته رو خوب طی کنیم و به جایی برسیم که حرفی برای گفتن داشته باشیم. قطعاً وقتی کاری با علاقه باشه، انسان همیشه تشنگی به اون رو حس میکنه و دلش میخواد ادامه بده، یاد بگیره، یاد بده و حتی شاید بتونه نوآوری کنه!

بازار کار هم خودِش میاد؛ خودش هم نیاد شما میری بسمتش! اگر واقعاً به تسلط کافی در رشته‌ای برسیم و واقعاً حرفی برای گفتن داشته باشیم همیشه برای اون رشته بازار کار هست. اگر بازار کار کم باشه با سختی بیشتر شاید خودمون بتونیم با خلاقیت براش بازار کار درست کنیم. نکته‌ی خیلی تأثیرگذار در این زمینه خودشناسی هست و اینکه بتونیم خودمون و تخصصمون رو خوب پرزنت کنیم.

البته و صد البته که باید اینجا واقع بینی داشت و یک بررسی کوچولو (پارادوکس) کرد که در محیطی که قصد داریم نوآوری کنیم یا یک رشته ی خاص رو دنبال کنیم، تقاضای عمومی براش هست اصلا؟ آیا فرهنگ اون جامعه علاقه ای ممکنه به اون تکنولوژی یا مفاهیم اون رشته داشته باشه؟ اگه اینجوری نیس فکر میکنم بهتره راهی براش پیدا کنیم و یا اون مفهوم رو بومی سازی کنیم یا بدنبال نمونه ی مشابه و نزدیکی بگردیم که امکان جذب رو داشته باشه. البته بُعد زمان رو از یاد نبریم. نه ما باید زمان رو از دست بدیم نه این رو فراموش کنیم در طول زمان ممکنه یک فرهنگ جا بیافته. بنظرم تصمیم‌گیری در همچین شرایطی ارتباط مستقیم با علاقه و اهمیت شخصی ما به اون مفهوم و شرایط شخصی زندگی مونه داره. مهم اینه که زمان طلاس و وقتی می بینیم امکان بهبود و جاانداختن یک مفهوم نیست، وقت گذر هست. ادامه خواندن “چی بخونم که بازارش خوب باشه؟”