Hacker News Digest

Интернет-экспланты (IX) остаются важной частью сетевой инфраструктуры, работая как гигантские Ethernet-коммутаторы, которые обрабатывают трафик на уровне MAC-адресов. Однако многие сети подключаются к ним с небезопасными настройками по умолчанию, предназначенными для домашних или офисных сред, что приводит к утечке информации или уязвимостям.

Сервис bgp.tools отслеживает такие проблемы, собирая широковещательный и multicast-трафик с портов IX. Среди частых находок — протоколы идентификации устройств, такие как LLDP, CDP и MNDP, которые раскрывают детали конфигурации, имена устройств, IP-адреса и версии ПО, что может быть использовано злоумышленниками. Например, пакеты Mikrotik MNDP показывают точные данные о железе и софте, включая IPv4/IPv6-адреса.

• Обсуждаются примеры грубых ошибок в настройке сетей, включая замену управляемого коммутатора на неуправляемый для подавления STP BPDU.
• Участники объясняют концепцию точки обмена интернет-трафиком (IX) как специализированной LAN-сети для прямого соединения маршрутизаторов крупных провайдеров и обмена маршрутами через BGP.
• Поднимается вопрос о целесообразности использования протоколов вроде LLDP и STP на публичных сегментах сети IX, так как они могут представлять дополнительный риск.
• Отмечается распространенная проблема излишнего усложнения сетевых конфигураций и копирования непроверенных решений.
• Обсуждаются инциденты утечки служебного трафика или данных из-за ошибок конфигурации, приведших к мосту не предназначенных для этого сетей.

Коротко: домашний DNS на BIND

• Цель: локальный DNS для сети homelab.jhw, работающий без интернета.
• Сервер: Raspberry Pi 4 (inf01.homelab.jhw, 192.168.1.10) под Fedora 42.
• Сети: 192.168.1.0/24, 172.16.0.0/16, 10.88.0.0/16 (Podman).
• Форвардер: Fritz!Box 7490 (192.168.1.254) — чтобы резолвить DHCP-имена.

Установка

dnf install bind bind-utils
firewall-cmd --add-service=dns --permanent

Конфиги

• /etc/named.conf — слушаем 127.0.0.1, 192.168.1.10, 172.16.1.10, 10.88.0.1; форвард на Fritz!Box; отключён DNSSEC.
• Зоны:
  – forward.homelab.jhw → A-записи хостов.
  – reverse.homelab.jhw → 1.168.192.in-addr.arpa.
  – reverse2.homelab.jhw → 16.172.in-addr.arpa.

Пример forward.homelab.jhw

$TTL 86400
@   IN SOA  inf01.homelab.jhw. root.homelab.jhw. (
        2025082901 ; serial
        3600       ; refresh
        1800       ; retry
        604800     ; expire
        86400 )    ; minimum
        IN NS   inf01.homelab.jhw.
inf01   IN A    192.168.1.10
ca      IN A    192.168.1.10
hl01    IN A    192.168.1.11
hl02    IN A    192.168.1.12
hl03    IN A    192.168.1.13

Проверка

named-checkconf
named-checkzone homelab.jhw /var/named/forward.homelab.jhw
systemctl enable --now named
dig @192.168.1.10 ca.homelab.jhw

Готово: локальные имена резолвятся даже без интернета.

• Кто-то дома поднимает Technitium DNS в контейнере: DoH/DoT, блокировка рекламы, API — проще, чем Pi-hole.
• Другие предпочитают unbound (кэш/рекурсия) + nsd (авторитетный), dnsmasq (DHCP+DNS без перезапуска) или CoreDNS «всё-в-одном».
• BIND считают мощным, но громоздким: «много конфигов, как Gentoo»; PowerDNS и NSD выглядят проще.
• Внутренние зоны: .lan, .internal, .home.arpa или «публичный домен, но только в LAN» — спор о риске коллизий и TLS-сертификатах.
• Apple-устройства могут игнорировать «левые» TLD, если не добавить сервер в профиль или не внедрить собственный CA.
• Кто-то кодит DNS на коленке (dns4j), кто-то мечтает купить публичный TLD за 50 млн долларов, лишь бы не зависеть от регистратора.

Не выбирайте странные подсети для встраиваемых сетей, используйте VRF

Встраиваемая сеть — это, например, переносная стойка с видео- и сетевым оборудованием, которую подключают к сети площадки. Устройства внутри стойки должны общаться между собой, но перенастраивать их IP при каждой смене локации неудобно. Обычно добавляют маршрутизатор с NAT и используют простую подсеть вроде 10.0.0.0/24. Проблема возникает, если внешняя сеть площадки использует ту же подсеть — возникают конфликты. Люди начинают выбирать «редкие» диапазоны (172.16.42.0/24, 10.11.12.0/24), но конфликты всё равно случаются.

IPv6-решение
Использовать link-local адреса fe80::/64 и протоколы обнаружения (avahi). Маршрутизатор раздаёт маршруты, и внутренние устройства получают доступ в интернет. Недостаток: большинство встраиваемых устройств (аудио- и видеомикшеры) не поддерживают IPv6. Аналогичный IPv4-механизм APIPA (169.254.0.0/16) не даёт шлюза и интернета.

Универсальное решение
Вместо экзотических подсетей ограничьте «странность» настройками маршрутизатора. Используйте VRF (Virtual Routing and Forwarding), чтобы изолировать внутреннюю сеть и избежать конфликтов, не меняя адресацию устройств.

• Docker случайно выбирает подсеть RFC1918, которая может конфликтовать с корпоративной сетью; это частая проблема в AWS и вызывает головную боль при отладке.
• IPv6-поддержка всё ещё редка, поэтому обсуждают альтернативы: IPv4 link-local, CGNAT 100.64.0.0/10, «benchmark» 198.18.0.0/15 и даже выделение «мертвой» подсети.
• Некоторые просто используют VRF или VLAN, чтобы изолировать трафик и избежать конфликтов, хотя это требует понимания маршрутизации.
• Участники сомневаются, что IPv4 исчезнет скоро: у провайдеров его много, а стимул перехода на IPv6 минимален без внешнего давления.

IPv4 Games
Justine Tunney, 16 авг 2025

Сервис ipv4.games предлагает «захватывать» IP-адреса: достаточно установить TCP-соединение с виртуальной машиной Google. Игрок femboy.cat из Европы уже «забрал» 20 млн адресов (≈ 9 % IPv4-узлов по Censys). Как он это делает? Кто станет североамериканским конкурентом?

• «ipv4.games» считает IP «захваченным», если он хоть раз загрузил скрытый 1×1-пиксельный трекер; никаких проверок владения не требуется.
• 9 % — это 20 млн из ~220 млн IP, которые Censys видит с открытыми портами, а не из всего адресного пространства IPv4.
• Лидеры просто встроили трекер в популярные сайты, рекламу или npm-пакеты, заставляя посетителей «захватывать» IP за них.
• Версии о спуфинге X-Forwarded-For или массовом использовании прокси пока не подтверждены; сервер, судя по tcpdump, видит реальные TCP-сессии.
• Игра — это скорее маркетинговый трюк, чем показатель реального контроля над адресами.

• Используйте клавиши ↑ (Вверх) и ↓ (Вниз), чтобы переместить указатель к нужному загрузочному устройству.
• Нажмите Enter для попытки загрузки или Esc для отмены.

Параметры загрузки:

• Обычная загрузка Windows
• Установить Windows
• Встроенный NIC (IPv4)
• Встроенный NIC (IPv6)

Другие параметры:

• Настройка BIOS
• Конфигурация устройств
• Обновление прошивки BIOS
• Изменить режим загрузки

• Пользователи делятся ссылками на JS-клон Windows XP (win32.run) и настоящие эмуляторы (VirtualXP, v86).
• Все восторгаются ностальгией: звук загрузки, старый ключ продукта, кастомизация TweakXP.
• Замечены неточности клона: шрифты, тени, отсутствие Pinball, «быстрая» загрузка, Python 3 вместо 2.x.
• Кто-то шутит, что запустит сайт на полный экран в офисе, чтобы напугать IT.
• Общий вывод: XP — пик дизайна и функциональности, но перед нами всё-таки симулятор, а не настоящая система.

• В 70‑х некоторые системы (например, PDP‑10) имели 9‑битовые байты, но стандарт закрепился за 8 битами. Если бы байт был 9‑битным, ряд исторических случайностей сыграли бы нам на руку.

• IPv4: при 9‑битовых байтах адрес IPv4 был бы 36‑битным (~64 млрд адресов). Этого хватило бы до 2030‑х без массового NAT и тормозов с IPv6; позже проблему решили бы мягкими рыночными механизмами.

• UNIX time: 32‑битные метки ломаются в 2038, а 36‑битные прожили бы до 3058. Отрицательные охватывали бы времена с 882 года — достаточно для исторических нужд.

• Юникод: вместо 16‑битных 65 тыс. символов было бы 18‑битных 262 тыс. — хватило бы без болезненной унификации CJK; сейчас всех символов ~155 тыс. UTF‑9 стал бы скорее компрессией и уступил бы GZip; либо однобайтно‑двухбайтная схема при умеренной экономии на эмодзи.

• Указатели и память: 36‑битные ОС дали бы до 32 ГБ на процесс (вместо 2 ГБ у 32‑битных). Серверы всё равно виртуализируют; меньшие указатели экономят память и ускоряют код, хотя строки стали бы длиннее — общий баланс близок к нулю.

• Прочие выигрыши:

  • 18‑битные AS‑номера не иссякли бы; порты/PID/UID просторнее.
  • Кодирование инструкций x86/A64 чуть опрятнее; Thumb работал бы лучше.
  • Полуточные 18‑битные числа прижились бы раньше; экзотика 4–5 бит не взлетела бы.
  • Расширенный ASCII влез бы с греческим и стал бы «натовской» кодовой страницей; UTF‑9 привилегировал бы почти всю Западную Европу.
  • Права Unix умещались бы в один байт (без «липких» битов). Оctal стал бы нормой вместо hex.
  • 18‑битный цвет 6/6/6 даёт различия на грани восприятия; потеря альфа‑канала неприятна.

• Издержки? Существенных нет: адресация по битам не используется; деления на девять не требуется; размеры страниц/блоков ОС могли бы остаться прежними, ядру не пришлось бы менять основы работы.

• Обсуждение крутится вокруг гипотетического мира с 9-битными байтами: часть участников отмечает аппаратную неудобность непоказательных (не 2^n) размеров и сложность для мультипликаторов, адресации и сдвигов.
• Скептики считают аргументы «добавим по одному биту и всё станет лучше» натянутыми: решения о размерах всё равно принимались бы иначе, а выигрыш в 12.5% не компенсирует издержки и усложнение.
• Приводятся исторические примеры: PDP-8/10 с 12/36-битными словами, 6-битные коды, термин «octet» для однозначности; упоминается даже N64 с «внутренними» 9-битными байтами для GPU.
• По сетям: 36-битный IPv4 дал бы ~64 млрд адресов, но это лишь отсрочка дефицита; проблемы ASLR и безопасности 32-битной адресации 36 битами решаются слабо, переход на 64 бита всё равно был бы.
• Есть идеи альтернатив: 10-битные байты, тернарные системы, 9-й бит как признак продолжения для варинтов/инструкций, либо как служебный (ECC/контроль/метка данных).
• Отмечают экономику кремния: лишние провода/логика удорожают дизайн; если уже расширять шину, логичнее идти к степеням двойки (например, к 16 битам на «байт»).
• Итоговый тон дискуссии: 9 бит могли бы немного смягчить отдельные «почти-не-хватает» пороги (16/32-бит), но в целом это привнесло бы больше сложностей, чем пользы; ключ — лучше прогнозировать размеры, а не «маскировать» ошибки лишним битом.