GoogleのQUICの論文が知見の塊だった - ASnoKaze blog
20181107追記 QUICプロトコルについての概要は別途記事を書きました asnokaze.hatenablog.com 概要 ACM SIGCOMM 2017という通信系の学会に、Googleの人 総勢21人によって書かれた「The QUIC Transport Protocol: Design and Internet-Scale Deployment」という論文が提出され、学会ホームページより閲覧出来る。 この論文は、QUICの設計仕様と実際にGoogleのサービスにデプロイした結果について書かれている。 すでにGoogler SearchやYoutubeでQUICは有効になっており、一日あたり数十億の接続を処理し、Googleのegress trafficのうち30%がQUICになっており、インターネットのトラフィックの内7%がQUICだと推定されるという説明から論文は始まる。
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
@IT:DNS Tips:ゾーンファイルの書き方について教えてください
この中で、「クラス」にはいくつかの種類が存在しますが、「IN」(Internet) 以外を利用することはまずありません。また、リソースデータはタイプの違いにより複数の値が必要な場合があります。例えば「SOA」なら7つの値が、「MX」ならば2つの値が必要になります。 以下にBINDによるゾーンファイルの書き方を具体的に説明します。BIND以外の実装のネームサーバの場合は、ゾーンに含まれるデータは同じでもゾーンファイルの書き方は異なるものとなりますので、注意してください。 example.jp のゾーンファイルを例2に示します。example.jp.で始まる行がヘッダに当たる部分で、それに続いてns1.example.jp.等のexample.jpドメインに属する情報が記載されています。 この例ではリソースレコードが省略なくすべて記載されています。実際に管理者が作成するゾーンファイルではもっと
ドメイン名空間とゾーンについて知る (2/2)
ゾーンとオーソリティ ドメイン名空間のそれぞれのドメインは、1台以上のネームサーバを持つ。ネームサーバはドメイン内のホストのドメイン名とIPアドレスの対応を記述したデータベースを持つ。 このドメインのネームサーバが管理する範囲のことを「ゾーン(zone)」と呼ぶ。ゾーンとドメインはイコールではない。ドメインはサブドメインを含むが、通常、ゾーンはサブドメインを含まない。サブドメインは、サブドメインを管理するネームサーバのゾーンとなるのが普通だからだ。 ドメインを管理するネームサーバは、そのドメインを管理する権限を持っている。この権限を持っている状態を、そのネームサーバは「オーソリティ(Authority)を保持している」と表現する。オーソリティの範囲とゾーンはイコールである。また、ドメインを分割してサブドメインを作り(=ゾーンを分ける)、その管理の権限をサブドメインのネームサーバに任せること
SSL/TLS(Part.3)
これまで、暗号化アルゴリズムなどの前提知識はさほど必要としない部分を中心に説明してきたが、ここより先には、少しずつ暗号アルゴリズムに絡んだ話が増えてくる。ただ、RFCなどでは数式で表現されている内容も、できるだけ図示するように心掛け、可能な限りかみ砕いて説明していくので、あきらめずに読み進んでいただければと思う。 SSL/TLSにおけるセッションとコネクション SSL/TLSにおけるサーバとクライアント間での暗号化通信では、基本的にセッション型のモデルを用いる。通信の信頼性を高めるという考えに立てば、これは至って正当な考え方である。 セッション型の通信管理モデルを用いる場合、プロトコル内でセッション管理を行う必要がある。SSL/TLSでは、このために「セッション」と「コネクション」という、2つの管理すべき接続状態を規定している。最初にこの2者について説明しよう。 SSL/TLSを使い暗号化
Wiresharkのディスプレイフィルタ - 基本的な使用方法から、よく使うフィルタまで - - troushoo
Wireshakrのディスプレイフィルタの使い方を、基本的な使用方法から、よく使うフィルタまで紹介します。 【ディスプレイフィルタの基本的な使用方法】 ディスプレイフィルタは、”Filter”の欄にフィルタの構文を書き込むことで使用します。 例えば、IPアドレスが192.168.122.129のパケットのみを表示したいという場合は、”Filter”の欄に、”ip.addr == 192.168.122.129”と記入します。 【ディスプレイフィルタの構文】 上記の例で記述したように、ディスプレイフィルタを使用するには、ディスプレイフィルタの構文を書き込む必要があります。 このディスプレイフィルタの構文は、”Filter”をクリックすることでわかります。 以下のスクリーンショットは、”Filter”をクリックした直後に出てくるウィンドウです。 ”Display Filter”の行をクリックす
Juniper FireFlyを試してみる - すだちっこのOrdinary Days
ちょっとコンフィグの確認をしたいなという時にあると便利な仮想ルータの話です。 今回はJuniperのFireFlyについて書こうと思います。 各社の仮想ルータ ・Cisco CSR1000v ・Brocade Vyatta ・Juniper Firefly ダウンロード 上記リンクページからダウンロードします。 今回はOVAファイルをダウンロードします。 ダウンロード完了 インストール インストールを開始します。今回はVMPlayerを利用します。 VMPlayerを起動し、メニューからPlayer→ファイル→開くをクリック。 ダウンロードしてきたファイルを選択して開きます。 名前とストレージの場所を決めてインポートをクリック。 使用許諾契約書が出るので同意するをクリック。 インポートが始まります。 FireFly起動 インポートが完了したら仮想マシンの再生をクリックして起動します。 起動
サーバとL2スイッチの接続を冗長化する設計の基本 - GeekFactory
インフラを設計する上で冗長化による信頼性向上は避けて通れない道です。サーバとL2スイッチの接続を冗長化する設計については意外と情報が少ないのでまとめてみました。変なこと書いてたらご指摘ください。 インフラ設計の基本は単一障害点(SPOF)を取り除くことです。構成要素のうち1つが故障してもサービスを維持できるように設計します。構成要素は以下のものが挙げられます: CPU マザーボード メモリ ローカルディスク 電源 FC-HBA NIC LANケーブル L2スイッチ ・・・ ただし、これらすべての故障に備えようとすると費用対効果が割に合わないので、ローカルディスクから下を冗長化する構成が一般的と思います。絶対に止まってはいけないサービスは別ですけどね。 冗長化の種類 サーバを冗長化するにはクラスタを組みます。クラスタはActive-ActiveとActive-Standby(HA)の二種類に
フレックススタックとは( FlexStack-Plus )
◆ Catalystスイッチ - FlexStack-Plusとは FlexStack-Plusは、物理的に複数台のスイッチを論理的に1台の仮想的なスイッチとして動作させることが できる技術です。このFlexStack-Plusの機能は、Catalyst2960-Xシリーズで使用することができる機能です。 Catalyst3750-Xで使用可能な StackWise Plus と基本的に同じような機能であり、FlexStack-Plusによって スタック内の各スイッチのコンフィグを設定することなく複数台のスイッチを単一のコンフィグとして設定可。 Catalyst3750のStackWiseやCatalyst3750XのStackWise Plusではデフォルトでスタックケーブルを接続 するためのスタックポートが搭載されていますが、Cat2960XでFlexStackを使用する場合、デフォル
Open vSwitchの存在意義はOpenFlowだけじゃない - Plan9日記
最近、Open vSwitchについて調べたことを、某所でお話しする機会があったので少し忍ばせた(「I/O仮想化最前線」)。スライドのP37から数枚がそう。 Open vSwitchはOpenFlowに対応したソフトウェアスイッチということで大いに注目を集めたし、自分もそのコンテストで理解していた。だけど、おそらく最初からOpenFlowスイッチを作ろうという目的があったわけではなく、VMをホスティングするためのまともなソフトウェアスイッチが欲しいということでプロジェクトが開始したんじゃないかな。あまり昔のドキュメントが見つからなかったので、本当のところはわからないけど。 例えば、VLANを使ってテナント毎にトラフィックを隔離したいと場合も、レガシーブリッジよりも簡単に実現できる。add-portするときにtag引数を追加するだけだ。 # ovs-vsctl add-br br0 # ov
pingでMTUサイズを調査する
解説 ●ネットワークのMTUサイズとは ネットワークで通信を行う場合、(通常は)一度に送信可能なデータ(パケット)のサイズには上限がある。例えば、TCP/IPプロトコルで利用されているIPプロトコルでは、1つのIPパケットでは最大64Kbytesまでしか送信できない(IPv4の場合)。 しかし、このような大きなサイズのIPデータを1つのパケットで送信することのできる物理ネットワーク媒体はない。例えばイーサネット(および相互互換性を持つ無線LANなど)では、1パケット(1フレーム)のサイズは最大1500bytesだし、FDDI(光ファイバ)では4352bytesというのが普通である。 このように、一度に送信することができるデータのサイズを「MTU(Maximum Transmission Unit)」といい、ネットワークのプロトコルや媒体ごとに固有の値がある。 MTUサイズよりも大きなサイズ
WAFS(wide area file services)
WAFS(wide area file services)とは,WANを経由するファイル・アクセスの速度低下を防ぎ,LANと同様の使い勝手を実現する技術である。最近の企業ネットワークで関心を集めている注目の技術である。 WAFSは,ネットワーク経由のファイル・アクセスの中でも,とくに「CIFS」(common Internet file system)を利用するものを対象にしている。このCIFSは,Windowsが標準で備えるファイル・アクセスのプロトコルで,広く使われているWindowsのファイル共有を主な対象としている。 CIFSを使ったファイル・アクセスは,遅延の大きな回線を経由すると,回線の帯域にかかわらず,速度が遅くなってしまうという性質がある。CIFSは,パソコンのローカル・ディスクに対するファイル操作を,ほとんどそのままネットワークに持ち込んだプロトコルである。ローカル・ディ
ロードバランサーの配置デザインについて - NETWORK ENGINEER BLOG
一般的なロードバランサーの配置方法として、以下の2通りが考えられます。 Two-Arm(inline) 通信経路上にロードバランサーを配置するため、通信経路がわかりやすく構成がシンプルな事がメリットです。一方で、拡張に乏しく、ロードバランサーがボトルネックとなる可能性が注意点となります。 One-Arm ロードバランサーをスイッチに横付けで配置する方法です。 図のように、返りのトラフィックがロードバランサーを経由しない構成を DSR(DIrect Server Return)と呼びます。One-Arm 配置では、装置の性能を最大限に引き出せるほか、スイッチ側の VLAN 設定により、ロードバランサーとの接続を論理的に設定できるため、柔軟に構成の追加変更を行うことが可能です。注意点としては、サーバーの Virtual Interface(Loopback interface)にロードバランサ
インターネットエクスチェンジ - Wikipedia
インターネットエクスチェンジ(英: Internet exchange point)とは、インターネットの中核を成す施設であり、プロバイダ (ISP)、インターネットデータセンター (IDC) や、国家間の通信を交換するための相互接続ポイントである。略称 IXまたはIXP。インターネット相互接続点(インターネットそうごせつぞくてん)とも呼ばれる。 概略[編集] インターネットに接続するためには、インターネットに参加している他の全てのネットワークと接続するための回線が必要である。しかし、世界中のISPを直接相互接続することは不可能である[注釈 1]。そこでISPは、複数の接続回線を1つにまとめる、低コストで多数のISPと隣接関係を持つ、などの目的でIXに接続することにより、インターネットを構築している。技術的には、LAN接続と同様にレイヤ2スイッチを用いて、各ISPのボーダールーターを相互に
livedoor Techブログ : VRFでネットワーク構築
はじめまして。ネットワーク事業部のokuです。 「仮想化」というキーワードから連想する物にVMwareやXenなどあると思いますが、今回は少しレイヤを下げて、ネットワークの仮想化について書きたいと思います。これはVLAN(Virtual LAN)だけではなく、VRF(Virtual Routing and Forwarding)も使って社内ネットワークを論理的に分けた時のお話です。 ■背景 もともとlivedoorのオフィス拠点は都内2箇所に別れていました。 データセンターを中心とした活動を行う事業拠点と、主にポータルサイトのコンテンツ開発を行う事業拠点です。もちろん、この2拠点は専用線で接続し、互いにイントラ通信を可能としていましたが、業務特性の違いがあるため、運用ポリシーを別とし、物理的には分けたネットワークを構築していました。 (データセンター拠点を含んでいませんが、ここでは割愛しま
ルータ2台で始めるVRF入門(1) - # cat /var/log/stereocat | tail -n3
はじめに ネットワークの仮想化ごにょごにょとか言われちゃったりする昨今、皆様いかがお過ごしでしょうか。 ネットワークの仮想化と言えばまずまっさきに出てくるのが VLAN なのですが、これは L2 broadcast domain の仮想化と分離なわけです。キャンパスネットワークなんかだともう VLAN アタリマエでどこに行っても必ず使われているでしょうおそらく。で、もう少し最近になって使われている技術に VRF (VRF-Lite) があります。これは L3 Routing/Forwarding の仮想化ってことで、今回取り上げるのはこれ。こいつを、自宅 Lab の定番、Cisco 1812J を 2台つかって、基本設定と経路操作の話を見ていこうと思っています。 ちなみに、ざっと内容書いてみたらたぶん全6回くらいになります なりました。 第1回: VRF 基礎の基礎 第2回: VRF とダ
Try and Error | VRF-Liteで友人宅と接続
とある事情により自宅ラックな友人宅から自宅のローカルネットワーク内にあるサーバーに接続する必要が出たためCiscoのVRFLite(以下VRF)機能を利用しました。 ◆VRFとは VRFとはVirtual Routing and Forwardingの略で主にMPLS-VPNで使われているルーター仮想化技術です。 その中からMPLS関係を除きルーター仮想化技術を中心に簡素化して実装したものを「VRF-lite」とCiscoは呼んでいます。 L3レベルでルーターを論理的に分割し、それぞれが独立したルーティングテーブルやIPアドレスを持つことができます。 VRF-Liteはローエンドルーターにも実装されておりISRやL3のCatalystで利用することが出来ます。 ※ISRの場合Advipservice以上のフィーチャーのIOS、Catalystの場合はIPService以上のフィーチャーのI
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
The average web page has almost doubled in size since 2010 - Web Performance Today
[PDF]第4回 PPTPを使用したリモートアクセスVPNの仕組み![[PDF]第4回 PPTPを使用したリモートアクセスVPNの仕組み](https://cdn-ak-scissors.b.st-hatena.com/image/square/745dbedd5d4da3a92973ece57a841d4ca8af1646/height=288;version=1;width=512/https%3A%2F%2Fperfectdomain.com%2Fstatic%2Fimg%2Fupload%2Fseo-acquisition.png)
JPIX:日本インターネットエクスチェンジ株式会社