什么是DNS Flag Day: DNS flag day是由google，ISC(BIND), PowerDNS，思科，Cloudflare等诸多国际知名DNS服务提供商联合发起的一项关于不再继续采取 "EDNS error workaround"措施的活动。 DNS flag day 背景： EDNS是对DNS协议的扩展补充（RFC6891），必须DNSSEC，Client Sub net，支持大于512字节DNS响应等都是通过EDNS(Version=0）来实现扩展支持的。但是一直以来，很多DNS的权威域名服…

bigip cc 总是使用node internal ip 导致fdb设置错误

1Workshop-GTM-产品原理及配置.pptx 2Workshop-GTM-核心进程介绍.pptx 3Workshop-GTM-monitoring.pptx 4Workshop-GTM-同步原理iquery.pptx 5Workshop-GTM-Zonerunner-Bind.pptx 6Workshop-GTM-Topology.pptx 7Workshop-GTM-部署方案讨论.pptx 8Workshop-GTM-v11版本变化.pptx 9Workshop-GTM- dnsExpress_dnsca…

Container-Networking-Docker-Kubernetes 来自Nginx，O'REILLY PRODUCTS. 点此下载

ASM用户，攻击会被已有的signature阻挡。  

[crayon-642161974ae61296294042/] [crayon-642161974ae65623195942/] openstack stack create -t deploy-lb.yaml -e deploy-lb-params.yaml f5-heat-stack

Last update from July 20th, 2015 - I gave a tech talk at Airbnb office related to this topic. you may find the presentation here at my github In these days where microservices are becoming big, a compulsory modification of traditional architectural approaches …

k8s version: 1.6.7 无CNI [title]1. 创建Service Account[/title] [crayon-642161974af61039591973/] kubectl create -f nginx-ingress-sa.yaml [title]2. 绑定sa到role[/title] [crayon-642161974af65623509775/] 注意这里随意给了一个较高的角色 kubectl create -f nginx-ingress-sa-role-binding.ya…

HTTP slow http request , slow http post, slow http reading. 统称 SHA 各自原理这里不再描述。简述F5防御方法: slow request HTTP profile自身可防御，如果需要快速主动断开连接，可配合irule slow post 使用ASM，V13之前通过调整系统全局的internal的slow transaction 两个参数防御。In version 11.3.0, the ASM module's low-and-slow prevent…

F5 bigip自11.5.0版本后增加了socks profile的支持，即可以利用LTM提供socks4,4a以及socks5的服务。socks位于OSI模型的会话层上,可以透明的为TCP或UDP提供中转代理服务。 [title]socks profile配置项含义[/title] protocol versions：选择需要支持的协议版本，可以为4，4a，5，默认则全部支持 DNS resolver：一个需要提前在网络部分配置好的resolver（只需配置resolver，无需配置系统级的DNS IP），以提…

[title]CC简介[/title] 前面安装部署了k8s集群环境，看上去工作正常，下一步在k8s内安装F5公司发布的container connector，也叫F5 CC。CC是一个开源的F5产品，主要目的是通过在k8s集群内运行一个k8s-bigip-ctlr pod实例，通过定义一个config map实现将k8s的service或者pod配置到F5 BIGIP产品上，实现集群环境内业务南北向流量的外部发布，从而实现对业务的对外发布并充分利用F5 BIGIP产品的丰富功能，例如LB,SSL,WAF,火墙，抗…

思路： k8s内使用headless service，service配置文件中配置selector，这样k8s内部的dns服务将把endpoint的IP作为 A记录到相关服务的名称下 让F5可以使用k8s的DNS 服务 在F5内使用FQDN方式配置pool，这样F5将自动获取所有k8s内的endpoint   优点： 不用关心容器内复杂的服务调度及iptables 无需使用api来创建F5配置 F5直接将流量送给endpoint效率高 endpoint内容器的健康性、扩展性由k8s负责，未被破坏,F5 m…

近日国内安全公司发现Apache struts 出现基于content-type的value的远程可执行漏洞，由于漏洞不需要实质性的上传文件，普通的经过构造的请求都可以简单的实现攻击，因此危害较大。 针对此漏洞，BIGIP可以帮助客户快速部署防御措施，以下进行简单总结。 注意，由于攻击可能存在各种各样的变形特征，考虑到尽可能少的误杀，以及规避尽可能的逃逸技术，以下irule内容是在和Support安全工程师Bean以及SDM Jobs经过反复讨论及测试后的结果，非常感谢Bean搭建攻击环境及反复斟酌测试。 防御措施…