😯 Tcpdump на разных уровнях: анализ и перехват трафика

Tcpdump знакома любому сетевому администратору, с ее помощью мы собираем трафик для последующего анализа. Типичная история – собираем трафик, приходящий на нужный интерфейс и затем уже анализируем его Wireshark.

— Не секрет, что утилита Tcpdump не интерпретирует протоколы прикладного уровня, ограничиваясь работой с транспортным уровнем. Однако, в этой статье мы рассмотрим различные варианты использования утилиты Tcpdump для более глубокой фильтрации трафика.

↘ habr.com

#TCP #Linux | 😊 @iscode

🥷 Джонни вещает: удаляем файлы с Linux правильно

Пользователи Linux наверняка знают, что удаление файлов стандартными методами — не очень то и надежное дело. При удалении файлов на операционной системе Linux данные все равно остаются на накопителе, ведь стираются только иноды — индексные дескрипторы, содержащие метаинформацию о файлах.

🗑 Единственный плюс от такого метода — восстановить данные не составляет больших проблем, но сегодня я расскажу несколько рабочих способов, как удалять данные навсегда.

1. Shred: CLI-утилита shred дает возможность перезаписывать удаленный объект случайным набором данных, что скрывает его содержимое. Обратите внимание на два важных параметра в этой утилите: -n (количество циклов перезаписи, а также -z (перезапись участка на последнем проходе нулями для скрытия факта перезаписи).

2. Secure-delete: У CLI-утилиты secure-delete в наличие 3 основных режима:
1. sfill - перезапись "свободного места на диске".
2. sswap - перезапись данных в swap-пространства.
3. srm - самый надежный аналог команды удаления rm с перезаписью освободившегося пространства.

3. DD: Самый тяжелый, но верный способ перезаписи свободного пространства с помощью встроенный утилиты Linux, которая позволяет создать большой по объему файл, состоящий либо из случайных данных, либо из нулей.

🖥 Команда для перезаписи свободного пространства следующая:

sudo dd if=/dev/zero of=/dev/<disk identifier> bs=4k

Существуют и другие инструменты для удаления файлов, но с вами поделился самыми надежными эффективными. Думаю, я заслужил реакции 🎙

#Linux | 😊 @iscode

🥷 Джонни вещает: 10 полезных команд в Linux для сетей LAN и WI-FI.

Джонни специально для вас сделал памятку команд, которые помогут рабочему процессу на операционной системе Linux в сетях LAN И WI-FI. Прошу к ознакомлению, друзья🐀

whois www.example.com — Вывести информацию о доменном имени из базы данных whois

tcpdump tcp port 80 — Вывести весь трафик на TCP-порт 80 (В частых случаях это HTTP)

dhclient eth0 — Включить DHCP на сетевом интерфейсе eth0

ethtool eth0 — Вывод статистики по сетевому интерфейсу eth0

ifconfig eth0 — Вывести настройки сетевой карты eth0

ifconfig eth0 promisc — Переключить интерфейс eth0 в promiscuous-режим для сбора сетевых пакетов

ifup eth0 — Включить сетевой интерфейс eth0

iwlist scan — Сканирование и поиск беспроводных сетей и точек доступа

route add -net 0/0 gw IP_Gateway — Назначить ip-адрес шлюза по умолчанию

route del 0/0 gw IP_gateway — Удалить ip-адрес шлюза по умолчанию

#Linux | 😊 @iscode

🥷 Джонни вещает: NAT в сетях

Сегодня я не буду вас мучать сложной информацией, а разберу простенькую технологию NAT.

NAT - это процесс изменения IP-адресов в пакетах данных, проходящих через маршрутизатор или брандмауэр. Он работает таким образом, чтобы скрыть реальные IP-адреса устройств внутри локальной сети, заменяя их на публичный IP-адрес.

🗂 В NAT существует специальная таблица, где хранится вся информация о соответствии внутренних и внешних IP-адресов. Имя ее - NAT таблица.

Перейдем к типам NAT:

— Static NAT (SNAT): Полное соответствие внутренним и внешним IP-адресом. Каждому внутреннему IP-адресу соответствует единственный внешний IP-адрес.

— Dynamic NAT: Несколько внутренних IP-адресов соответствуют выбору внешних IP-адресов, которые выделяются при запросе.

— PAT (Port Address Translation): Здесь используется единственный внешний IP-адрес для всех устройств в локальной сети с отличием по портам.

Это все интересно, но какая от нее польза?🐹

Невероятно большая, друзья:

1. Самое главное - безопасность 💡
NAT скрывает внутренние IP-адреса и делает прямые атаки на устройства сложнее. Если короче, NAT - вершина айсберга нашей защиты.

2. Экономия IP-адресов
С помощью NAT компании экономят ресурсы, используя меньше публичных IP-адресов.

3. Поддержка старых устройств.
Старые устройства совместимы с NAT, что позволяет их использовать в современных сетях.

Все легко и просто, что заслуживает отдельной похвалы в виде реакций 💵

#NAT #IP | 😊 @iscode

📖 AlphaBay: Как ошибка в Opsec привела к поимке «короля» даркнета 

Alphabay — огромный даркнет-маркетплейс, стал символом эпохи «темного» интернета. Его создание - результат стремления к анонимности, которое в итоге привело к катастрофическим последствиям.

Alphabay предлагал убежище для преступников, где они могли продавать наркотики, оружие и украденные данные. Но за анонимностью скрывался Александр Казес - тот самый Alpha02, администратор сайта, только он не учёл важность Opsec - что его и погубило.

↘ teletype.in/@secur_researcher/opsec

История Alphabay - наглядный пример того, как одна ошибка может перечеркнуть всё, под катом вас ждёт увлекательная история, наполненная сюжетными переворотами.

#OPSEC #OSINT | 😈 @secur_researcher

🥷 Джонни вещает: пишем более читаемый текст в терминале Linux

Джонни столкнулся с неприятной штукой, что в Linux вывод текста файлов вылезает за экран, и приходится бесконечно листать по бокам. Хочется же сделать так, чтобы вывод текста был немного поуже в ширину.

🔍 Слава богу, решение нашлось - утилита fold.

Fold - утилита в системе Linux, которая урезает длину строки в выводе, что помогает нам сделать процесс удобным. Большинство терминалов имеют ширину экрана 80 символов в строке, что вызывает ужасные чувства при работе.

Применяем Fold на практике:

— Создаем файл /tmp/fold.txt и заполняем его любым текстом, чего душа желает: vim /tmp/fold.txt. Теперь выведем содержимое файла обычной командой cat: cat /tmp/fold.txt

🔋 Проблема решена, но сделаем еще комфортнее - укоротим каждую строку. Выводим текст, ограничивая длину строки в 40 символов, используя команду fold: fold -c40 /tmp/fold.txt

#Linux #Terminal #Tools | 😊 @iscode

🥷 Джонни вещает: реверс сокс-прокси

Если предыдущий пример вам показался простым и очевидным, то попробуйте догадаться, что сделает этот пример:

🆘 Для понимания ситуации, пример ниже будет ссылаться на вот эту схему (click)

ssh -D 8080 -R 127.1:8080:127.1:8080 user@8.8.8.8 ssh -R 127.1:8080:127.1:8080 user@10.1.1.2

Если вы офицер безопасности, задача которого запретить использование интернета на сервере 10.1.1.2, то можете начинать выдёргивать волосы на попе, ибо эта команда организует доступ в интернет для сервера 10.1.1.2 посредством сокс-прокси, запущенного на компьютере «А».

📠 Трафик полностью зашифрован и неотличим от любого другого трафика SSH. А исходящий трафик с компьютера с точки зрения сети «192.168.0/24» не отличим от обычного трафика компьютера А.

#Socks #Proxy

🥷 Джонни вещает: утечка DNS

Джонни срочно выходит на связь с важной информацией: DNS-запросы могут идти в обход вашей прокси, впна или TOR-подключения.

🕹 То-есть, напрямую к DNS-серверу вашего интернет-провайдера, что приведет к раскрытию вашего реального местонахождения

Для начала поймем, что такое DNS сервер и для чего он нужен: Когда вы заходите на крупный сайт, например на google.com, то заходите не по имени сайта, а по IP-адресу. Но вы же не будете постоянно водить этот сложный набор цифр, верно?

— Для этого и придумали вход по текстовому имени, а не по IP. Как раз здесь и приходят на помощь DNS-серверы. Когда вы прописываете google.com, то отправляете запрос на этот сервис, который преобразует текст в IP и перенаправляет на сайт google.com.

🔍 А теперь к сути: утечка, Вы можете использовать анонимайзер, который спрячет айпишник. Но запросы он делает к тому-же DNS серверу. Ситуация палевная: по IP вы находитесь в CША, а по DNS в России, на своем провайдере. Всё, что необходимо в таком случае, использовать файерволл с резольвингом DNS.

#DNS #Leaks #IP | 😊 @iscode

📝 Разбор квиза: NQ Тип IPv6 Unicast адреса

🥷 Джонни приветствует! Наши коллеги по цеху приготовили для вас разбор вышедшего вчера квиза, ребята подают информацию в интересном формате, советую подписаться @network_quiz

Рассмотрим все типы IPv6 Unicast адресов:

▫️ Global Unicast - 2000::/3

Аналогичен публичным адресам IPv4, которые маршрутизируются в Интернете. В настоящее время для Global Unicast могут использоваться только первые три бита IPv6-адреса (001).

▫️ Link-Local - fe80::/10

Используются для связи внутри одного канала и не маршрутизируются за пределы этого канала. Могут генерироваться или устанавливаться вручную на оборудовании IPv6. Генерация производится либо рандомно, либо с помощью метода EUI-64.

▫️ Loopback - ::1/128

Для проверки стека протоколов TCP/IP на сетевом адаптере, или другими словами - для отправки пакета самому себе. Адрес не может быть назначен на физический интерфейс.

▫️ Unspecified - ::/128

Не должен назначаться на интерфейс и может быть использован только в качестве IPv6-адреса источника в пакете IPv6. Такая ситуация может возникнуть в случае, если пакет будет сгенерирован устройством, ещё не изучившим свой IPv6-адрес.

▫️ Unique Local - fc00::/7

Есть что-то схожее с частными (private) IP-адресами, которые не маршрутизируются в Интернете и используются только внутри локальной сети. Но нюанс в том, что Unique Local IPv6-адрес не может быть преобразован в Global Unicast. Например, такой адрес можно назначить устройству, который должен быть доступен внутри локальной сети, но которому никогда не нужно выходить в Интернет.

▫️ Embedded IPv4 - ::/80

Используются для перехода с IPv4 на IPv6. В поле IPv6-адреса последние 32 бита выделены под IPv4-адрес.

#netquiz_explanation #netquiz_ipv6_address

👤 Автор разбора квиза наши коллеги с канала: @network_quiz

🥷 Джонни вещает: шпаргалка по OpenSSL

Пока школьники и студенты используют шпаргалки для экзаменов, мы используем их для работы с OpenSSL 🔬

1. Просмотр сертификатов
Просмотреть сертификат из файла: openssl x509 -noout -text -in 'certfile.cer'

Просмотреть сертификат на порту: echo | openssl s_client -showcerts -connect 4te.me:443 </dev/null | openssl x509 -text | less

2. Ключи
Прочитать файл ключа: openssl rsa -text -in privkeyfile.pem -noout

Извлечь публичный ключ из файла: openssl rsa -in privkeyfile.pem -pubout

3. Цифровая подпись
Создание цифровой подписи: openssl dgst -sha256 -sign ./rsa_private_key.pem -out ./signature.bin ./message.txt

Проверка подлинности цифровой подписи: openssl dgst -sha256 -verify ./rsa_public_key.pem -signature ./signature.bin ./message.txt

#OpenSSL #commands | 😊 @iscode

⌨️ Большая подборка вопросов с собеседований: Системного администратора Linux/Devops

Дядя Джонни снова с вами, не надо плаки плаки, я вам делаю нормолдаки(немного оффтопа от веселого админа) итак, полезная подборка актуальных задач и вопросов с собеседований, которые помогут вам подготовиться как к практике, так и к теории и получить работу.

1. Вопросы для интервью системного администратора Linux/DevOps
2. Вопросы системного администратора
3. 100 важных вопросов на собеседовании по Linux с ответами
4. Подборка вопросов для собеса с системным администратором Linux/DevOps
5. Дополнительные вопросы для собеседования с системным администратором
6. Полезный материал для подготовки к собеседованию на должность инженера DevOps: Исчерпывающее руководство

#Linux #DevOps #SysAdmin #Interview

🥷 Основы DNS: работа DNS-request'a

С SSH мы закончили, теперь переходим к новой и не менее интересной теме - DNS, процесс начинается с того, что ваш компьютер или устройство отправляет запрос на ближайший DNS-сервер, который обычно предоставляется вашим интернет-провайдером. Этот сервер называется рекурсивным резолвером.

— Если этот сервер знает нужный IP-адрес, он возвращает его вашему браузеру. Если нет, запрос передается на другие DNS-серверы, пока не будет найден правильный адрес.

🕹 Для наглядности представьте, что вы ищете дом example.com:

1. Локальный кеш: сначала браузер проверяет свой локальный кеш на наличие записи для example.com. Если она найдена, используется закешированный IP-адрес.
2. Рекурсивный резолвер: если записи нет в локальном кеше, запрос отправляется на рекурсивный DNS-сервер. Этот сервер выполняет роль посредника, который ищет нужную информацию, обращаясь к другим серверам.
3. Корневые серверы: если рекурсивный сервер не знает IP-адрес, он отправляет запрос на один из корневых серверов. Корневые серверы знают, какой сервер отвечает за каждый домен верхнего уровня (TLD), такой как .com, .net, .org и так далее.
4. Сервер TLD: корневой сервер отвечает, какой сервер управляет доменом .com, и рекурсивный резолвер отправляет запрос на этот сервер.
5. Авторитетный сервер: сервер TLD (например, для .com) отвечает, какой сервер управляет доменом example.com. Рекурсивный резолвер направляет запрос на авторитетный DNS-сервер для example.com, который содержит точные данные о домене.
6. Возвращение IP-адреса: авторитетный сервер возвращает IP-адрес, связанный с example.com, рекурсивному резолверу, который, в свою очередь, возвращает его вашему браузеру.
7. Подключение к веб-сайту: теперь, когда браузер знает IP-адрес, он может отправить запрос непосредственно на сервер, чтобы загрузить содержимое веб-сайта.

❗️ Итак, всё по старому — жду ваших реакций и делаю пост про иерархию DNS

#DNS #Request | 😊 @iscode

🥷 Основы DNS: иерархия

DNS построен по иерархическому принципу, который обеспечивает надежность и масштабируемость системы.

- Каждый из этих уровней играет важную роль в обеспечении надежной и эффективной работы DNS-системы. Корневые серверы, сервера TLD и авторитетные серверы работают вместе, чтобы обеспечить быстрое и точное разрешение доменных имен в IP-адреса.

🕹 Иерархия DNS включает несколько уровней:

1. Корневые серверы: на вершине иерархии находятся корневые серверы. Эти серверы являются начальной точкой для всех DNS-запросов. В мире существует всего 13 корневых серверов, но каждый из них дублирован на множество серверов по всему миру для обеспечения надежности и доступности. Корневые серверы содержат информацию о доменах верхнего уровня (TLD) и направляют запросы к соответствующим серверам.

2. Домен верхнего уровня (TLD): под корневыми серверами находятся сервера доменов верхнего уровня (TLD), таких как .com, .net, .org, .ru и другие. Эти сервера управляют определенными доменными зонами. Например, сервер для домена .com знает, какие авторитетные серверы управляют доменами второго уровня в зоне .com.

— Серверы TLD обеспечивают организацию и управление доменами верхнего уровня и направляют запросы к авторитетным серверам, которые содержат детальную информацию о доменах второго уровня.

3. Авторитетные серверы: на следующем уровне находятся авторитетные DNS-серверы. Эти серверы содержат информацию о конкретных доменах и отвечают на запросы о них. Например, авторитетный сервер для example.com содержит записи, которые указывают на IP-адреса, связанные с этим доменом.

— Авторитетные серверы предоставляют окончательную информацию, необходимую для завершения DNS-запроса.

4. Рекурсивные резолверы: резолвер - это важный компонент системы доменных имен (DNS), который служит посредником между конечным пользователем и сетью DNS-серверов, обеспечивая преобразование доменных имен в IP-адреса. Когда пользователь вводит адрес веб-сайта в браузере или запускает приложение, которое требует доступа к интернет-ресурсам, запрос на преобразование доменного имени в IP-адрес отправляется именно рекурсивному резолверу.

— Резолверы получают запросы от пользователей и выполняют весь процесс поиска нужной информации, обращаясь к другим DNS-серверам. Начинают они с корневых серверов, затем обращаются к серверам TLD и авторитетным серверам, пока не найдут нужный IP-адрес. Рекурсивные резолверы часто предоставляются интернет-провайдерами (ISP) или публичными сервисами, такими как Google Public DNS или Cloudflare DNS. Они кешируют ответы на определённое время, чтобы ускорить последующие запросы к тому же доменному имени.

❗️ Итак, всё по старому — жду ваших реакций и делаю пост про записи DNS и их типы.

#DNS

🥷 Джонни вещает: записи DNS и их типы

Начнём вообще с того, что они представляют из себя основные элементы, которые хранятся на DNS-серверах и обеспечивают маршрутизацию трафика, управление электронной почтой, верификацию данных и др. функции, необходимые для работы интернета 🖥

— Различные типы записей DNS выполняют специфические задачи, обеспечивая эффективное управление и работу доменов. Вот подробное описание наиболее распространенных типов записей DNS:

1. A-записи:
· Функция: преобразование доменного имени в IPv4-адрес.
· Пример использования: при вводе в браузере адреса example.com, A-запись может указать на IP-адрес 192.0.2.1.
· Особенности: A-записи являются основными записями для большинства доменов, связывая доменные имена с их соответствующими IP-адресами.

2. AAAA-записи:
· Функция: преобразование доменного имени в IPv6-адрес.
· Пример использования: для домена example.com, AAAA-запись может указать на IP-адрес 2001:0db8:85a3:0000:0000:8a2e:0370:7334.
· Особенности: используются для обеспечения поддержки IPv6, нового стандарта IP-адресов, который обеспечивает более широкий диапазон адресов по сравнению с IPv4.

3. MX-записи:
· Функция: определение почтовых серверов, ответственных за прием электронной почты для домена.
· Пример использования: MX-запись для example.com может указывать на сервер mail.example.com с приоритетом 10.
· Особенности: включают приоритет, позволяя указать резервные почтовые серверы. Серверы с более низким приоритетом (большим числом) используются, если серверы с более высоким приоритетом недоступны.

4. CNAME-записи:
· Функция: создание алиасов для доменов, перенаправление одного доменного имени на другое.
· Пример использования: CNAME-запись для www.example.com может указывать на example.com.
· Особенности: полезны для упрощения управления доменами и их перенаправления. CNAME-записи не могут существовать одновременно с другими записями для одного и того же домена.

5. TXT-записи:
· Функция: хранение текстовой информации, используемой для различных целей.
· Пример использования: TXT-записи часто используются для верификации домена, для SPF-записей для предотвращения спама, или для DKIM и DMARC для проверки подлинности электронной почты.
· Особенности: гибкость использования, возможность включения различных текстовых данных для множества различных применений.

6. SRV-записи:
· Функция: указание на серверы, предоставляющие определенные услуги, такие как VoIP или IM.
· Пример использования: SRV-запись для протокола SIP может указывать на сервер sip.example.com с определенными параметрами приоритета и веса.
· Особенности: используются для указания конкретных сервисов, поддерживают параметры веса и приоритета для балансировки нагрузки и отказоустойчивости.

7. NS-записи:
· Функция: определение авторитетных серверов имен для домена.
· Пример использования: NS-запись для example.com может указывать на ns1.example.com и ns2.example.com.
· Особенности: определяют, какие DNS-серверы содержат авторитетные записи для домена, обеспечивая делегирование зон.

🕹 Каждый из этих типов записей выполняет свою уникальную роль, обеспечивая надежное и эффективное функционирование доменных имен и связанных с ними интернет-сервисов.

🥷 Джонни вещает: 12 заблуждений сетевого администратора

1. Комментировать изменения в конфигах — не нужно. На память вы не жалуетесь, amiright?
2. QoS — не нужен. Всегда проще купить канал, заведомо превышающий потребности компании.
3. Бессмысленно проверять возможность удаленного управления оборудованием перед отправкой в удаленный офис.
Вы — профессионал и не могли ошибиться в настройке такой элементарной функции.
4. Устная договоренность с сетевиками ISP является полноценной разновидностью SLA.
5. Сертификация — незначима. Экзамены всегда можно сдать с помощью дампов.
6. Прямой доступ через serial к оборудованию — анахронизм. IP-интерфейс — удобнее.
7. С системой мониторинга должен работать соответствующий отдел. Сотрудники там опытные, разберутся, что к чему.
8. Во внутренних маршрутах никогда не будет более 15 хопов.
9. Остановка работы компании из-за разрыва линка со стороны ISP — не ваша вина.
10. Одного гигабитного линка будет достаточно для всех.
11. Никто никогда не соединит 2 сетевые розетки патчкордом. Зачем это делать?
12. Какой смысл ставить 2 маршрутизатора в ядре, если загрузка одного менее 50%?