👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Oxidized

🟣Oxidized — это современная замена RANCID, но с кучей крутых фишек. Он собирает конфигурации с более чем 130 операционных систем на устройствах типа маршрутизаторов, свитчей и других сетевых девайсов.

🟣Как работает: Он автоматически качает конфигурации с устройств, причем можно настроить его под любые задачи. Oxidized отлично работает с Git, чтобы отслеживать каждое изменение, и использует syslog, чтобы сразу делать бэкап, как только конфигурация меняется. А с помощью гибкого RESTful API вы можете моментально управлять всеми настройками и легко получать нужные данные.

🟣Почему это топ: инструмент позволяет отслеживать, кто и когда менял конфигурацию, с помощью git blame. Он не только упрощает бэкап, но и помогает интегрировать все в автоматизированные процессы.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня разбираем установку и настройку Oxidized

🟣Установка на Debian/Ubuntu: Сначала добавляем репозиторий (для Ubuntu)

add-apt-repository universe

Устанавливаем зависимости:

apt-get install ruby ruby-dev libsqlite3-dev libssl-dev pkg-config cmake libssh2-1-dev libicu-dev zlib1g-dev g++ libyaml-dev

Ставим сам Oxidized:

gem install oxidized oxidized-script oxidized-web

Если oxidized-web не нужен, удалите "rest" из конфига.

🟣Установка на CentOS/RHEL: Обновляем Ruby через RVM

yum erase ruby  
sudo gpg --keyserver hkp://keys.gnupg.net --recv-keys 409B6B17...  
curl -sSL https://get.rvm.io | bash -s stable  
source /etc/profile.d/rvm.sh  
rvm install 3.1 && rvm use 3.1  

Ставим зависимости и сам инструмент:

yum install make cmake which sqlite-devel openssl-devel libssh2-devel gcc libicu-devel gcc-c++  
gem install oxidized oxidized-web  
rvm wrapper oxidized  

🟣Первая настройка: Oxidized использует YAML-конфиг (~/.config/oxidized/config), но лучше запускать его под отдельным пользователем:

useradd -s /bin/bash -m oxidized  
su oxidized  
oxidized  

После первого запуска создается стандартный конфиг. Можно менять OXIDIZED_HOME, если нужно другое расположение файлов.

🟣Где хранить бэкапы: Oxidized поддерживает CSV, SQLite, MySQL и HTTP для хранения списка устройств, а конфиги сохраняются в файлы, Git или Git-Crypt. Для Git-бэкапа добавьте:

output:
  default: git
  git:
    user: Oxidized
    email: oxidized@example.com
    repo: "~/.config/oxidized/repository.git"

Запускаем:

mkdir -p ~/.config/oxidized/configs  
oxidized  

Добавляем устройства в router.db:

router01.example.com:ios
switch01.example.com:procurve
router02.example.com:ios

Серверная Админа | #oxidized

👋 Привет, сетевой друг!

Сегодня всмпоним, HTTP — протокол, на котором держится весь веб

🟣HTTP (HyperText Transfer Protocol) — это язык, на котором браузеры и серверы "разговаривают" друг с другом. Ты вводишь адрес сайта, браузер отправляет запрос, сервер отвечает, и вот перед тобой загруженная страница. HTTP работает поверх TCP/IP и управляет передачей данных между клиентом и сервером.

🟣Протокол был создан в 1990 году и за годы прошел несколько версий: HTTP/0.9 просто загружал HTML, HTTP/1.0 добавил заголовки и улучшил обмен данными, а HTTP/1.1 ускорил работу за счет постоянных соединений и параллельных запросов.

🟣Как браузер загружает страницу:
1️⃣Браузер отправляет HTTP-запрос серверу.
2️⃣Сервер отвечает HTML-кодом.
3️⃣Браузер анализирует код, загружает стили, скрипты, изображения.
4️⃣Когда все ресурсы получены, страница отображается.

🟣Ну и кроме загрузки веб-страниц, HTTP ещё отправляет данные на сервер. Это удобно для отправки данных через формы или загрузки файлов. Например, запрос GET используется для получения данных с сервера, тогда как POST — для отправки данных. Также есть запросы HEAD, которые проверяют наличие ресурса без его загрузки, PUT для загрузки файлов на сервер, и DELETE для удаления файлов.

Серверная Админа | #HTTP

👋 Привет, сетевой друг!

Сегодня расскажу о пяти классных способах использовать команду dig для диагностики DNS.

🟣Найти все IP-адреса домена (A-записи): узнаем, какие IP-адреса связаны с доменом, получая A-записи. Например, чтобы увидеть, куда указывает amazon.com, просто вводим:

dig amazon.com

🟣Проверить почтовые серверы (MX-записи): нужно узнать, какие серверы обрабатывают почту для домена? Вызываем MX-записи.

dig amazon.com MX

🟣Выяснить, куда ссылается поддомен (CNAME-записи): Иногда поддомены просто перенаправляют на другие домены через CNAME. Узнать, на какой домен ссылается www.amazon.com, можно так:

dig www.amazon.com CNAME

🟣Проверить DNS-серверы (NS-записи): увидим, какие серверы управляют доменом и отвечают за его DNS, используя NS-записи:

dig amazon.com NS

🟣Получить информацию о зоне (SOA-запись): ну а если надо понять, кто управляет зоной домена и когда была последняя авторизация, просто используйте SOA-запись:

dig amazon.com SOA

Серверная Админа | #dig

Поможет ли при восстании роботов?

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте snabb

🟣Что это: Snabb — это фреймворк для работы с сетевыми пакетами, который обходит ядро Linux (kernel bypass) и ускоряет обработку трафика. Написан на Lua и использует LuaJIT, что делает его таким же быстрым, как решения на C, но гораздо проще в разработке.

🟣Все упаковано в один бинарник — snabb, который можно запустить на любой x86-64 Linux-системе. Такой busybox, но для сетей: одно приложение — куча возможностей.

🟣Где используют: Snabb используют для виртуальных сетей, облачных решений, SDN и других сценариев. Например, он отлично справляется с виртуальными драйверами и сетевыми оффлоадами на уровне SIMD.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберем, как защитить сеть с помощью DHCP Snooping и Dynamic ARP Inspection (DAI) на Cisco.

🟣DHCP Snooping: фильтр для DHCP: DHCP Snooping отслеживает все DHCP-запросы, разрешая ответы только от доверенных серверов. Коммутатор помечает порты, подключенные к маршрутизаторам и DHCP-серверам, как доверенные, а все остальные — как недоверенные.

🟣Чтобы включить защиту, задаем лимиты трафика и отмечаем доверенные интерфейсы:

AccSwitch(config)#int range gi1/0/1-46
AccSwitch(config-if-range)#ip dhcp snooping limit rate 15
AccSwitch(config-if-range)#ip arp inspection limit rate 100

AccSwitch(config)#int range gi1/0/47-48
AccSwitch(config-if-range)#ip dhcp snooping trust
AccSwitch(config-if-range)#ip arp inspection trust

AccSwitch(config)#ip dhcp snooping
AccSwitch(config)#ip dhcp snooping vlan 200
AccSwitch(config)#no ip dhcp snooping information option

🟣Dynamic ARP Inspection - защита от MITM: DAI блокирует поддельные ARP-ответы, проверяя соответствие IP и MAC-адресов. Если в сети есть устройства со статическими IP, их нужно добавить в ARP-список доступа:

AccSwitch(config)# arp access-list DAI
AccSwitch(config-arp-nacl)# permit ip host 192.168.200.25 mac host 0017.6111.a309

Также можно жестко привязать MAC-адрес к порту:

AccSwitch(config)#ip source binding 0017.6111.a309 vlan 200 192.168.200.14 interface Gi1/0/5
AccSwitch(config)#interface range gi1/0/1-46
AccSwitch(config-if-range)#ip verify source

🟣Включаем DAI (но не сразу!): Сначала ждем 1-2 дня, чтобы таблица DHCP Snooping заполнилась. Иначе DAI заблокирует всех юзеров. После этого включаем защиту:

AccSwitch(config)#ip arp inspection vlan 200

Серверная Админа | #DHCPsnooping

👋 Привет, сетевой друг!

Сегодня расскажем о Usenet и группах новостей — старом, но всё ещё живом сервисе.

🟣Что такое Usenet: Это одна из первых систем для обмена сообщениями, которая появилась еще задолго до современного интернета. В Usenet существовали группы по любым темам: от программирования до политики. Каждая группа имела свою иерархию, например, comp.lang.c — для обсуждения языка C.

🟣Почему Usenet затмился: все дело в том, что со временем появились соцсети и форумы, которые оттянули пользователей. Сейчас сервис в основном работает по платной подписке с ограниченными пробными периодами.

🟣Что с ним сейчас: Даже несмотря на спад популярности, некоторые группы продолжают работать, а через Google Groups можно найти старые обсуждения и даже поучаствовать в новых. И интересно, что для обмена файлами использовалась техника кодирования, превращающая файлы в текст и позволяющая отправлять их как обычные сообщения.

🟣Неожиданное продолжение: Usenet существует в нишевых сообществах и форумах, а Google продолжает поддерживать доступ к старым группам. Такое вот возвращение в «золотую эпоху» интернета — с простыми текстами и обменом файлами и без всех этих сложных интерфейсов.

Серверная Админа | #usenet

👋 Привет, сетевой друг!

Сегодня разберёмся, что такое Uplink и Downlink и почему это не совсем то же самое, что CTS и STC.

🟣Что такое CTS и STC? CTS (Client-to-Server) и STC (Server-to-Client) — это термины для описания направления трафика. CTS — когда данные идут от клиента к серверу, а STC — когда сервер отправляет данные клиенту.

🟣А что такое Uplink и Downlink? В сети Uplink — это когда данные идут от тебя к внешнему миру, а Downlink — наоборот, когда данные идут от интернета к тебе. Например, если ты качаешь фильм — это Downlink. А если заливаешь в него видео — это Uplink. Всё вроде бы просто, но есть нюанс…

🟣Тут начинается игра слов. Допустим, ты настроил сервер с IP и поехал в отпуск. Ты заходишь на сервер из другого города. Для провайдера трафик от сервера к тебе будет Uplink, а от тебя к серверу — Downlink. Но для тебя наоборот — от сервера к тебе это STC, от тебя к серверу — CTS.

🟣В итоге: Uplink и Downlink могут напоминать CTS и STC, но их значение зависит от того, с чьей стороны мы смотрим на трафик.

Серверная Админа | #uplink #downlink

👋 Привет, сетевой друг!

Сегодня расскажем, что такое reassembling

🟣Что такое reassembling: Представьте, что ваше сообщение в сети — это большой пазл, который нужно собрать. Когда данные слишком большие для одного пакета, они разбиваются на части. Reassembling — по факту процесс их восстановления в исходное сообщение.

🟣Без reassembling данные невозможно правильно обработать. Например, при отправке запроса на YouTube через браузер, данные могут быть слишком огромными, чтобы поместиться в один пакет. Сегменты разбиваются и передаются отдельно, а только после того, как все части собраны, можно понять, что это за запрос.

🟣Испольузется он обычно в таких протоколах: IPv4/IPv6, TCP, OpenVPN, QUIC, HTTP/2

🟣Как это работает на практике: Когда данные передаются через разные устройства, часть сегментов может задерживаться. Например, один сегмент может остаться на маршрутизаторе или DPI (системе анализа трафика). Пока все части не собраны, анализ невозможен, и система не может принять решение о пропуске трафика.

Серверная Админа | #reassembling

👨‍💻Серверная Админа | #мем

📝 Из чего состоит Ethernet-кадр

Каждый раз, когда вы смотрите видео, отправляете сообщение или просто открываете сайт, в сети передается куча данных — и упакованы они по определённым правилам. Это называется Ethernet-кадр, и вот как он устроен:

🟣Куда и от кого (заголовок):
— MAC-адрес получателя (6 байт): кому отправляется «посылка». Может быть конкретный адрес, или, если нужно — всем сразу.
— MAC-адрес отправителя (6 байт): от кого она пришла.
— Тип содержимого (2 байта): что внутри — например, данные IPv4, IPv6, ARP и т.д.

🟣Содержимое (payload):
— 46–1500 байт: сами данные. Если их вдруг меньше 46 байт, система добавит «наполнитель», чтобы всё выглядело солидно — минимальный размер должен соблюдаться.

🟣Контроль качества (FCS):
— 4 байта: контрольная сумма. Перед отправкой система подсчитывает её, а на приёмной стороне сверяют, не повредилось ли что-то в пути.

🟣Размеры кадра:
— Минимум: 64 байта (иначе не примут)
— Максимум: 1518 байт (или до 9018 байт для jumbo-кадров — когда данных много)

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Nornir

🟣Что это: Nornir — это фреймворк для автоматизации, который работает прямо из Python. Вместо того, чтобы использовать какие-то сложные языки или DSL для настройки, ты пишешь всё на Python, а Nornir возьмёт на себя распределение задач по твоим устройствам.

🟣Как и где работает: Он работает с инвентарём, управляет подключениями по SSH, API и вообще делает всё, чтобы вы не заморачивались с каждым устройством по отдельности. Использовать можно, например, если у вас целая сеть маршрутизаторов и серверов.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Вспомним, как работает route-map.

🟣Что такое route-map: инструмент, который работает как логика «если, то». Он проверяет маршруты на соответствие условиям и либо пропускает их, либо блокирует, в зависимости от команды permit или deny.

Вот например:

access-list 101 permit 10.17.37.0 0.0.0.255
access-list 102 deny 10.17.35.0 0.0.0.127
route-map Test permit 5
match ip-address 101
route-map Test deny 10
match ip-address 102

Здесь маршрут 10.17.37.0 пройдет, а 10.17.35.0 — будет заблокирован.

🟣Если коротко:
• permit разрешает маршруту пройти, если он совпадает с условием.
• deny блокирует маршрут, если он совпадает с условием.
• Несоответствующие маршруты пропускаются к следующему правилу.

🟣Как настроить фильтрацию:
Создаем префикс-листы:

ip prefix-list MANUFACTURING seq 5 permit 10.17.35.0/24

Применяем фильтрацию через route-map:

route-map WAN-FILTER permit 10
match ip-address MANUFACTURING

Серверная Админа | #EIGRP

👋 Привет, сетевой друг!

Сегодня разберёмся, что такое DPI Engine

🟣Что такое DPI (Deep Packet Inspection): DPI Engine — это механизм, который не просто смотрит заголовки пакетов, а заглядывает внутрь — анализирует содержимое на уровне протоколов, приложений и даже пользовательских данных.

🟣Зачем он нужен: Он нужен, чтобы понять что именно проходит через сеть: это YouTube, VPN, торрент или телеграм-бот? DPI позволяет:

• Определять тип трафика по сигнатурам;
• Применять фильтры доступа;
• Ограничивать скорость отдельных сервисов;
• Детектировать нежелательные или вредоносные соединения.

🟣Как это работает: DPI движок собирает фрагментированные пакеты (реассамблирует их), анализирует заголовки и полезную нагрузку, сопоставляет с известными паттернами. Например, HTTPS-сессия может быть распознана ещё до окончания TLS-рукопожатия.

Серверная Админа | #DPI

👋 Привет, сетевой друг!

Сегодня поговорим, какие ещё интересные фишки может дать DPI Engine помимо стандартного анализа трафика.

🟣Attribute Extraction: DPI анализирует небезопасные протоколы (например, FTP или HTTP) и выявляет, какие данные передаются без шифрования. Он также может распознавать старые версии TLS и уязвимые алгоритмы шифрования — это позволяет вовремя заметить потенциальные угрозы.

🟣File Extraction: DPI может «выудить» файлы прямо из трафика, если они передаются по незашифрованным протоколам. Например, картинки из HTTP или FTP могут быть извлечены для дальнейшего анализа в системе защиты данных (DLP).

🟣Dataset Producing: С помощью DPI можно собрать подробные данные о трафике (IP, порты, протоколы и т. д.) и экспортировать их в удобный формат JSON. Это позволяет проводить глубокий анализ, тренировать ИИ или даже разрабатывать новые метрики для сетевой безопасности.

🟣Tethering Detection: DPI также способен определять, когда мобильное устройство используется в качестве точки доступа, что помогает контролировать использование мобильных устройств в корпоративной сети и предотвращать несанкционированный доступ.

Серверная Админа | #DPI

👨‍💻Серверная Админа | #мем