👋 Привет, сетевой друг!

Сегодня поговорим об инструменте BGPalerter

🟣Что за инструмент:
Он автоматически мониторит BGP и RPKI. В реальном времени следит за вашими префиксами и автономными системами (AS), ловит угоны, потерю видимости, ошибки в RPKI и прочие аномалии без необходимости городить сложные настройки.

🟣Почему это удобно: Не нужно подключать внутренние данные, BGPalerter сам берёт инфу из публичных репозиториев и шлёт вам уведомления куда удобно: email, Slack, Kafka, файлы.

🟣Из практики: Просто запускаете BGPalerter, и он начинает мониторить ваши маршруты. Если кто-то начинает красть префикс или объявлять ваши сети с ошибками, вы моментально получите тревогу и сможете быстро отреагировать.

Серверная Админа | #Инструмент

📝 Немного команд для работы с nmap

Серверная Админа | #network

👋 Привет, сетевой друг!

Расскажу, как обновить MikroTik по SSH с помощью Python-скрипта.

🟣Что делает этот скрипт: Он подключается через Netmiko, проверяет обновления, ставит их, делает RouterBOARD upgrade, ждёт возврата устройства в сеть. Скрипт юзает argparse для запуска, colorama для цветного вывода и сохраняет логи в mikrotik_update.log.

🟣На практике всё начинается с подключения:

device = {
  "device_type": "mikrotik_routeros",
  "ip": ip,
  "username": username,
  "password": password
}
conn = ConnectHandler(**device)

Потом проверка обновлений:

conn.send_command("/system package update check-for-updates")

Если апгрейд есть, ставим:

output = conn.send_command_timing("/system package update install")
if "Do you want to upgrade" in output:
    conn.write_channel("y\n")

После установки скрипт пингует устройство и ждёт, пока оно вернётся.

🟣Дальше проверяем и апгрейдим RouterBOARD:

rb_info = conn.send_command("/system routerboard print")
if curr_fw != upg_fw:
    conn.send_command("/system routerboard upgrade", expect_string=r"\[y/n\]")
    conn.write_channel("y\n")

Серверная Админа | #Mikrotik

👋 Привет, сетевой друг!

Сегодня покажу, как с помощью tc и netem эмулировать плохую сеть: задержки, потери и reorder

🟣Что делаем: На деле это часто нужно QA-инженерам и сетевым админам. Вместо того, чтобы ждать плохой погоды, создаём её вручную.

🟣Эмулируем задержку и джиттер:

tc qdisc add dev eth0 root netem delay 100ms 20ms distribution normal

Задержка в среднем 100 мс, с колебаниями ±20 мс.

🟣Добавим потерю пакетов:

tc qdisc change dev eth0 root netem loss 5%

Падает 1 из 20 пакетов - хватит, чтобы приложение заикалось.

🟣Сетевой дроп + reorder:

tc qdisc change dev eth0 root netem delay 50ms reorder 25% 50%

Каждый четвёртый пакет приходит не по порядку. Добро пожаловать в мобильную сеть 2007 года)

🟣Удаляем настройку:

tc qdisc del dev eth0 root

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня расскажу про IP Source Guard - защиту на L2-уровне от IP-спуфинга.

🟣Что это: IP Source Guard - проверка, что IP-адрес клиента совпадает с тем, что выдал DHCP сервер. Если кто-то пытается подделать IP, коммутатор блокирует его трафик.

🟣Зачем это нужно: Представим, кто-то в вашей сети решил выдать себя за другого - взял чужой IP и лезет куда не надо. В общем, он как такой своеобразный фейс-контроль.

🟣Как включить на Cisco: Сначала включаем DHCP Snooping, он собирает инфу о том, кому какой IP выдал DHCP сервер:

ip dhcp snooping
ip dhcp snooping vlan 10

Потом доверяем uplink-порт (откуда идут легитимные DHCP ответы):

interface Gig0/1
ip dhcp snooping trust

И на обычных портах включаем проверку IP:

interface Gig0/2
ip verify source

Серверная Админа | #Network

Дали задание добавить VLAN в первый рабочий день в Starlink…

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Above

🟣Что умеет: Above пассивно собирает данные. Он «слышит» почти 30 разных протоколов. От ARP и DHCP до сложных маршрутизаторных протоколов вроде BGP и STP.

🟣Как работает: Запускаем Above на нужном интерфейсе — и он начинает тихонько слушать всё, что проходит по сети. Можно задать таймер или анализировать уже записанный трафик. В результате получаем детальный отчёт: какие устройства и протоколы активны, какие из них уязвимы и где стоит ждать проблем.

🟣Как использовать:

sudo above --interface eth0 --timer 120
sudo above --input your_dump.pcap
sudo above --interface eth0 --passive-arp
sudo above --interface eth0 --search-vlan

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня обсудим, каким выглядит интернет в Китае изнутри.

🟣Что по блокировкам? Есть, но не совсем: Да, Google, YouTube и Netflix там официально недоступны. Но почти каждый второй пользуется обходами. VPN там привычный инструмент, только вот иностранные сервисы часто умирают, а локальные работают стабильнее.

🟣Браузеры и поисковики: Удивительно, но Google Chrome в Китае занимает почти половину рынка - хотя Google там заблокирован. Найти Chrome можно прямо через Baidu. Это, кстати, основной поисковик в стране, но искать там удобно не всегда: результаты без ссылок на домены, и красивый URL китайскому пользователю не так важен, как название госоргана в заголовке.

🟣Мобильный мир: Китайский интернет сегодня почти полностью мобильный. Компьютеры используют меньше трети пользователей. А значит, всё сосредоточено в приложениях: от покупок до соцсетей. Магазины вроде Taobao и JD уступают место новым гигантам - Douyin Store и Pinduoduo, у которых даже нет веб-версий.

🟣Социальные сети по-китайски: WeChat - это не просто мессенджер, а целая экосистема: там можно оплатить ЖКХ, забронировать тест-драйв, подать документы в полицию и заказать ужин. Всё через мини-приложения. А за лайфстайлом идут в Xiaohongshu (RED) — китайский аналог Instagram, где люди ищут отзывы, рекомендации и вдохновение.

🟣Особенность подхода: Главное отличие китайского интернета - не в блокировках, а в том, что почти все сервисы завязаны на местную инфраструктуру. Иностранец сможет пользоваться, но только при наличии обходов и местной платёжки.

Серверная Админа | #китайскийинтернет #файрвол

📝Hub, Switch и Router: что, зачем и как?

Вернемся к истокам и разберем разницу между концентратором, маршрутизатором и коммутатором.

🟣Hub (концентратор): Работает на физическом уровне (L1). Его задача - передавать каждый полученный сигнал на все порты без разбора. Устройства в сети получают одинаковый трафик, даже если он им не предназначен. Из-за этого нагрузка на сеть выше, а безопасность ниже. Сегодня практически не используется.

🟣Switch (коммутатор): Функционирует на канальном уровне (L2). Уже умеет анализировать MAC‑адреса и направлять трафик только на нужный порт, что снижает избыточность и повышает эффективность. Поддерживает работу с VLAN для изоляции сегментов сети. Может работать как в полудуплексном, так и в полном дуплексе.

🟣Router (маршрутизатор): Устройство сетевого уровня (L3). Принимает решения о маршрутизации пакетов на основе IP‑адресов, соединяет разные сети и обеспечивает их взаимодействие. Дополнительно поддерживает функции NAT, VPN, DHCP и встроенные фаерволы. Работает в полном дуплексе и обеспечивает наибольший уровень управления трафиком.

Серверная Админа | #Switch #hub #router

👋 Привет, сетевой друг!

Поговорим о 3 способах защититься от ARP-спуфинга.

🟣Включить Dynamic ARP Inspection (DAI) на Cisco: DAI проверяет ARP-пакеты и блокирует подозрительные.

conf t
ip arp inspection vlan 10
interface GigabitEthernet0/1
 ip arp inspection trust
exit

🟣Задать статические ARP-записи на Linux-сервере: Фиксируем IP и MAC, чтобы не подставили чужой.

sudo arp -s 192.168.1.1 00:11:22:33:44:55

🟣Включить 802.1X и IPSec для шифрования трафика (пример с strongSwan на Linux):

Установка:

sudo apt install strongswan

Конфигурация /etc/ipsec.conf (минимум):

conn lan-protect
    left=%defaultroute
    right=192.168.1.100
    auto=add
    keyexchange=ikev2

Запуск:

sudo ipsec start
sudo ipsec up lan-protect

Серверная Админа | #network

0 дней без споров о IPv6…

👨‍💻Серверная Админа | #мем

📝 NTP vs PTP: сравним протоколы синхронизации времени

NTP:
🟣Старый добрый протокол синхронизации, работает с 1980‑х.
🟣Даёт точность в пределах миллисекунд — этого хватает для логов, серверов, интернет‑сервисов.
🟣Использует иерархию stratum: сверху — эталонные атомные часы, ниже — обычные устройства.
🟣Работает по UDP (порт 123), софт‑базированный, железо не нужно.
🟣Стандарт — RFC 5905 (NTPv4).

PTP
🟣Более «продвинутая версия» — синхронизирует время с точностью до субмикросекунд и даже наносекунд.
🟣Система «лидер‑фолловер»: выбирается лучший источник (грандмастер), остальные устройства синкаются с ним напрямую.
🟣Использует Ethernet (EthType 0x88F7) или UDP (порты 319 и 320).
🟣Важна поддержка на уровне железа — нужны PTP‑совместимые сетевые карты и коммутаторы.
🟣Стандарт — IEEE 1588‑2019 (PTPv2.1).

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте ttyd

🟣Что это: ttyd запускает веб-интерфейс, через который можно работать в терминале удалённо. Он поддерживает CJK, IME, передачу файлов по ZMODEM, SSL, базовую аутентификацию и даже вывод картинок через sixel. Работает почти везде, а именно: на Linux, macOS, Windows, BSD и OpenWrt.

🟣Как это работает: Вы поднимаете ttyd на сервере, а коллега просто заходит по ссылке, и видит ваш терминал. Можно сделать его только для чтения или разрешить ввод команд. Удобно для админских демонстраций, удалённого обучения или совместной отладки.

🟣Как использовать:

Обычный запуск bash:

ttyd bash

С паролем для защиты:

ttyd -c admin:qwerty bash

На своём порту:

ttyd -p 8080 bash

Через HTTPS (если безопасность на первом месте):

ttyd -S -C cert.pem -K key.pem bash

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня поговорим про весь путь Bluetooth от громких дыр вроде BlueBorne до современных LE Secure Connections.

🟣BlueBorne - атака без кликов: В 2017‑м уязвимость BlueBorne позволяла заражать устройства буквально «по воздуху». Достаточно было, чтобы Bluetooth был включён. Под угрозой оказались более 5 млрд устройств, от смартфонов до медицинских приборов.

🟣KNOB: ключ длиной в один байт: В 2019‑м исследователи нашли дыру в процедуре согласования ключей: злоумышленник мог навязать длину ключа шифрования всего 1 байт. Такой ключ перебирался за секунды, и весь трафик оказывался открыт.

🟣В 2020‑м всплыла BLESA - атака на повторное подключение BLE‑устройств. Ваш «умный браслет» переподключался, думая, что это тот же телефон, а на самом деле это был хакер. В общем такой MITM без особых усилий.

🟣Теперь же Bluetooth защищённее: с LE Secure Connections, шифрованием рекламных пакетов и механизмами вроде Encrypted Advertising Data и PAwR он стал куда надёжнее, особенно для IoT и корпоративных сетей.

🟣Но проблемы остаются: Главный минус - обновления. iPhone и топовые Android‑модели патчи получают быстро, а вот бюджетные смартфоны и IoT‑гаджеты (умные лампочки, браслеты, сенсоры) остаются уязвимыми годами. Многие даже не умеют обновляться.

Серверная Админа | #Bluetooth