👋 Привет, сетевой друг!

Сегодня поговорим об инструменте FlashRoute

🟣Что умеет: FlashRoute сканирует весь IPv4 /24 за минуты и любые IPv6 /48 префиксы. Он юзает меньше пакетов, чем Scamper или Yarrp, параллельно исследует маршруты и не «шумит» в сети. И да, при этом скорость аж до 200 Kpps.

🟣Как работает: Инструмент сочетает лучшие идеи предыдущих проектов (ZMap, Yarrp, Scamper) и добавляет свои оптимизации. И при этом избегает лишнего опроса соседних роутеров, минимизирует повторные запросы и позволяет открывать больше интерфейсов за то же время.

🟣Вот примеры команд:

Сканируем один IPv4:

sudo ./bazel-bin/flashroute/flashroute --interface eth0 192.168.1.1

Сканируем IPv6:

sudo ./bazel-bin/flashroute/flashroute --interface eth0 2607:f8b0:4009:805::200e

Сканируем весь IPv4 /24:

sudo ./bazel-bin/flashroute/flashroute --interface eth0 --probing_rate 10000 --granularity 24 --output ~/test.output 0.0.0.0/0

Можно хранить параметры в файле и запускать снова:

sudo ./bazel-bin/flashroute/flashroute --flagfile ./examples/sample_scan.conf 8.8.8.8

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Расскажу, в чем разница протокола BGP с некоторыми другими.

🟣BGP vs OSPF/IS-IS: OSPF и IS-IS быстро считают кратчайший путь внутри своей автономной системы, всё по метрикам и таблицам. BGP же смотрит шире: он работает между автономными системами и решает, куда пойдёт трафик, основываясь на политике - атрибуты маршрута (AS_PATH, MED, LOCAL_PREF) важнее длины пути. То есть не всегда самый короткий путь лучший, важно, какой путь «разрешил» оператор.

🟣BGP vs EIGRP: EIGRP хорош внутри сети: быстро перестраивается, умеет находить альтернативные пути. Но масштаб все же ограничен, и управлять политиками сложно. BGP же спокойно держит десятки тысяч маршрутов между сотнями AS, при этом можно настраивать приоритеты трафика почти как хотите.

🟣BGP vs SDN/Segment Routing: SDN и Segment Routing помогают динамично «программировать» маршруты и обходить узкие места. BGP в классическом виде статичнее, но расширения вроде EVPN или BGP-LS позволяют интегрироваться с современными подходами - контролировать маршруты и собирать телеметрию.

Серверная Админа | #Network #BGP

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Автоблокировка по количеству неудачных логинов: Добавляем в blacklist тех, кто слишком часто ломится в логин:

/ip firewall filter add chain=input src-address-list=blacklist action=drop
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 src-address-list=stage3 action=add-src-to-address-list address-list=blacklist address-list-timeout=1d
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 src-address-list=stage2 action=add-src-to-address-list address-list=stage3 address-list-timeout=1m
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 src-address-list=stage1 action=add-src-to-address-list address-list=stage2 address-list-timeout=1m
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 action=add-src-to-address-list address-list=stage1 address-list-timeout=1m

🟣Port knocking для скрытого доступа: Пока клиент не «постучится» в правильной последовательности, доступ к Winbox/SSH закрыт:

/ip firewall filter add chain=input dst-port=1000 protocol=tcp action=add-src-to-address-list address-list=knock1 address-list-timeout=1m
/ip firewall filter add chain=input dst-port=2000 protocol=tcp src-address-list=knock1 action=add-src-to-address-list address-list=knock2 address-list-timeout=1m
/ip firewall filter add chain=input dst-port=3000 protocol=tcp src-address-list=knock2 action=add-src-to-address-list address-list=secure address-list-timeout=10m
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 src-address-list=secure action=accept
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 action=drop

🟣Dynamic Address Lists для защиты от сканеров: Автоматически добавляем в список IP, которые создают слишком много соединений:

/ip firewall filter add chain=input protocol=tcp connection-limit=20,32 action=add-src-to-address-list address-list=scaners address-list-timeout=1h
/ip firewall filter add chain=input src-address-list=scaners action=drop

Серверная Админа | #Mikrotik

📝 Развитие стандартов Wi-Fi

Сегодня расскажу о том, как развивался Wi-Fi от первых попыток «передать что-то по воздуху» до современных быстрых и надёжных сетей, к которым мы уже привыкли.

🟣Начало: В самом начале Wi-Fi был довольно скромным.
Стандарт 802.11b (1999 год) работал на 2.4 GHz и давал до 11 Мбит/с. Тогда это казалось чудом, интернет без проводов! Но скорость была минимальной, а помехи реально частыми.

🟣Первые улучшения: С выходом 802.11g скорость поднялась до 54 Мбит/с, всё ещё на 2.4 GHz.
Позже появился 802.11n, уже с поддержкой 5 GHz и скоростью до 600 Мбит/с. Это был первый “настоящий” Wi-Fi, на котором можно было смотреть видео и играть без постоянных лагов.

🟣Настоящая скорость с Wi-Fi 5: В 2014 появился стандарт 802.11ac. Он уже работал только на 5 GHz, справлялся с большим количеством устройств и выдавал до 1 Гбит/с. А версия Wave 2 добавила ещё больше скорости и стабильности.

🟣Современный стандарт Wi-Fi 6: 802.11ax умеет не только быть быстрым (до 10 Гбит/с), но и эффективно работать в загруженных сетях. Он поддерживает кучу подключений одновременно, экономит энергию и остаётся совместимым со старыми устройствами.

🟣И будущее уже здесь: 802.11ad и 802.11ay используют частоту 60 GHz и дают фантастическую скорость - до 100 Гбит/с. Но есть нюанс: они работают только на коротких расстояниях и требуют прямой видимости, что отлично для VR и быстрых точек обмена данными.

🟣А если нужно не быстро, а далеко: Стандарты 802.11ah и af подходят для интернета вещей, камер наблюдения, счётчиков.
Они тянут сигнал на сотни метров, иногда до километра, но скорость при этом минимальная. Но вроде при этом и стабильно.

Серверная Админа | #network

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Hetty

🟣Что умеет: Hetty - это почти как Burp Suite, но открытый и лёгкий. Он умеет перехватывать HTTP-запросы и ответы, редактировать их на лету, повторно отправлять, вести логи с поиском и фильтрацией, а ещё хранить всё в базе проекта. Scope помогает держать работу в порядке, веб-интерфейс делает это визуально удобно.

🟣Как работает: Hetty по идее объединяет MITM-прокси, HTTP-клиент и веб-админку. Можно быстро смотреть только нужные URL, ловить и менять запросы, тестить серверы и организовывать всё через проекты.

🟣А вот примеры команд:

Запуск Hetty:

hetty

С указанием сертификата и базы:

hetty --cert ~/.hetty/hetty_cert.pem --key ~/.hetty/hetty_key.pem --db ~/.hetty/hetty.db

Через Docker с пробросом порта 8080 и хранением данных:

docker run -v $HOME/.hetty:/root/.hetty -p 8080:8080 \
  ghcr.io/dstotijn/hetty:latest

Посмотреть все доступные опции:

hetty --help

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня заглянем в историю сетевого нейтралитета в США - идеи, что интернет должен быть одинаковым для всех.

🟣От термина до законов: В 2003 году профессор Колумбийского университета Тим Ву предложил термин «сетевой нейтралитет». Он говорил, что провайдеры могут стать «привратниками», ограничивая скорость и доступ к сервисам. СМИ быстро подхватили идею, и она ушла в суды и регуляторные документы.

🟣Первые шаги в регулировании: В США с 1934 года действует Communications Act и создана FCC - федеральная комиссия по связи. С ростом сетей прошли исследования Computer Inquiry (1966, 1980, 1985). Их выводы легли в основу Telecommunication Act 1996, где интернет прописали как зону минимального регулирования.

🟣Телком vs информационные сервисы: Юристы спорили, кем считать провайдеров. Если телеком, то строгие правила и равный доступ. Если информационный сервис - меньше ограничений. От этого зависело, может ли FCC навязать «открытый интернет».

🟣Безопасность и контроль: Параллельно приняли CALEA (1994) и Patriot Act (2001), усилив слежку и контроль. Свобода интернета всегда шла рядом с безопасностью.

🟣Права и обязанности провайдеров: FCC могла заставлять операторов телекоммуникаций обеспечивать недискриминационный доступ, координировать сети и стимулировать конкуренцию. Но на информационные сервисы и частные мобильные сети эти правила почти не распространялись.

Серверная Админа | #история #Network

👋 Привет, сетевой друг!

Сегодня поговорим о OSPF и как держать его под контролем в больших сетях.

🟣В чем тут суть: OSPF, как помним, протокол внутренней маршрутизации, который быстро реагирует на изменения топологии, но в больших сетях без мониторинга он может «слетать» или нагружать CPU роутеров.

🟣Смотрим соседей: Проверяем, кто жив, а кто нет.

show ip ospf neighbor

🟣OSPF LSDB - база ссылок: Видим всю карту сети, чтобы убедиться, что маршруты синхронизированы.

show ip ospf database

🟣Стоимость маршрутов (Cost): Иногда OSPF идёт не туда, куда нужно, из-за неправильных метрик.

show ip route ospf

🟣Area и типы маршрутов: Проверяем ABR и ASBR, чтобы не было избыточного флуда LS Update.

show ip ospf border-routers

🟣Проверяем таймеры Hello/Dead: Уменьшение таймеров ускоряет детектирование падений линков, но увеличивает нагрузку.

show ip ospf interface

🟣OSPF SPF - время пересчёта: CPU роутера может тормозить при больших LSDB.

show ip ospf spf-log

🟣Мониторим LSA: Следим за количеством и типами LSA, чтобы понять, где возможны перегрузки.

show ip ospf database summary

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня расскажу, как работает PXE boot.

🟣PXE Boot - это по факту, такой способ загрузить компьютер по сети, без локального диска. BIOS/UEFI включает сетевую карту и ищет сервер, который даст инструкции для старта системы.

🟣Сначала идёт DHCP: компьютер получает IP-адрес и адрес сервера с файлом загрузчика. Затем через TFTP он скачивает этот загрузчик, который запускается и догружает ядро, initramfs и конфигурации.

Серверная Админа | #pxeboot

Кажется, мы нашли его…

👨‍💻Серверная Админа | #мем

Правда 🫠

Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Net Commander

🟣Что умеет: здесь всё, что обычно ищем в отдельных тулзах — ping, traceroute с картой, Wi-Fi анализатор, калькулятор CIDR, SSH-профили, подсветка конфигов Cisco, быстрый поиск по IANA портам, PeeringDB и даже root cause analysis отчёты.

🟣Вместо прыжков между терминалами и браузером всё доступно прямо из VS Code. Например, можно прогнать пинг в отдельной панели, построить интерактивный traceroute-граф, проверить IP через ipinfo или поднять Wi-Fi сканер для мини-сайт-сервея.

🟣Как пользоваться:

Пинг панелью:

Ctrl+Shift+P → Net Commander: Ping Panel

Traceroute с картой:

Ctrl+Shift+P → Net Commander: Traceroute

Калькулятор CIDR:

Ctrl+Shift+P → Net Commander: CIDR Calculator

Прыжок по SSH профилю:

Ctrl+Shift+P → Net Commander: SSH Profile Jumper

Серверная Админа | #Инструмент

📝 Как раньше делили IPv4-адреса: классовая адресация

Раньше интернет-адреса распределяли жёстко по «коробочкам» — классам от A до E. Многим казалось удобным, но на деле это приводило к растрате огромного числа IP.

🟣Класс A — сети-гиганты. Тут всего один байт под сеть и целых три под устройства. Адресов для более чем 16 миллионов хостов. Диапазон: 0.0.0.0 – 127.255.255.255. Давали крупным организациям и правительствам.

🟣Класс B — золотая середина. 16 бит на сеть и 16 на хосты, что позволяло подключить до 65 тысяч устройств. Диапазон: 128.0.0.0 – 191.255.255.255. Подходил для университетов и больших компаний.

🟣Класс C — «сеточки для малого бизнеса». 24 бита под сеть, только 256 адресов для устройств. Диапазон: 192.0.0.0 – 223.255.255.255. Идеально для офисов или кампусов.

🟣Класс D — не для обычных сетей, а для мультикаста (рассылка сразу многим). Адреса 224.0.0.0 – 239.255.255.255.

🟣Класс E — экспериментальная зона. Диапазон 240.0.0.0 – 255.255.255.255. Почти не использовался, оставался «на будущее».

Серверная Админа | #network

👋 Привет, сетевой друг!

Однажды мы говорили про IP Source Guard, а теперь разберём ещё момент - проверку статических IP. Не все клиенты получают адреса по DHCP, кто-то может выставить IP вручную.

🟣Есть проблема: Source Guard по умолчанию ориентируется на DHCP Snooping. Если кто-то руками задаст IP и попадёт в «дырку», он обойдёт защиту.

🟣Как решить: для таких случаев добавляют IP Source Binding — статическую привязку IP–MAC–порта. Коммутатор будет знать, что, например, у MAC 00:1A:2B:3C:4D:5E всегда должен быть IP 192.168.10.50 на Gig0/3.

🟣Как настроить:

ip source binding 001a.2b3c.4d5e vlan 10 192.168.10.50 interface Gig0/3

И даже если клиент попытается «переодеться» и взять другой IP, его трафик будет отрезан.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня разберём, в чём разница между Private VLAN и VRF.

🟣PVLAN — это изоляция на уровне L2. У тебя вроде бы одна VLAN, но клиенты внутри не могут болтать друг с другом. Есть порты «для всех» (promiscuous), изолированные и «комьюнити». Идеально для дата-центров или гостиниц: все видят шлюз и интернет, но соседей - нет. Пример настройки:

vlan 100
 private-vlan primary
 private-vlan association 101,102

vlan 101
 private-vlan isolated
vlan 102
 private-vlan community

🟣VRF — это уже изоляция на уровне L3. Каждому VRF своя таблица маршрутизации и даже одни и те же IP можно юзать параллельно. Провайдеры так разводят клиентов, а компании - тест и прод.
Пример настройки:

ip vrf CUSTOMER_A
 rd 100:1

interface Gig0/1
 ip vrf forwarding CUSTOMER_A
 ip address 10.10.10.1 255.255.255.0



🟣В чем разница: PVLAN ограничивает связь внутри одной L2-сети, а VRF полностью разделяет маршрутизацию и IP-пространство. Грубо говоря, PVLAN — это «квартиры в одном доме с разными дверями», а VRF — это «разные дома на разных улицах».

Серверная Админа | #PVLAN #VRF

Проброс портов через SSH - это путь ко многим сервисам, которые некоторые считают недоступными.

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте InterceptSuite

🟣Это MITM-прокси, который умеет перехватывать не только HTTP, но и любой TLS/SSL-трафик. В отличие от Burp/ZAP, InterceptSuite работает на уровне TCP/TLS. Это значит, что можно анализировать STARTTLS, PostgreSQL, IoT или даже трафик игр. Пакеты видны в расшифрованном виде, можно их менять на ходу, логировать и расширять всё через Python-плагины.

🟣Зачем нужен: Когда у вас толстый клиент, нестандартный протокол или шифрованная БД — обычные веб-прокси тут не помогают. InterceptSuite закрывает этот пробел и даёт универсальный способ MITM любого TLS-соединения.

🟣Как используем:

Запуск прокси (по умолчанию на 127.0.0.1:4444):

interceptsuite

Установка CA-серта в доверенные:

interceptsuite --install-ca

Работа через SOCKS5:

client_app --proxy socks5://127.0.0.1:4444

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём подходы к балансировке нагрузки на L3: ECMP vs LAG vs VRRP.

🟣ECMP - распределяет трафик по нескольким равнозначным маршрутам. Трафик «разбивается» на потоки, что увеличивает пропускную способность и даёт запас на случай падения одного из маршрутов. Главное — правильно настроить хеширование, чтобы потоки не мешали друг другу.

🟣LAG - собирает несколько физических линков в один логический канал. Проще говоря, вместо одной трубы получаем несколько параллельных. Отлично подходит между коммутаторами или серверами, когда важна скорость и надёжность соединения.

🟣VRRP - протокол резервирования маршрутизаторов. Несколько роутеров делят один виртуальный IP, и если мастер падает, резервный сразу подхватывает трафик. Так пользователи почти не замечают, что что-то случилось.

Серверная Админа | #Network