📝 Немного команд для NMAP

Серверная Админа | #wireshark

👋 Привет, сетевой друг!

Сегодня поделюсь лайфхаком, который спасает, когда пакеты доходят, а ответы - нет. Да, это та самая скрытая асимметрия маршрутов, которая ломает firewall, балансировку и stateful-фильтры.

🟣Смысл проблемы: Асимметрия случается, когда запрос идёт по одному пути, а ответ по другому. На L3 всё работает, но firewall теряет состояние, NAT не совпадает, а IDS видит “обрыв”. И вот тут помогает точечный метод: сравнение Forward/Reverse-path через промежуточные хопы.

🟣Как быстро вычислить асимметрию без дебага и огромных трассировок:

Делаем trace на путь туда:

traceroute -T -p 443 <dst>

Флаг -T (TCP) точнее отражает реальный маршрут, чем UDP-пакеты.

🟣Делаем trace назад - но НЕ с целевого хоста (не всегда доступен), а с ближайшего к нему маршрутизатора через source-address:

traceroute <source> -s <client-IP>

Это дает маршрутизатору построить “обратный” маршрут точно так же, как пакет бы отвечал клиенту.

🟣И сравниваем два списка хопов. Если хотя бы один сегмент отличается - у вас асимметрия.

🟣Еще фишка: Проверка RPF прямо на маршрутизаторе

На Cisco:

show ip cef <client-IP> detail

Если флаг RPF: failed - привет, асимметрия или странный ECMP.

На JunOS:

show route <client-IP> extensive | match RPF

Серверная Админа | #Cisco

📝 Режимы IP-коммуникации

🟣Unicast: Классический вариант связи в сети: один отправитель - один конкретный получатель. Так работает почти всё, что вы делаете в интернете: открываете сайт, отправляете сообщение, скачиваете файл. Минимально шума, максимум предсказуемости, именно поэтому Unicast используется чаще всего.

🟣Broadcast: Здесь устройство буквально заявляет о себе всем соседям сразу. Так работает ARP, DHCP и любые подобные протоколы. Нужно для автообнаружения, но слишком частые broadcast-пакеты могут нагружать сеть, поэтому они не выходят за пределы локального сегмента.

🟣Multicast: Отправитель формирует поток данных, а получают его только те, кто добровольно подписался на нужную группу. Это отличный вариант для трансляций, IPTV, стримингов и массовой рассылки одного и того же контента без тонны дублированного трафика. Экономит ресурсы сети и масштабируется куда лучше обычного broadcast.

🟣Anycast: Несколько серверов делят один IP, и трафик уходит к тому, кто ближе всех с точки зрения маршрутизации.
Результат - минимальная задержка и высокая стабильность.
Именно поэтому Anycast используют CDN-сети, DNS-сервисы и крупные облачные платформы, чтобы доставлять контент максимально быстро.

Серверная Админа | #network

👋 Привет, сетевой друг!

Поговорим о еще 5 способах защититься от ARP-спуфинга.

🟣DHCP Fingerprinting (Cisco): помогает отличать настоящие устройства от «поддельных» по DHCP‑опциям и блокировать аномальные запросы.

ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping information option allow-untrusted

ip device tracking
ip dhcp snooping verify mac-address

Теперь IP выдаётся только тем, кто «узнан» по fingerprint порта.

🟣ARP Watch с алертами (Linux): Следим за резкой сменой MAC/IP или «прыжками» адресов между портами.

sudo apt install arpwatch
sudo systemctl start arpwatch@eth0
grep -E "flip|changed" /var/log/syslog
arpwatch -i eth0 -m admin@example.com

Мгновенные уведомления при подозрительных событиях.

🟣Сверка ARP и Routing Table (Cisco): Отслеживаем, если ARP говорит одно, а маршрутизатор - другое, что часто сигнализирует о MITM.

show arp | include 192.168.
show ip route 192.168.1.0

event manager applet ARP-ANOMALY
 event syslog pattern "ARP-4-DUPADDR"
 action 1.0 syslog msg "‼ Detected ARP anomaly"
 action 2.0 cli command "show arp"
 action 3.0 cli command "show mac address-table"

🟣EVPN/VXLAN asserts (Linux/DC): Для датацентров с EVPN можно проверять соответствие MAC/VNI/IP и ловить аномалии.

watch -n 5 "evpn mac vni 10010; evpn arp-cache vni 10010"

🟣«Прыгающие MAC» на MikroTik: Ловим спуфинг, когда MAC внезапно появляется на другом порту.

/interface ethernet monitor ether1 once
/ip firewall filter add chain=forward src-mac-address=00:11:22:33:44:55 action=drop log=yes log-prefix="ARP-ALERT"

/interface ethernet switch port set ether3 learned-mac-address-limit=1
/interface ethernet switch port set ether3 restrict-vlan-host=yes

Серверная Админа | #network

Сетевик, когда стал медиком

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Mailtrail

🟣Maltrail - open-source система обнаружения подозрительных сетевых событий: Она смотрит трафик, сверяет его со списками вредоносных IP/доменов, анализирует User-Agent’ы, ловит сканеры, TOR-узлы, C2-трафик, массовые NXDOMAIN и другие нетипичные паттерны.

🟣Что Maltrail умеет находить:
• попытки сканирования и перебора,
• Botnet/RAT C2, TOR-exit трафик, прокси, VPN-узлы,
• скачивание подозрительных .exe/.apk,
• нестандартные DNS-поведения,
• вредоносные источники из десятков публичных списков,

🟣Как устроена идея: Сенсор “слушает” зеркалку или любой интерфейс → анализирует пакеты → отправляет события на сервер → сервер хранит логи → в браузере открываете web-клиент и видите весь расклад. Никаких агентов, ничего на конечные устройства.

🟣Быстрый старт (локально):

sudo apt install git python3 python3-pip libpcap-dev
git clone --depth 1 https://github.com/stamparm/maltrail
cd maltrail
sudo pip3 install pcapy-ng
sudo python3 sensor.py
python3 server.py

🟣Запуск в Docker (полный режим):

docker run -d --name maltrail \
  -p 8338:8338/tcp -p 8337:8337/udp \
  ghcr.io/stamparm/maltrail:latest

Сенсор можно запустить отдельно:

python3 sensor.py -i eth0

🟣Что можно увидеть в интерфейсе:

1️⃣Alerts - подозрительные IP/домены, C2, сканеры
2️⃣Flows - кто с кем и зачем общается
3️⃣DNS - странные домены, NXDOMAIN-штормы
4️⃣Sources - откуда идёт шум
5️⃣Heuristics - “нелогичные” паттерны трафика (самое ценное)

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня вспомним человека, благодаря которому у вас вообще есть возможность читать этот пост. Тим Бернерс-Ли - инженер из ЦЕРН, который практически в одиночку написал три ключевых протокола и собрал из них то, что мы называем Всемирной паутиной.

🟣Как всё началось: Бернерс-Ли вырос в семье программистов, а первый свой компьютер собрал из старого телевизора. После Оксфорда он работал над транзакционными системами, штрихкодами и даже операционками. В итоге оказался в ЦЕРН - месте, где тысячи учёных обменивались файлами и заметками, но делали это максимально неудобно.

🟣ENQUIRE - первая искра: Чтобы хоть как-то упорядочить хаос документов, он придумал систему гипертекста ENQUIRE. Это был ранний, почти экспериментальный прототип: записи, связанные ссылками. Тогда он ещё не называл это «вебом», но идея уже жила.

🟣Рождение WWW: В конце 80-х он понял, что мир готов к системе, в которой документы можно связывать, запрашивать и открывать как единое пространство. Бернерс-Ли написал три фундаментальные вещи:

1️⃣URL - способ обозначать, где живёт ресурс.
2️⃣HTML - язык, позволяющий создавать документы со ссылками.
3️⃣HTTP - протокол, который доставляет эти документы по запросу.

🟣В 1990 году он запустил первый веб-сервер и браузер на компьютере NeXT, а в 1991 опубликовал первый сайт info.cern.ch. Это было рождением того интернета, который мы знаем.

🟣Почему это взлетело: Бернерс-Ли настоял, что WWW должен быть открытым и бесплатным. Никаких лицензий, никаких корпораций у входа. Это решение - главное топливо роста: от сотен сайтов в 1993 году до миллиардов сегодня.

🟣Что дальше: В 1994 он основал W3C - консорциум, который определяет веб-стандарты. Сам Бернерс-Ли так и не стал миллиардером: его состояние около $5,4 млн, но зато он сохранил интернет свободным.

Серверная Админа | #история #Network

👋 Привет, сетевой друг!

Сегодня разберём, как быстро диагностировать проблемы с DNS-инфраструктурой, когда все тормозит, но вообще непонятно где именно.

🟣Проверка задержек резолва без кэша: dig по умолчанию может брать данные из кэша, и создаёт иллюзию, что всё быстро. Нас интересует честный lookup.

dig +trace +nodnssec example.com

Смотрите, на каком уровне тормозит: корень, TLD, авторитетный сервер или клиентский резолвер.

🟣Выявление проблем с рекурсией на локальном резолвере: Если DNS-сервер зависает или «захлёбывается», это видно по времени ответа.

dig @127.0.0.1 example.com +stats

Если Query time скачет выше 200–300 мс, то смотрим в сторону max-clients, перегретых TCP-потоков или огромного списка ACL.

🟣Диагностика проблем с DNS-over-UDP и фрагментацией: Большие ответы (DNSSEC, SPF, SRV) могут ломаться, если MTU на пути маленький.

dig example.com DNSKEY +dnssec +bufsize=4096

Если падает на UDP, проверьте MTU и EDNS, переключись на TCP для теста.

🟣Анализ кэша и подозрительных значений TTL: Бывает, что домены установили слишком маленький TTL, и резолвер умирает под нагрузкой.

rndc dumpdb -cache
grep -i example /var/cache/bind/dump.db

Подозрительные записи с TTL < 60 секунд - потенциальная причина скачков нагрузки.

🟣Проверка задержек внутри сети для рекурсивного резолва: Чтобы понять, не ломается ли DNS на межсетевом пути.

dig example.com @dns01 -4 +noedns
dig example.com @dns02 -6 +noedns

Если IPv6 даёт резкие лаги - причина в маршрутизации или firewall.

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня разберу протокол PIM, который может раздавать видео и аудио по сети сотням клиентов, не превращая каналы в хаотичный спам пакетов.

🟣PIM не создаёт маршруты сам: он юзает существующую таблицу IP и строит дерево доставки: есть точка встречи источников (RP), клиенты подписываются на группы (Multicast Group), и пакеты идут только туда, где есть подписчики, экономя пропускную способность сети.

🟣Режимы PIM:
1️⃣Sparse Mode (PIM‑SM) - для редких клиентов, дерево строится через RP;
2️⃣Dense Mode (PIM‑DM) - для множества клиентов, сначала «заливаем» сеть, потом убираем лишнее.

🟣Пример на Cisco IOS (Sparse Mode):

ip multicast-routing
interface GigabitEthernet0/0
 ip pim sparse-mode
interface GigabitEthernet0/1
 ip pim sparse-mode
ip pim rp-address 192.0.2.1

192.0.2.1 - RP, через который клиенты получают группы.

🟣Проверяем, что всё живо:

show ip mroute           ! таблица мульткаста
show ip pim neighbor     ! кто рядом по PIM
show ip pim rp-map       ! RP виден всем

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте PYPCAPKIT

🟣Что это: PyPCAPKit умеет читать, строить и разбирать PCAP-файлы, показывая каждую деталь пакета. В отличие от Scapy или PyShark, она даёт более полную картину и удобный Python-интерфейс для автоматизации и скриптового анализа.

🟣Как работает: библиотека делится на модули - Interface для удобной работы, Foundation для базовых функций, Protocols с реализацией всех протоколов, Utilities и Toolkit для вспомогательных штук, CoreKit для внутренней магии, DumpKit для красивого вывода и Constants для стандартов. Всё готово для автоматизации и скриптов.

🟣Из фишек: можно выбирать движок извлечения (Scapy, DPKT, PyShark), использовать плагины, смотреть форматированный DictDumper‑вывод, запускать CLI‑режим, и при этом разбор пакета идёт за ~0,2 мс.

🟣Установим:

pip install pypcapkit

Для конкретных движков:

pip install pypcapkit[DPKT]
pip install pypcapkit[Scapy]
pip install pypcapkit[PyShark]

Или сразу всё:

pip install pypcapkit[all]

CLI‑режим:

pip install pypcapkit[cli]

Серверная Админа | #Инструмент

Думайте…

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣Используем show run | include для быстрых проверок: Если нужен конкретный параметр или интерфейс, фильтруем вывод прямо в CLI. Например, проверить все ACL на интерфейсах:

show running-config | include access-group
show running-config | include ip route

🟣Быстрый переход в интерфейсы через interface range: Вместо поштучного входа в интерфейсы можно управлять сразу группой.

interface range GigabitEthernet0/1 - 4
 shutdown
 no shutdown

🟣Используем show interface status | begin: нужен, если список интерфейсов огромный. Можно начать вывод с нужного порта или VLAN.

show interface status | begin Gi0/24

Так легко мониторить конкретные участки без лишнего скролла.

🟣Сохраняем конфиги через copy running-config startup-config с подтверждением автоматом: Можно ускорить процесс с помощью write memory или EEM, чтобы не подтверждать каждый раз вручную.

write memory
copy running-config startup-config

🟣Используем terminal length 0 и terminal width 511: Вывод без пауз и в максимально широком формате позволяет получать «чистый» дамп для анализа и копирования.

terminal length 0
terminal width 511
show tech-support

Серверная Админа | #Cisco

- Я потратил весь день на траблшутинг сети
- А ты проверил DNS…?

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Whatweb

🟣WhatWeb - утилита определяет CMS, фреймворки, веб-серверы, JS-библиотеки, аналитики, встроенные устройства и даже версии ПО. Работает на базе 1800+ плагинов и умеет быть как «тихой», так и агрессивной, в зависимости от задачи.

🟣Что реально находит: CMS и их версии (WordPress, Joomla, phpBB), веб-серверы и прокси (nginx, Apache, varnish), фреймворки и библиотеки, аналитики, необычные заголовки, cookies, email’ы, SQL-ошибки и другие артефакты, по которым удобно строить атаку или аудит.

🟣Идея работы: один HTTP-запрос уже даёт кучу подсказок → плагины матчят HTML, заголовки, favicon, пути и хэши → при повышении агрессии WhatWeb делает дополнительные запросы и уточняет версии. Уровень агрессии выбираешь сам - от stealth до heavy.

🟣Быстрый старт:

whatweb example.com
whatweb -v reddit.com slashdot.org
whatweb -a 3 www.wired.com

-v — пояснения от плагинов, -a 3 - аккуратная агрессия для определения версий.

🟣Полезные режимы:

# Скан подсети без шума
whatweb --no-errors 192.168.0.0/24

# HTTPS для всех целей
whatweb --url-prefix https:// 192.168.0.0/24

# Только нужные плагины
whatweb -p wordpress,nginx -a 3 target.com

Выбор плагинов резко снижает шум и делает сканирование менее заметным.

🟣Логи и интеграции: результаты можно сразу писать в JSON, XML, SQL, MongoDB или Elastic — удобно для пайплайнов, отчётов и автокорреляции.

whatweb target.com --log-json result.json
whatweb target.com --log-elastic-host 127.0.0.1:9200

Серверная Админа | #Инструмент