👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Mailtrail

🟣Maltrail - open-source система обнаружения подозрительных сетевых событий: Она смотрит трафик, сверяет его со списками вредоносных IP/доменов, анализирует User-Agent’ы, ловит сканеры, TOR-узлы, C2-трафик, массовые NXDOMAIN и другие нетипичные паттерны.

🟣Что Maltrail умеет находить:
• попытки сканирования и перебора,
• Botnet/RAT C2, TOR-exit трафик, прокси, VPN-узлы,
• скачивание подозрительных .exe/.apk,
• нестандартные DNS-поведения,
• вредоносные источники из десятков публичных списков,

🟣Как устроена идея: Сенсор “слушает” зеркалку или любой интерфейс → анализирует пакеты → отправляет события на сервер → сервер хранит логи → в браузере открываете web-клиент и видите весь расклад. Никаких агентов, ничего на конечные устройства.

🟣Быстрый старт (локально):

sudo apt install git python3 python3-pip libpcap-dev
git clone --depth 1 https://github.com/stamparm/maltrail
cd maltrail
sudo pip3 install pcapy-ng
sudo python3 sensor.py
python3 server.py

🟣Запуск в Docker (полный режим):

docker run -d --name maltrail \
  -p 8338:8338/tcp -p 8337:8337/udp \
  ghcr.io/stamparm/maltrail:latest

Сенсор можно запустить отдельно:

python3 sensor.py -i eth0

🟣Что можно увидеть в интерфейсе:

1️⃣Alerts - подозрительные IP/домены, C2, сканеры
2️⃣Flows - кто с кем и зачем общается
3️⃣DNS - странные домены, NXDOMAIN-штормы
4️⃣Sources - откуда идёт шум
5️⃣Heuristics - “нелогичные” паттерны трафика (самое ценное)

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня вспомним человека, благодаря которому у вас вообще есть возможность читать этот пост. Тим Бернерс-Ли - инженер из ЦЕРН, который практически в одиночку написал три ключевых протокола и собрал из них то, что мы называем Всемирной паутиной.

🟣Как всё началось: Бернерс-Ли вырос в семье программистов, а первый свой компьютер собрал из старого телевизора. После Оксфорда он работал над транзакционными системами, штрихкодами и даже операционками. В итоге оказался в ЦЕРН - месте, где тысячи учёных обменивались файлами и заметками, но делали это максимально неудобно.

🟣ENQUIRE - первая искра: Чтобы хоть как-то упорядочить хаос документов, он придумал систему гипертекста ENQUIRE. Это был ранний, почти экспериментальный прототип: записи, связанные ссылками. Тогда он ещё не называл это «вебом», но идея уже жила.

🟣Рождение WWW: В конце 80-х он понял, что мир готов к системе, в которой документы можно связывать, запрашивать и открывать как единое пространство. Бернерс-Ли написал три фундаментальные вещи:

1️⃣URL - способ обозначать, где живёт ресурс.
2️⃣HTML - язык, позволяющий создавать документы со ссылками.
3️⃣HTTP - протокол, который доставляет эти документы по запросу.

🟣В 1990 году он запустил первый веб-сервер и браузер на компьютере NeXT, а в 1991 опубликовал первый сайт info.cern.ch. Это было рождением того интернета, который мы знаем.

🟣Почему это взлетело: Бернерс-Ли настоял, что WWW должен быть открытым и бесплатным. Никаких лицензий, никаких корпораций у входа. Это решение - главное топливо роста: от сотен сайтов в 1993 году до миллиардов сегодня.

🟣Что дальше: В 1994 он основал W3C - консорциум, который определяет веб-стандарты. Сам Бернерс-Ли так и не стал миллиардером: его состояние около $5,4 млн, но зато он сохранил интернет свободным.

Серверная Админа | #история #Network

👋 Привет, сетевой друг!

Сегодня разберём, как быстро диагностировать проблемы с DNS-инфраструктурой, когда все тормозит, но вообще непонятно где именно.

🟣Проверка задержек резолва без кэша: dig по умолчанию может брать данные из кэша, и создаёт иллюзию, что всё быстро. Нас интересует честный lookup.

dig +trace +nodnssec example.com

Смотрите, на каком уровне тормозит: корень, TLD, авторитетный сервер или клиентский резолвер.

🟣Выявление проблем с рекурсией на локальном резолвере: Если DNS-сервер зависает или «захлёбывается», это видно по времени ответа.

dig @127.0.0.1 example.com +stats

Если Query time скачет выше 200–300 мс, то смотрим в сторону max-clients, перегретых TCP-потоков или огромного списка ACL.

🟣Диагностика проблем с DNS-over-UDP и фрагментацией: Большие ответы (DNSSEC, SPF, SRV) могут ломаться, если MTU на пути маленький.

dig example.com DNSKEY +dnssec +bufsize=4096

Если падает на UDP, проверьте MTU и EDNS, переключись на TCP для теста.

🟣Анализ кэша и подозрительных значений TTL: Бывает, что домены установили слишком маленький TTL, и резолвер умирает под нагрузкой.

rndc dumpdb -cache
grep -i example /var/cache/bind/dump.db

Подозрительные записи с TTL < 60 секунд - потенциальная причина скачков нагрузки.

🟣Проверка задержек внутри сети для рекурсивного резолва: Чтобы понять, не ломается ли DNS на межсетевом пути.

dig example.com @dns01 -4 +noedns
dig example.com @dns02 -6 +noedns

Если IPv6 даёт резкие лаги - причина в маршрутизации или firewall.

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня разберу протокол PIM, который может раздавать видео и аудио по сети сотням клиентов, не превращая каналы в хаотичный спам пакетов.

🟣PIM не создаёт маршруты сам: он юзает существующую таблицу IP и строит дерево доставки: есть точка встречи источников (RP), клиенты подписываются на группы (Multicast Group), и пакеты идут только туда, где есть подписчики, экономя пропускную способность сети.

🟣Режимы PIM:
1️⃣Sparse Mode (PIM‑SM) - для редких клиентов, дерево строится через RP;
2️⃣Dense Mode (PIM‑DM) - для множества клиентов, сначала «заливаем» сеть, потом убираем лишнее.

🟣Пример на Cisco IOS (Sparse Mode):

ip multicast-routing
interface GigabitEthernet0/0
 ip pim sparse-mode
interface GigabitEthernet0/1
 ip pim sparse-mode
ip pim rp-address 192.0.2.1

192.0.2.1 - RP, через который клиенты получают группы.

🟣Проверяем, что всё живо:

show ip mroute           ! таблица мульткаста
show ip pim neighbor     ! кто рядом по PIM
show ip pim rp-map       ! RP виден всем

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте PYPCAPKIT

🟣Что это: PyPCAPKit умеет читать, строить и разбирать PCAP-файлы, показывая каждую деталь пакета. В отличие от Scapy или PyShark, она даёт более полную картину и удобный Python-интерфейс для автоматизации и скриптового анализа.

🟣Как работает: библиотека делится на модули - Interface для удобной работы, Foundation для базовых функций, Protocols с реализацией всех протоколов, Utilities и Toolkit для вспомогательных штук, CoreKit для внутренней магии, DumpKit для красивого вывода и Constants для стандартов. Всё готово для автоматизации и скриптов.

🟣Из фишек: можно выбирать движок извлечения (Scapy, DPKT, PyShark), использовать плагины, смотреть форматированный DictDumper‑вывод, запускать CLI‑режим, и при этом разбор пакета идёт за ~0,2 мс.

🟣Установим:

pip install pypcapkit

Для конкретных движков:

pip install pypcapkit[DPKT]
pip install pypcapkit[Scapy]
pip install pypcapkit[PyShark]

Или сразу всё:

pip install pypcapkit[all]

CLI‑режим:

pip install pypcapkit[cli]

Серверная Админа | #Инструмент

Думайте…

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣Используем show run | include для быстрых проверок: Если нужен конкретный параметр или интерфейс, фильтруем вывод прямо в CLI. Например, проверить все ACL на интерфейсах:

show running-config | include access-group
show running-config | include ip route

🟣Быстрый переход в интерфейсы через interface range: Вместо поштучного входа в интерфейсы можно управлять сразу группой.

interface range GigabitEthernet0/1 - 4
 shutdown
 no shutdown

🟣Используем show interface status | begin: нужен, если список интерфейсов огромный. Можно начать вывод с нужного порта или VLAN.

show interface status | begin Gi0/24

Так легко мониторить конкретные участки без лишнего скролла.

🟣Сохраняем конфиги через copy running-config startup-config с подтверждением автоматом: Можно ускорить процесс с помощью write memory или EEM, чтобы не подтверждать каждый раз вручную.

write memory
copy running-config startup-config

🟣Используем terminal length 0 и terminal width 511: Вывод без пауз и в максимально широком формате позволяет получать «чистый» дамп для анализа и копирования.

terminal length 0
terminal width 511
show tech-support

Серверная Админа | #Cisco

- Я потратил весь день на траблшутинг сети
- А ты проверил DNS…?

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Whatweb

🟣WhatWeb - утилита определяет CMS, фреймворки, веб-серверы, JS-библиотеки, аналитики, встроенные устройства и даже версии ПО. Работает на базе 1800+ плагинов и умеет быть как «тихой», так и агрессивной, в зависимости от задачи.

🟣Что реально находит: CMS и их версии (WordPress, Joomla, phpBB), веб-серверы и прокси (nginx, Apache, varnish), фреймворки и библиотеки, аналитики, необычные заголовки, cookies, email’ы, SQL-ошибки и другие артефакты, по которым удобно строить атаку или аудит.

🟣Идея работы: один HTTP-запрос уже даёт кучу подсказок → плагины матчят HTML, заголовки, favicon, пути и хэши → при повышении агрессии WhatWeb делает дополнительные запросы и уточняет версии. Уровень агрессии выбираешь сам - от stealth до heavy.

🟣Быстрый старт:

whatweb example.com
whatweb -v reddit.com slashdot.org
whatweb -a 3 www.wired.com

-v — пояснения от плагинов, -a 3 - аккуратная агрессия для определения версий.

🟣Полезные режимы:

# Скан подсети без шума
whatweb --no-errors 192.168.0.0/24

# HTTPS для всех целей
whatweb --url-prefix https:// 192.168.0.0/24

# Только нужные плагины
whatweb -p wordpress,nginx -a 3 target.com

Выбор плагинов резко снижает шум и делает сканирование менее заметным.

🟣Логи и интеграции: результаты можно сразу писать в JSON, XML, SQL, MongoDB или Elastic — удобно для пайплайнов, отчётов и автокорреляции.

whatweb target.com --log-json result.json
whatweb target.com --log-elastic-host 127.0.0.1:9200

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём, как реально «разогнать» RDP, когда интернет нестабилен и каждая секунда задержки очень дороги.

🟣Сначала - версия клиента: Часто тормоза связаны с устаревшим кодеком или отсутствием новых функций.

Классический mstsc:

(Get-Item "C:\Windows\System32\mstsc.exe").VersionInfo | Select FileVersion

Microsoft Store:

Get-AppxPackage -Name "Microsoft.RemoteDesktop" | Select Name, Version

Новые версии поддерживают H.265 и RDP Multipath, что реально ускоряет поток и снижает лаги на нестабильных каналах.

🟣Проверяем протокол передачи: RDP умеет работать по TCP и UDP. UDP меньше «дёргается» на плохих каналах и лучше справляется с пиковыми задержками.

На клиенте:

netstat -an | find "3389"

Если видим только TCP - интерактивность будет страдать. Иногда стоит принудительно включать UDP для критических задач.

🟣Минимизируем трафик визуализацией: Каждый эффект это лишние мегабайты и задержки.

• Разрешение → 800×600 или меньше
• Цвет → 16 bit вместо 32
• Звук → отключить
• Принтеры, клипборд, лишние устройства → отключить
• Анимации и прозрачность → отключить

🟣Смотрим, что реально идёт по сети: Wireshark покажет, где «тормозит» поток:

tcp.port == 3389 || udp.port == 3389

🟣Замеряем реальный FPS: Глянем, сколько кадров реально доходит

ffmpeg -i rdp_test.mp4 -vf mpdecimate -loglevel debug -f null -

Если выходит ~8 fps вместо 30 - понятно, почему «слайд-шоу». После оптимизации разрешения, цвета и отключения лишних устройств фреймрейт реально растёт.

🟣Иногда лучше вообще забыть про графику. Для администрирования CLI быстрее, чем GUI:

Enter-PSSession -ComputerName server

ssh user@server

Серверная Админа | #RDP

👋 Привет, сетевой друг!

Сегодня разберём разницу между Routing, Switching и Firewall - на простом и понятном примере с обычным домом и его инфраструктурой.

🟣Routing (Маршрутизация): Роутер - это как почтовый ящик на границе участка. Он принимает письма (пакеты) из внешнего мира и решает, в какой именно дом (сеть) их доставить, а также отправляет твои письма наружу. Работает на 3-м уровне (по IP-адресам), выбирает лучший маршрут с помощью таблицы маршрутов и протоколов вроде RIP, OSPF, IS-IS, EIGRP, BGP. Без роутера разные сети (например, твоя домашняя и интернет) просто не смогут общаться.

🟣Switching (Коммутация): Свитч - это электрический щиток внутри дома. Он раздаёт электричество (трафик) по всем комнатам (устройствам): компьютерам, телефонам, телевизорам. Работает на 2-м уровне (по MAC-адресам), быстро и точно доставляет данные только нужному получателю. Поддерживает VLAN (отдельные линии для разных зон), LACP, STP, Port Channel и другие фичи, чтобы всё работало стабильно и без перегрузок.

🟣Firewall (Межсетевой экран): Файрвол - это умная дверь с домофоном и охраной. Он стоит на входе в дом и проверяет каждого входящего и выходящего: разрешён ли этот посетитель, что он несёт, нет ли угрозы? Фильтрует трафик по правилам, скрывает внутренние адреса (NAT/SNAT), обнаруживает атаки (IDS/IPS), строит защищённые туннели (IPsec, IKE), инспектирует содержимое (DPI, HTTPS Inspection) и применяет ACL.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня поговорим о Марвине Минском - ученом, который стал одним из основателей ИИ и когнитивных наук, и чьи идеи до сих пор влияют на AI.

🟣Кто такой Минский: родился в 1927 году в Нью-Йорке, изучал физику, психологию и математику в Гарварде, докторскую защитил в Принстоне по нейросетям. Работал с Джоном Маккарти и другими гигантами науки, создал первую обучающуюся машину SNARC и помог основать Лабораторию AI в MIT.

🟣Научные идеи: Минский показал, что разум - это не один универсальный механизм, а множество взаимодействующих агентов («Сообщество разума»). Он разработал концепцию «фреймов» для структурирования знаний, изучал когнитивное развитие детей, предложил математическое описание психических процессов и заложил основы мультиагентных систем.

🟣Робототехника и технологии: Минский создавал роботов, телеприсутствие, конфокальный микроскоп и прототипы шлемов VR. Он участвовал в разработке HAL 9000 для «Космической одиссеи 2001 года» и вместе с Папертом создал «черепашку» на Logo для обучения программированию детей.

🟣Взгляды на AI: критиковал узконаправленные нейросети («Персептроны»), подчеркивал важность сочетания символических и коннекционистских подходов. Предвидел гибридные системы и AGI, считая, что интеллект возникает из разнообразия методов, а не из одного идеального алгоритма.

🟣Наследие: идеи Минского о мультиагентных системах, фреймах, робототехнике и когнитивной модели разума легли в основу современных AI-платформ, экспертных систем, гибридных моделей и эмоционально-интеллектуальных систем.

Серверная Админа | #история #Network