👋 Привет, сетевой друг!

Сегодня разберём, в чём разница между gRPC и RESTCONF.

🟣gNMI - протокол от OpenConfig, который работает поверх gRPC и Protobuf. Он позволяет устройствам «толкать» телеметрию в реальном времени или «тянуть» конфигурацию через подписки. Гибко, быстро и масштабируемо: нет постоянного опроса, трафик минимальный, данные структурированные и сразу готовы для аналитики.

Пример получения данных о интерфейсах:

gnmi_get -a 10.0.0.1:57400 -u admin -p pass -t "interfaces/interface[name=Ethernet1]"

Или подписка на изменения статистики трафика:

gnmi_subscribe -a 10.0.0.1:57400 -u admin -p pass -t "interfaces/interface/state/counters" -s

🟣RESTCONF - это веб-ориентированная альтернатива NETCONF, тоже с поддержкой YANG. Работает по HTTPS, использует JSON/XML и идеально подходит для интеграции с современными DevOps-инструментами. Пример:

curl -k -u admin:pass -X GET https://10.0.0.1/restconf/data/interfaces/interface=Ethernet1

Для изменения конфига:

curl -k -u admin:pass -X PATCH -H "Content-Type: application/yang-data+json" \
-d '{"interface": {"name": "Ethernet1","enabled": true}}' \
https://10.0.0.1/restconf/data/interfaces/interface=Ethernet1

RESTCONF удобен для скриптов и CI/CD: JSON, HTTPS, а значит, легко вставить в Ansible, Python или Postman.

🟣И в итоге: gNMI крутой для реального времени и больших потоков телеметрии, RESTCONF - для безопасного и современного API-управления. SNMP тут уже кажется прошлым веком, а NETCONF и RESTCONF/ gNMI дают полный контроль и автоматизацию.

Серверная Админа | #grpc #RESTCONF

👋 Привет, сетевой друг!

Расскажу о технологии MPLS Fast Reroute (FRR), которая превращает падение линка из аварии в почти незаметный микрофриз.

🟣Зачем он нужен: в MPLS-сетях пересчёт маршрутов и LSP — процесс не мгновенный. Даже «быстрый» IGP легко уходит в сотни миллисекунд. Для голоса, стриминга и транзакций это уже боль. FRR решает проблему заранее — резерв есть ещё до того, как что-то сломалось.

🟣В чём идея: для каждого основного LSP заранее подготавливается локальный обходной путь - bypass или detour. Как только next-hop пропадает, маршрутизатор не ждёт сигналов от всей сети, а сразу перекидывает пакеты в резерв через другой label stack. Переключение чисто локальное и очень быстрое.

🟣Насколько быстро: обычно укладывается в 10–50 мс. По поведению это ближе к защите в оптике, чем к классической маршрутизации. Большая часть приложений вообще не замечает отказа.

🟣Что делает его реально мощным: можно защищать не только кабель, но и целый маршрутизатор, строить разные обходы под разные LSP, комбинировать с MPLS-TE и не устраивать шторм апдейтов по всей сети при каждой аварии.

Серверная Админа | #MPLS

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Автоматическая ловля портсканеров через PSD (port scan detection): В MikroTik есть встроенный детектор сканирования - без L7 и без скриптов. Он анализирует частоту попыток подключений к разным портам и сам помечает сканеры.

/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 \
    action=add-src-to-address-list \
    address-list=port_scanners address-list-timeout=1d \
    comment="Detect TCP port scanners"

add chain=input src-address-list=port_scanners action=drop \
    comment="Drop detected scanners"

Если IP за короткое время лезет на много портов - улетает в бан на сутки. Отсекает nmap, masscan, zmap и 90% автоматических разведок.

🟣Сброс кривых TCP-пакетов (флаги, которые в нормальной сети не существуют): Большая часть атак и сканов шлёт комбинации флагов, которые обычный стек TCP не использует. Их можно рубить ещё в raw.

/ip firewall raw
add chain=prerouting protocol=tcp tcp-flags=fin,syn action=drop comment="Invalid FIN+SYN"
add chain=prerouting protocol=tcp tcp-flags=fin,rst action=drop comment="Invalid FIN+RST"
add chain=prerouting protocol=tcp tcp-flags=fin,ack action=drop comment="Stealth scan pattern"
add chain=prerouting protocol=tcp tcp-flags=!syn,!ack,!rst,!fin action=drop comment="Null scan"

Что это даёт:
• режет stealth-сканы
• режет странные probing-пакеты
• снижает шум в conntrack

Легальный трафик так никогда не ходит.

🟣Отсечение bogon и поддельных source IP на WAN: Очень много мусора приходит с адресов, которые в интернете вообще не должны существовать: private сети, loopback, multicast и т.п.

/ip firewall address-list
add list=bogons address=0.0.0.0/8
add list=bogons address=10.0.0.0/8
add list=bogons address=127.0.0.0/8
add list=bogons address=169.254.0.0/16
add list=bogons address=172.16.0.0/12
add list=bogons address=192.168.0.0/16
add list=bogons address=224.0.0.0/4

/ip firewall raw
add chain=prerouting in-interface=WAN src-address-list=bogons \
    action=drop comment="Drop spoofed/bogon sources"

Эффекты:
• режется spoofing
• уменьшается нагрузка
• половина мусорных атак даже не доходит до firewall logic

Серверная Админа | #Mikrotik

👋 Привет, сетевой друг!

Сегодня разберём одну из самых частых путаниц в performance-туннинге: Latency ≠ Response Time - и почему из-за этого часто оптимизируют не то место.

🟣Latency - это только путь по сети. Это чистое время передачи пакетов между клиентом и сервером: расстояние, маршрутизация, количество хопов, качество канала, CDN и перегруженные пиринги. Проще говоря - сколько данные физически «летят». Если RTT около 500 мс, то примерно 250 мс уходит в одну сторону, и это ещё не скорость приложения, а лишь транспорт.

🟣Response Time - это то, что реально видит пользователь. Полное время от отправки запроса до получения ответа. Формула всегда одна:

• Response Time = Latency + Processing Time.
• А Processing Time - вся работа сервера: разбор запроса, авторизация, обращения к базе и кэшу, бизнес-логика, генерация и сериализация ответа.

🟣Как это выглядит на деле: Запрос летит к серверу 500 мс, сервер обрабатывает его 1 500 мс, ответ возвращается за 300 мс. Итог - 2,3 секунды. Из них 800 мс это сеть, а полторы секунды чистая обработка. То есть большая часть задержки вообще не связана с инфраструктурой.

🟣Как быстро понять, где настоящий тормоз: Если растёт Latency - проблема почти всегда в сети: маршруты, удалённый дата-центр, отсутствие CDN, перегруженные каналы. Если растёт Processing Time - узкое место внутри сервиса: медленные SQL-запросы, блокировки, тяжёлая логика, паузы сборщика мусора, синхронные вызовы.

Серверная Админа | #latency

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣TCP Intercept для защиты от SYN-флудов: Вместо того чтобы просто дропать пакеты, роутер ведёт TCP handshake и пропускает только легитимные соединения, снижая нагрузку на сервер.

ip tcp intercept list SYN-FLOOD
ip tcp intercept mode intercept
ip tcp intercept max-incomplete 100
ip tcp intercept one-minute

🟣IP SLA Object Tracking для динамического failover: Можно автоматически переключать маршруты или интерфейсы при падении сервиса, а не только линка.

ip sla 1
 icmp-echo 8.8.8.8 source-interface Gi0/0
 frequency 5
ip sla schedule 1 life forever start-time now

track 1 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 10.0.0.1 track 1
ip route 0.0.0.0 0.0.0.0 10.0.0.2 10

🟣Service Policy для QoS на Control Plane: Не только пользовательский трафик, но и OSPF, BGP, SNMP могут перегрузить CPU. Ограничиваем их через QoS.

class-map match-any CTRL-TRAFFIC
 match protocol ospf
 match protocol bgp
 match protocol snmp

policy-map CTRL-POLICY
 class CTRL-TRAFFIC
  police 64000 conform-action transmit exceed-action drop

control-plane
 service-policy input CTRL-POLICY

🟣Embedded Packet Capture (EPC) с фильтром VLAN: Захватываем трафик прямо на коммутаторе или роутере без SPAN-портов и смотрим только нужное.

monitor capture EPC interface Gi1/0/1 both match vlan 10
monitor capture EPC start
monitor capture EPC stop
show monitor capture EPC buffer brief
copy monitor capture EPC tftp://10.0.0.100/capture.pcap

🟣Smart Call Home Alerts: Устройство само отправляет оповещения о проблемах (состояние интерфейсов, ошибки, SLA) на заранее настроенный email или syslog, чтобы админ узнавал раньше, чем падает сеть.

call-home
 profile "ALERTS"
  destination email admin@example.com
  subscribe-to all
  periodic-schedule daily 08:00
  send-alerts

Серверная Админа | #Cisco

📝 История Wi-Fi: как радио из лабораторий стало главным способом выхода в интернет

Сегодня вспомним, как беспроводные сети прошли путь от экспериментальных скоростей до основы домашних и корпоративных сетей.

🟣Когда всё было почти игрушкой: В конце 90-х первый стандарт 802.11 давал всего 2 Мбит/с. Связь легко рвалась, шифрование было слабым, а точки доступа больше напоминали дорогие радиомодемы. Но идея «интернет без проводов» уже выглядела магией.

🟣Взлёт популярности с 802.11b и g: Появились 11 и 54 Мбит/с - скорости, сопоставимые с тогдашним Ethernet. Кафе, офисы и дома начали массово уходить от кабелей. Wi-Fi перестал быть экзотикой и стал стандартом для ноутбуков.

🟣Эра умных антенн и MIMO: Стандарты n и ac научили сеть передавать данные сразу по нескольким потокам. Скорости выросли в разы, стабильность стала выше, а беспроводная сеть впервые начала конкурировать с проводной по качеству.

🟣Гигабиты по воздуху: Wi-Fi 6 и 6E принесли OFDMA, работу с сотнями клиентов и реальные гигабитные скорости в перегруженных сетях. Теперь Wi-Fi это не компромисс, а полноценная инфраструктура.

🟣Почему он победил: Потому что дал свободу. Кабель - это надёжно, но радио про мобильность. А инженеры сумели сделать его достаточно быстрым и стабильным для реальной нагрузки.

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня разберём QUIC + HTTP/3 против TCP + TLS + HTTP/2 - что реально происходит в сети и почему веб переползает на новый транспорт.

🟣Классический стек TCP + TLS + HTTP/2: Браузер открывает сайт в несколько этапов: TCP-рукопожатие, потом TLS-рукопожатие, и только после этого летят HTTP-запросы. Даже в хорошей сети это 2–3 RTT до первого байта.
Главный же минус TCP это строгий порядок доставки. В случае потери одного пакета весь поток ждёт повторной передачи. HTTP/2 мультиплексирует запросы, но внутри одного TCP они всё равно блокируют друг друга.

Проверить соединение:

curl -I –http2 https://example.com

Посмотреть задержки:

curl -w “DNS:%{time_namelookup} TCP:%{time_connect} TLS:%{time_appconnect}\n” -o /dev/null -s https://example.com

🟣Что меняет QUIC: QUIC работает поверх UDP, сразу шифрован. Нет отдельного TCP и TLS, так как всё слито в один слой. Каждый запрос, как отдельный поток.

1️⃣Потерялся пакет видео - не тормозит загрузку HTML. 2️⃣Потерялся кусок картинки - JS выполняется дальше. Соединение привязано к криптосессии, а не к IP.
3️⃣А если переключился с Wi-Fi на LTE, то соединение продолжает жить.

Проверка HTTP/3:

curl -I –http3 https://cloudflare.com
Сравнение:
curl –http3 -v https://cloudflare.com
curl –http2 -v https://cloudflare.com

🟣Почему QUIC рвёт TCP в реальности: В лаборатории TCP нормальный. В реале: мобильные сети теряют пакеты, Wi-Fi скачет по latency, маршруты меняются. TCP начинает простаивать на retransmission. Эмулируем реальный интернет:

tc qdisc add dev eth0 root netem delay 100ms loss 2%

HTTP/2 залипает, HTTP/3 продолжает качать почти без деградации.

🟣Почему CDN массово перешли: Google, Cloudflare, Meta, Akamai уже отдают большую часть трафика по QUIC:

• меньше handshake-задержек
• нет head-of-line blocking
• лучше на мобилках
• проще масштабируется

Серверная Админа | #QUIC #TCP

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Netfox

🟣Netfox - лёгкая библиотека для сетевого дебага в iOS и macOS, которая показывает все HTTP/HTTPS-запросы прямо в приложении. Netfox перехватывает все запросы приложения - ваши, SDK вроде Alamofire или AFNetworking, WebView и даже UIWebView. Можно мгновенно смотреть headers, body, статус ответа, размер и тайминги, прямо в интерфейсе приложения.

🟣Когда это удобно: Если API тупит, SDK ведёт себя странно или баг проявляется только на девайсе, Netfox показывает всё «живьём». Для QA-сборок и тестеров это настоящий спасатель: вы видите, что реально летит и возвращается, и не нужно ловить пакеты через Wireshark или Charles.

🟣Как подключить: Для Swift достаточно одной строки в didFinishLaunchingWithOptions, и только в Debug:

import netfox

#if DEBUG
NFX.sharedInstance().start()
#endif

Логи открываются привычным shake, но можно кастомизировать жест:

NFX.sharedInstance().setGesture(.custom)
NFX.sharedInstance().show()
NFX.sharedInstance().hide()

🟣Управление и фильтры: Можно останавливать Netfox, очищать логи и исключать конкретные URL, чтобы не засорять вывод:

NFX.sharedInstance().stop()
NFX.sharedInstance().ignoreURL("https://api.example.com")

Серверная Админа | #Инструмент

📝 История появления 443 порта

Расскажу про то, как порт 443 незаметно стал главным портом интернета.

🟣Раньше это был "спецпорт": В начале 2000-х 443 использовали точечно: логины, банки, админки. Остальное жило на 80-м порту. HTTPS казался чем-то избыточным, для параноиков. Обычный сайт спокойно работал без шифрования, и никто не парился.

🟣Потом всё изменилось: Публичные Wi-Fi, перехваты трафика, утечки - стало ясно, что HTTP работает как открытка, которую может прочитать кто угодно. Браузеры начали пугать пользователей надписями “Не защищено”, Let’s Encrypt раздал сертификаты бесплатно. Выбора не осталось - либо HTTPS, либо репутационный минус.

🟣443 перестал быть просто вебом: Сейчас через него идёт вообще всё. API (REST, GraphQL), WebSocket’ы, мобильные приложения, VPN-клиенты, корпоративный софт. Даже протоколы, которые изначально не были HTTP, заворачивают в TLS и гонят через 443. Причина в том, что этот порт проходит через любой фаервол без вопросов.

🟣TLS стал обязательным слоем: Современная логика: сначала шифрование, потом всё остальное. QUIC и HTTP/3 работают поверх UDP, но тоже начинаются с TLS. Для сетевого оборудования это выглядит одинаково — просто зашифрованный поток без подробностей.

🟣Удобно, но с нюансом: 443 даёт доступность и защиту, но отнимает видимость. Фаервол не может понять, что внутри: обычный сайт, API или VPN-туннель. Без TLS inspection (а это отдельная история с сертификатами и доверием) сеть работает вслепую. Пропускает всё, но не понимает что.

Серверная Админа | Zeroday | #network

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Динамический бан брутфорса к Winbox/SSH через staged address-list: Вместо мгновенного drop выстраивается «лестница»: первая попытка - короткий таймаут, повторная - длиннее, дальше - суточный бан. Автоматические переборы почти всегда делают серию подключений и быстро попадают в blacklist.

/ip firewall filter
add chain=input protocol=tcp dst-port=22,8291 connection-state=new 
action=add-src-to-address-list address-list=stage1 address-list-timeout=1m

add chain=input protocol=tcp dst-port=22,8291 src-address-list=stage1 
action=add-src-to-address-list address-list=stage2 address-list-timeout=10m

add chain=input protocol=tcp dst-port=22,8291 src-address-list=stage2 
action=add-src-to-address-list address-list=blacklist address-list-timeout=1d

add chain=input src-address-list=blacklist action=drop

Боты отсеиваются автоматически, а легальный админ с одной ошибкой не блокируется навсегда.

🟣Отключение лишних сервисов и ограничение management только из trusted-сетей: Если сервис не используется, он должен быть выключен. Управление роутером не должно быть доступно «со всего интернета».

/ip service disable ftp
/ip service disable www
/ip service set winbox address=192.168.88.0/24
/ip service set ssh address=192.168.88.0/24

🟣Ограничение ICMP и защита от простых flood-атак: Полностью блокировать ICMP не стоит, но ограничить частоту - разумно. Это снижает эффект ping-flood и уменьшает нагрузку.

/ip firewall filter
add chain=input protocol=icmp limit=5,10 action=accept 
comment=“Allow limited ICMP”

add chain=input protocol=icmp action=drop 
comment=“Drop excessive ICMP”

Серверная Админа | Бункер Хакера | #Mikrotik

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Project-Deep-Focus

🟣Что это вообще: Deep Focus - асинхронный сканер, который не просто стучится в порты, а ещё и выясняет отношения с сервисами. Открыт порт 21? Отлично, а FTP там анонимный или нет? Висит VNC? А пароль-то стоит? Работает с HTTP, SSH, RDP, RTSP, MQTT и кучей других протоколов.

🟣Зачем это нужно на деле: Находить то, что забыли закрыть. Анонимные FTP-шары, VNC без пароля, камеры видеонаблюдения в открытом доступе, MQTT-брокеры без auth. Штука не для взлома, а для того чтобы самому не оказаться в подборке “топ-10 провалов ИБ этого месяца”. Сканируешь свою сеть - закрываешь дыры до того, как их нашли не те люди.

🟣Делает целый ответ: Определяет версии SSH (OpenSSH vs Dropbear), модели сетевого железа, режимы безопасности RDP, параметры TLS, даже бренды IP-камер по RTSP. То есть не “там что-то на 22 порту”, а “там OpenSSH 8.2 на Ubuntu, вероятно сервер разработки”. Уже можно строить гипотезы.

🟣Асинхронность - важная фишка здесь. Сотни потоков одновременно, настраиваемая агрессивность, чтобы не положить домашний роутер. Для тех, кто сканирует с ноутбука - есть governor: при перегреве процессора автоматом сбрасывает темп.

🟣Запускаем всего с тремя командами. Никаких извращений с конфигами:

deepfocus
Дальше управление через консоль:
/settings   # указываешь диапазон
/scan       # погнали
/stop       # стоп, выгрузить результаты

Диапазоны - стандартный CIDR:

192.168.1.0/24
10.0.0.0/16

Серверная Админа | #Инструмент