👋 Привет, сетевой друг!

VLAN и Subnet - это два механизма сегментации сети, которые часто идут вместе, но вообще-то работают на разных уровнях и решают разные задачи. Разберем, в чем конкретно разница между ними.

🟣VLAN - логическая сегментация на уровне L2 (Data Link). Он разбивает одну физическую инфраструктуру на несколько изолированных broadcast-доменов. Устройства в разных VLAN не видят широковещательный трафик друг друга, даже если подключены к одному и тому же коммутатору. Это снижает broadcast-нагрузку, повышает изоляцию и позволяет строить отдельные логические сети без изменения кабельной схемы. Настраивается VLAN на коммутаторах, а трафик между ними передаётся через trunk-порты с тегированием (802.1Q). Для связи между VLAN требуется inter-VLAN routing через L3-коммутатор или маршрутизатор.

🟣Subnet - логическая сегментация на уровне L3 (Network). Подсеть определяется IP-диапазоном и маской и задаёт границы маршрутизации. Она управляет тем, какие адреса считаются «локальными», а какие требуют отправки трафика на шлюз. Подсети используются для структурирования адресного пространства, контроля маршрутов и оптимизации сетевого планирования. Связь между разными подсетями возможна только через маршрутизатор, поскольку это уже межсетевое взаимодействие.

🟣Ключевое различие в том, что VLAN изолирует канальный трафик и управляет broadcast-доменами, а Subnet определяет IP-логику и маршрутизацию. Часто проектируют сеть так, что одной VLAN соответствует одна подсеть - это упрощает администрирование и диагностику. Но технически можно построить несколько подсетей внутри одной VLAN или наоборот, если архитектура того требует.

Серверная Админа | Zeroday | #VLAN #subnet

👨‍💻Серверная Админа | #мем

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте NanoWOL

🟣Что это: NanoWOL объединяет Wake-on-LAN и удалённый shutdown, но не просто «включай-выключай». Каждая команда подписана RSA 2048, проверяется timestamp и nonce, так что никто не сможет прислать пакет и включить или выключить вашу машину случайно. Агент ставится на целевой ПК, а контроллер управляет им по ключу.

🟣Что умеет: Можно разбудить выключенный сервер или домашний ПК одним «магическим» пакетом, а после работы выключить его безопасно. Плюс есть опция закрыть порты после shutdown, чтобы система была полностью изолирована до следующего включения.

🟣Управление через Web UI или CLI удобно для скриптов и автоматизации. Сервисный режим гарантирует, что агент стартует вместе с системой или при логине. Поддерживаются Windows, Linux и macOS - одна настройка, и машины под контролем.

🟣Как это выглядит на деле:

1️⃣Генерируем RSA-ключи на контроллере:

python nanowol.py keygen

2️⃣Запускаем агент на целевом ПК:

python nanowol.py agent --mac AA:BB:CC:DD:EE:FF --public-key ./keys/public.pem

3️⃣Управляем с контроллера:

Через браузер (Web UI):

python nanowol.py webui --target http://TARGET_IP:5000 --mac AA:BB:CC:DD:EE:FF

Через CLI:

python nanowol.py wake --mac AA:BB:CC:DD:EE:FF
python nanowol.py shutdown --target http://TARGET_IP:5000

Контроль над машинами идёт строго по MAC и ключу, случайные ПК в сети игнорируются.

Серверная Админа | Белый Хакер | #Инструмент

📝 История RAID: как научились не бояться падения дисков

Технология, которая превратила отказ диска из катастрофы в обычное дело.

🟣Когда один диск стал проблемой: В 80-х один HDD означал одну точку отказа - сбой приводил к простою и потере данных. В 1987 году исследователи из университета в США предложили концепцию RAID - объединить несколько недорогих дисков в массив с избыточностью. Система видит одно хранилище, но данные внутри распределяются так, чтобы пережить отказ накопителя.

🟣От зеркала до чётности: RAID 1 дал зеркалирование, RAID 5 - распределённую чётность и устойчивость к отказу одного диска, RAID 6 - к двум. RAID 0 ускоряет работу за счёт striping, но не даёт защиты. Каждый уровень - компромисс между скоростью, объёмом и надёжностью.

🟣Контроллер и масштаб: Аппаратный RAID использует собственный контроллер и кэш, программный (mdadm в Linux) - дешевле и гибче. С ростом объёмов увеличилось время rebuild: пересборка может идти часы или дни, а в этот момент массив уязвим. Сценарии URE показали, что RAID не заменяет резервное копирование.

🟣Почему он жив: SSD и NVMe изменили носители, но не принцип избыточности. RAID - это про «когда диск выйдет из строя». Он не спасает от всех рисков, но делает инфраструктуру предсказуемой.

Серверная Админа | Бункер Хакера | #RAID

👋 Привет, сетевой друг!

Сегодня о VLAN Hopping - атаке, которая позволяет перескочить из одной VLAN в другую и обойти сегментацию.

🟣Отключение DTP и жёсткий access-режим (Cisco): большинство атак строится на попытке договориться со свитчем о trunk-соединении. Если порт не должен быть trunk - он не должен вести переговоры.

interface Gi1/0/10
 switchport mode access
 switchport nonegotiate
 switchport access vlan 10

DTP отключён, порт работает строго как access. Переключиться в trunk извне не получится.

🟣Жёсткая фиксация native VLAN на trunk-портах: double-tagging использует несовпадение native VLAN. Если trunk настроен корректно и native VLAN не используется для пользовательского трафика, атака теряет смысл.

interface Gi1/0/1
 switchport mode trunk
 switchport trunk native vlan 999
 switchport trunk allowed vlan 10,20,30

Native VLAN выносится в отдельный, неиспользуемый сегмент, а список разрешённых VLAN ограничивается явно.

🟣Запрет неиспользуемых VLAN на аплинках: чем меньше разрешённых VLAN на trunk, тем меньше поверхность атаки. Не стоит оставлять all по умолчанию, только те VLAN, которые реально нужны.

🟣Отключение пользовательских портов по умолчанию: свободные интерфейсы переводятся в shutdown и помещаются в «чёрную» VLAN.

interface range Gi1/0/20-48
 switchport mode access
 switchport access vlan 999
 shutdown

Физический доступ - частый старт атаки. Неактивный порт нулевая точка входа.

🟣Изоляция управления: management VLAN не должна совпадать с пользовательскими сегментами. Доступ к управлению только через ACL и из доверенной сети.

Серверная Админа | Белый Хакер | #network

👋 Привет, сетевой друг!

Сегодня разберём протокол, который чаще остаётся где-то там за кадром, но реально супер нужен - Generic Attribute Registration Protocol (GARP).

🟣Что это: GARP позволяет устройствам объявлять свои возможности и интересы на L2. По сути, это «социальная сеть» для сетевых атрибутов: кто что поддерживает и куда подписан. На его базе строятся VLAN Registration Protocol (GVRP) и Multicast Registration Protocol (GMRP).

🟣Зачем он нужен: благодаря GARP коммутаторы автоматически узнают, какие VLAN активны на соседних портах, или какие мультикаст-группы интересны подключённым устройствам. Это снижает ручное администрирование и минимизирует лишний трафик на всех портах.

🟣Минимальная настройка на Cisco IOS (GVRP пример):

vlan 10,20,30
 gvrp registration
interface Gi0/1
 switchport mode trunk
 gvrp enable

После этого интерфейс начинает объявлять свои VLAN и узнавать VLAN соседей автоматически.

🟣Что смотреть и дебажить:

show gvrp
show gvrp detail

В отчёте видно, какие VLAN зарегистрированы на порту, кто является источником объявления и какие изменения произошли.

Серверная Админа | Zeroday | #Network

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Nibble CLI

🟣Что это: лёгкая CLI-утилита для быстрого обзора своей подсети. Вы выбираете сетевой интерфейс, после чего Nibble сканирует сеть: находит активные хосты, определяет производителя устройства по MAC и проверяет открытые порты. Перед началом сканирования инструмент не генерирует трафик - сначала выбирается интерфейс, и только потом запускается проверка сети.

🟣Что умеет: быстро показывает устройства в сети и их сервисы. По умолчанию проверяются популярные порты - SSH, Telnet, HTTP, HTTPS, SMB, RDP и другие. Если порт открыт, Nibble читает баннер сервиса - можно сразу увидеть версию OpenSSH, nginx и других демонов. Это удобно для быстрого аудита сети и поиска забытых сервисов.

🟣Установка:

Go:

go install github.com/backendsystems/nibble@latest

Homebrew:

brew install backendsystems/tap/nibble

Python:

pipx install nibble-cli

npm:

npm install -g @backendsystems/nibble

Без установки:

npx @backendsystems/nibble

🟣Запуск:

nibble

Выбираете сетевой интерфейс и запускаете скан.

Серверная Админа | Белый Хакер | #Инструмент

👋 Привет, сетевой друг!

5 полезных фишек MikroTik, которые должен знать каждый сетевой админ

🟣FastTrack - ускорение маршрутизации на уровне ядра: FastTrack позволяет пропускать established-соединения мимо части firewall и connection tracking. Это снижает нагрузку на CPU и заметно увеличивает throughput на нагруженных роутерах.

add chain=forward connection-state=established,related \
action=fasttrack-connection
add chain=forward connection-state=established,related \
action=accept

После этого основной поток трафика обрабатывается быстрее.

🟣Address-list как динамический инструмент безопасности
Address-list можно использовать не только как статический список, но и как динамический механизм защиты. Например, автоматически добавлять IP, которые слишком часто открывают новые соединения.

/ip firewall filter
add chain=input protocol=tcp connection-limit=30,32 \
action=add-src-to-address-list address-list=abuse \
address-list-timeout=1h

IP с подозрительной активностью автоматически попадает в список.

🟣Connection tracking для анализа трафика
RouterOS умеет показывать активные соединения и их состояние. Это быстрый способ понять, кто генерирует трафик и какие сервисы реально используются.

/ip firewall connection print where dst-port=443

Полезно при поиске «шумных» клиентов или подозрительных соединений.

🟣Torch - живой анализ трафика на интерфейсе
Torch показывает поток трафика в реальном времени: IP, порт, протокол и скорость. Очень удобен для диагностики, когда нужно быстро понять источник нагрузки.

/tool torch ether1

Можно фильтровать по IP, портам и протоколам прямо во время анализа.

🟣Safe Mode - страховка от потери доступа
При удалённой настройке роутера можно случайно отрезать себе доступ. Safe Mode откатывает изменения, если соединение с устройством оборвётся.

Ctrl + X

Серверная Админа | Zeroday | #MikroTik

👋 Привет, сетевой друг!

Сегодня разберём протокол TRILL, о котором редко вспоминают, но он был одной из первых попыток «починить» классический Ethernet.

🟣Что это: TRILL появился как ответ на главную боль L2-сетей - Spanning Tree. В обычной сети часть линков неизбежно блокируется, чтобы не возникло петель. В итоге половина каналов просто простаивает. TRILL предложил другой подход: оставить Ethernet, но пересылать кадры как в маршрутизируемой сети. Коммутаторы становятся RBridge (Routing Bridge) и передают трафик по кратчайшему пути.

🟣Как это работает: когда кадр попадает в TRILL-сеть, он инкапсулируется в специальный TRILL-заголовок. Дальше кадр путешествует по фабрике уже не по логике STP, а по рассчитанному маршруту. Топологию сеть узнаёт через IS-IS, поэтому каждый RBridge понимает, где находятся соседи и какие пути доступны.

🟣Зачем это вообще придумали: в дата-центрах между коммутаторами обычно десятки параллельных линков. С классическим STP половина из них простаивает. TRILL позволил использовать всю пропускную способность фабрики и при этом сохранить привычную L2-логику для серверов.

🟣Пример базового включения (Juniper):

set protocols trill enable
set protocols trill nickname 0x1001
set protocols trill interface xe-0/0/0
set protocols trill interface xe-0/0/1

После этого устройства начинают обмениваться информацией о топологии и формируют TRILL-домен.

🟣Что смотреть при диагностике:

show trill adjacency
show trill database
show trill interface

В выводе видно соседние RBridge, базу топологии и состояние линков.

Серверная Админа | Zeroday | #Network

📝 MVC vs MVP: в чём реальная разница

👋 Привет, сетевой друг!

Оба паттерна решают одну задачу: разделить логику, данные и отображение. Но делают это по-разному, и разница важна.

🟣MVC (Model–View–Controller) - View и Model знают друг о друге. View слушает изменения в Model и обновляется сам. Controller обрабатывает события от View, работает с Model, и может напрямую обновить View, минуя Model. Это даёт гибкость, но и связность: компоненты зависят друг от друга.

🟣MVP (Model–View–Presenter) - View ничего не знает о Model. Все события идут в Presenter, он работает с Model, получает данные обратно и сам обновляет View. View здесь пассивный - просто отображает то, что ему сказали. Это делает View легко тестируемым в изоляции.

🟣Главное различие в том, кто управляет потоком. В MVC View может реагировать на Model напрямую. В MVP всё проходит через Presenter, и View остаётся тупым экраном. MVP сложнее в плане бойлерплейта, но проще в тестировании и поддержке крупных проектов.

Серверная Админа | Zeroday | #MVC #MVP

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте nerva

🟣Nerva - утилита на Go, которая определяет какой сервис по факту работает на открытом порту. И выдает не пустое «порт 22», а конкретно - SSH, Redis, Kafka, Kubernetes API и ещё десятки других протоколов. Этот тул анализирует ответы сервиса, баннеры и особенности протокола и возвращает метаданные: тип сервиса, транспорт (TCP/UDP/SCTP), иногда версию и дополнительные детали.

🟣Что умеет: Nerva поддерживает более 120 протоколов - от классических сервисов вроде HTTP, FTP и PostgreSQL до вещей из телеком-сетей и industrial-инфраструктуры: Diameter, GTP, Modbus, BACnet.

🟣Установка:

go install github.com/praetorian-inc/nerva/cmd/nerva@latest

🟣Быстрые примеры работы:

Определить сервис на порту:

nerva -t example.com:22

Получить структурированный JSON-результат:

nerva -t example.com:22 --json

Частый сценарий — связка со сканером портов:

naabu -host example.com -silent | nerva

Сканер ищет открытые порты, а Nerva сразу показывает, какие сервисы за ними стоят.

Серверная Админа | Белый Хакер | #Инструмент

📝 История MPLS: как трафик перестал блуждать по сети

Технология, которая превратила отказ диска из катастрофы в обычное дело.

Технология, которая превратила маршрутизацию из «куда короче» в «куда нужно».

🟣Когда IP стал узким местом: В 90-х классическая маршрутизация уже начинала упираться в пределы. Каждый пакет требовал lookup в таблице, а таблицы росли. Параллельно операторы хотели управлять трафиком осознанно, а не просто отправлять его по shortest path. Нужен был способ ускорить пересылку и добавить контроль. Так появился MPLS с идеей передавать пакеты не по IP, а по меткам.

🟣От адресов к меткам: На входе в сеть пакет получает label. Дальше маршрутизаторы не разбирают IP-заголовок, а просто переключают его по таблице меток. Это быстрее и даёт возможность заранее определить путь. Так появились LSP, по сути туннели, по которым трафик идёт предсказуемо.

🟣Трафик под контролем: MPLS позволил делать то, чего не хватало обычному IP. Трафик можно направлять не по кратчайшему пути, а по загруженности или политике. Появились L3VPN и L2VPN, когда на одной физической сети живут десятки изолированных клиентов. Для операторов это стало основой бизнеса.

🟣Рост и побочные эффекты: Вместе с возможностями пришла сложность. Появились LDP, RSVP-TE, куча состояний и меток. Ошибка в конфиге может привести к blackhole, и дебажить это уже сложнее, чем обычный routing. Нужно понимать не только маршруты, но и как живёт label stack.

🟣Почему он до сих пор с нами: Несмотря на SDN и overlay, MPLS никуда не делся. Он даёт предсказуемость и контроль на уровне, который сложно повторить. Это уже не про ускорение, а про управление сетью как системой, а не набором маршрутов.

Серверная Админа | Бункер Хакера | #MPLS

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Детект сканирования через ловушку: Создаём порт, на который никто легитимно не должен стучаться. Кто стучится - сразу в бан.

/ip firewall filter
add chain=input protocol=tcp dst-port=23,135,139 connection-state=new action=add-src-to-address-list address-list=scanners address-list-timeout=7d comment="honeypot ports"
add chain=input src-address-list=scanners action=drop

Telnet и NetBIOS в продакшне никому не нужны. Зато сканер сразу себя выдаёт.

🟣Контроль DNS-запросов изнутри сети: Если клиент пытается уйти на внешний DNS мимо вашего — это повод задуматься. Малварь и туннели часто используют именно свой резолвер.

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 !dst-address=192.168.1.1 action=redirect to-ports=53
add chain=dstnat protocol=tcp dst-port=53 !dst-address=192.168.1.1 action=redirect to-ports=53

Весь DNS-трафик теперь идёт через роутер, независимо от настроек клиента.

🟣Детект аномального объёма трафика с хоста:

/ip firewall filter
add chain=forward src-address=192.168.0.0/24 action=passthrough limit=5M,10M:packet
add chain=forward src-address=192.168.0.0/24 action=add-src-to-address-list address-list=flood_suspects address-list-timeout=30m

Серверная Админа | Бункер Хакера | #Mikrotik