👋 Привет, сетевой друг!

Сегодня разберём протокол LISP - штуку, которая пытается развести адресацию и маршрутизацию по разным ролям.

🟣Что это: в классическом IP один и тот же адрес отвечает сразу за всё - и «кто это», и «где это». Из-за этого возникают проблемы с масштабированием, мобильностью и таблицами маршрутизации.

🟣LISP разделяет эти роли: есть EID (Endpoint ID) - кто это, и есть RLOC (Routing Locator) - где это в сети.

То есть устройство может менять своё положение в сети, но его «идентичность» остаётся прежней.

🟣Как это работает:
когда пакет идёт к EID, пограничное устройство (xTR) смотрит, где находится нужный хост, и инкапсулирует пакет в новый IP-заголовок с RLOC. Дальше трафик едет по обычной сети до нужного узла, где декапсулируется и доставляется получателю. Чтобы это работало, используется mapping-система, которая отвечает на вопрос: какой RLOC соответствует этому EID.

🟣Зачем это вообще нужно: главная цель - уменьшить размер глобальных routing-таблиц и упростить жизнь при миграции и мультихоминге. Например, можно менять провайдера или локацию без смены IP для сервисов. Для дата-центров и больших сетей это сильно упрощает архитектуру.

🟣Пример базовой настройки (Cisco IOS XE):

router lisp
 locator-set RLOC_SET
  interface GigabitEthernet0/0
 !
 eid-table default instance-id 0
  database-mapping 10.0.0.0/24 locator-set RLOC_SET

После этого роутер начинает объявлять свои EID и участвовать в LISP-домене.

🟣Что смотреть при диагностике:

show lisp mappings
show lisp session
show lisp interface

В выводе видно соответствия EID ↔ RLOC, состояние сессий и работу интерфейсов.

🟣LISP в итоге так и не стал массовым стандартом в интернете, но его идеи активно используются в SDN и overlay-сетях. По сути это ещё одна попытка отделить «кто» от «где» и сделать сеть более гибкой.

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣NETCONF + YANG для программного управления конфигом - вместо CLI-скриптов через expect получаем структурированный XML-интерфейс. Можно читать и менять конфиг программно, с валидацией по YANG-модели, без риска сломать парсинг вывода.

# Включаем NETCONF на устройстве
netconf-yang
!
# Запрос через ncclient (Python)
from ncclient import manager
with manager.connect(host="10.0.0.1", port=830,
    username="admin", password="cisco",
    hostkey_verify=False) as m:
    print(m.get_config(source="running"))

🟣Conditional Debug с ACL-фильтром - обычный debug ip packet в проде убивает CPU. С условием отлаживаем только конкретный хост или subnet, остальной трафик игнорируется отладчиком.

debug ip packet detail
debug condition interface Gi0/1
debug condition ipv4 access-list DEBUG_FILTER
!
ip access-list extended DEBUG_FILTER
 permit ip host 192.168.1.100 any

🟣Object Tracking с boolean-логикой - несколько track-объектов объединяются через AND/OR. Можно строить сложные условия failover: переключать маршрут только если одновременно недоступны два провайдера, а не один.

track 1 ip sla 1 reachability
track 2 ip sla 2 reachability
track 10 list boolean and
 object 1
 object 2
ip route 0.0.0.0 0.0.0.0 10.0.2.1 track 10

🟣TCL-скрипты прямо в IOS - для одноразовых задач: mass-ping по списку хостов, автопроверка связности, генерация отчёта. Не требует внешнего сервера, работает на самом устройстве.

tclsh
foreach host {8.8.8.8 1.1.1.1 10.0.0.1} {
    catch {exec ping $host repeat 3} output
    puts "$host: $output"
}

🟣RSPAN для удалённого зеркалирования трафика - в отличие от локального SPAN, RSPAN тянет копию трафика через VLAN до удалённого анализатора. Можно подключить Wireshark на другом конце сети, не физически перемещая оборудование.

vlan 999
 remote-span
!
monitor session 1 source interface Gi0/1
monitor session 1 destination remote vlan 999
!
# На целевом свиче:
monitor session 2 source remote vlan 999
monitor session 2 destination interface Gi0/24

Серверная Админа | Zeroday | #Cisco

📝 DNS-записи - справочник, который должен знать каждый

👋 Привет, сетевой друг!

DNS работает не одной записью, а целым набором типов. Каждый отвечает за свою задачу, разберём все по порядку.

🟣A и AAAA: A-запись связывает домен с IPv4, AAAA с IPv6. Первое, что проверяют при диагностике любой сетевой проблемы.

🟣PTR: Обратная резолюция, адрес в имя. Используется в почтовых серверах и логах. Отсутствующий PTR частая причина, почему письма уходят в спам.

🟣CNAME: Псевдоним домена, www.my.com → my.com. Именно через брошенные CNAME происходит subdomain takeover - запись есть, ресурса нет, его можно занять.

🟣MX: Указывает сервер для приёма почты домена. Чем меньше число приоритета, тем выше в очереди стоит сервер.

🟣NS: Какие серверы авторитативны для домена. Компрометация NS это перехват всего, что связано с доменом.

🟣TXT: Формально просто строка, но там живут SPF, DKIM, DMARC и верификационные токены. Аудит TXT-записей показывает, какие сторонние сервисы подключены к домену.

🟣SRV: Хост и порт для конкретного сервиса. Используется в SIP, XMPP, Kubernetes. При разведке помогает понять топологию инфраструктуры.

🟣SOA: Первичный NS, email администратора, серийный номер зоны. По серийному номеру видно, как давно и как часто зона обновляется.

🟣CAA: Какие CA имеют право выпускать SSL для домена. Записи нет, любой центр может выпустить сертификат.

Серверная Админа | Zeroday | #VLAN #subnet

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Hyperdbg

🟣Что это: HyperDbg - это топовый отладчик для Windows. Инструмент юзает современные аппаратные возможности, чтобы отслеживать выполнение кода в ядре и пользовательском режиме. Он не полагается на стандартные API Windows, поэтому остаётся незаметным для антиотладки и античитов.

🟣Как он работает: HyperDbg виртуализирует уже работающую систему через Intel VT-x и EPT. Кадры инструкций и обращения к памяти можно мониторить через скрытые хуки, а выполнение кода - контролировать на уровне гипервизора.

🟣Особенности HyperDbg:
Невидимые EPT-хуки (Inline и Classic), мониторинг памяти для чтения и записи без ограничений, контроль RDMSR/WRMSR, RDTSC, CPUID, SYSRET и SYSCALL. Слежение за исключениями, внешними прерываниями и MMIO. Автоматизация через встроенный скриптовый движок, трекинг вызовов функций и адресов возврата. Поддержка PDB, маппинг структур и enum.

🟣Как запустить:

Собрать и запустить локально:

git clone --recursive https://github.com/HyperDbg/HyperDbg.git
cd HyperDbg
# см. документацию для сборки под Windows

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣RAW table до conntrack (срез мусора на входе): Фильтровать трафик до того, как он попадёт в connection tracking - экономит CPU и память. Особенно на DDoS или сканах.

/ip firewall raw
add chain=prerouting src-address-list=blacklist action=drop
add chain=prerouting protocol=tcp dst-port=22,8291 connection-state=new src-address-list=!trusted action=drop

RAW не трогает conntrack - лишние соединения даже не создаются.

🟣Fast path для UDP транзита (ускорение потокового трафика): UDP-трафик внутри сети, VPN или стриминг можно пропустить через fast path, чтобы bypass stateful-фильтрацию.

/ip firewall raw
add chain=prerouting protocol=udp src-address=10.10.0.0/16 dst-address=10.20.0.0/16 action=notrack
add chain=output protocol=udp src-address=10.20.0.0/16 dst-address=10.10.0.0/16 action=notrack

Трафик летит быстрее, нагрузка на CPU падает, особенно при больших потоках.

🟣Queue Tree + PCQ (нормальный QoS, а не simple queues): Когда нужно делить канал честно между клиентами, а не “кто первый занял - того и скорость”.

/queue type
add name=pcq-download kind=pcq pcq-rate=50M pcq-classifier=dst-address
add name=pcq-upload kind=pcq pcq-rate=50M pcq-classifier=src-address

/queue tree
add name=download parent=global-in queue=pcq-download
add name=upload parent=global-out queue=pcq-upload

Каждый клиент получает свою долю, даже если один начинает грузить канал.

Серверная Админа | Бункер Хакера | #Mikrotik

📝 История NAT: как адреса из одного провайдера стали жить везде

Сегодня разберём, как обычный приём с адресами позволил интернету выжить при дефиците IPv4.

🟣Дефицит IPv4: В 90-х стало понятно, что 4,3 млрд адресов IPv4 не хватит даже для всех компьютеров в мире. И решение: Network Address Translation - NAT. Один публичный IP мог обслуживать десятки, сотни, тысячи устройств за маршрутизатором. Это позволило провайдерам масштабировать сеть без покупки сотен тысяч дополнительных IP.

🟣Как работает: Устройство в локальной сети получает приватный адрес (например, 192.168.x.x), а роутер меняет его на публичный при выходе в интернет. Возвратные пакеты мапятся обратно на конкретное устройство. NAT создаёт виртуальный мост между приватной сетью и глобальной, позволяя сотням устройств делить один IP.

🟣Виды NAT:
• Static NAT - один к одному, удобно для серверов.
• Dynamic NAT - адрес берётся из пула по мере необходимости.
• PAT (Port Address Translation) - один IP, разные порты для каждого клиента; именно PAT позволил сотням устройств за NAT одновременно выходить в интернет.

🟣Плюсы и минусы: NAT спас IPv4, позволил домашним сетям и провайдерам масштабироваться без сотен миллионов адресов. Минус - усложняет прямой доступ к устройствам внутри сети, мешает peer-to-peer соединениям, VoIP, некоторым VPN и службам видеонаблюдения.

Серверная Админа | Бункер Хакера | #NAT

📝 Специальные IPv4-адреса: 4 блока, которые нужно держать в голове

👋 Привет, сетевой друг!

🟣Служебные (поведение системы): 0.0.0.0 - неопределённый адрес: используется как «нет IP» и как default route (0.0.0.0/0). 255.255.255.255 - broadcast: широковещание на весь сегмент, например в DHCP Discover. 127.0.0.0/8 - loopback: трафик не выходит наружу, всё остаётся внутри машины (127.0.0.1 для тестов и локальных сервисов).

🟣Автоконфигурация и NAT: 169.254.0.0/16 - APIPA: если DHCP не ответил, хост сам назначает себе адрес, сеть частично жива, но инфраструктура не работает. 100.64.0.0/10 - CGNAT: адреса провайдера для массового NAT, означает двойной NAT и отсутствие прямого входящего доступа.

🟣Рассылка и группы: 224.0.0.0 – 239.255.255.255 - multicast: один источник отправляет трафик группе получателей (OSPF, IPTV, стриминг). В отличие от broadcast, трафик идёт только подписчикам группы, а не всем в сети.

🟣Для примеров и локальных сетей: 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24 - TEST-NET: используются в документации и примерах, не должны встречаться в реальной сети. 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 - private: реальные локальные сети, не маршрутизируются в интернете и выходят наружу через NAT.

Серверная Админа | Zeroday | #iPv4

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте AlpiNet

🟣Что это: AlpiNet - это лёгкий Docker-образ на базе Alpine Linux, который используется как виртуальный ПК в GNS3. По идее - готовый сетевой хост с уже установленным набором инструментов для тестирования, диагностики и обучения. Подходит, когда нужен “чистый клиент” внутри лаборатории без лишнего мусора.

🟣Как он работает:
Запускается как обычный Docker-контейнер, но внутри GNS3 ведёт себя как полноценный узел сети. Можно подключать к топологиям, гонять трафик, снимать дампы, тестировать маршрутизацию и firewall-правила.
За счёт Alpine-базы образ остаётся компактным (~84MB), быстро стартует и не съедает ресурсы даже при нескольких инстансах.

🟣Особенности AlpiNet: Минимальный размер без потери функциональности, предустановленный набор сетевых утилит (iproute2, tcpdump, nmap, iperf3), поддержка сразу трёх стеков firewall (iptables, ip6tables, nftables), удобный тулсет для диагностики (mtr, traceroute, curl, netcat), персистентный /root (сохраняет конфиги и скрипты между перезапусками), готовность к работе в GNS3 без дополнительной сборки.

🟣Как запустить:

Собрать локально:

git clone https://github.com/nazdridoy/alpinet.git
cd alpinet
docker build -t alpinet:latest .

Или скачать готовый образ:

docker pull nazdridoy/alpinet:latest

Запуск:

docker run -it --rm alpinet:latest

С персистентными данными:

docker run -it --rm -v alpinet-data:/root alpinet:latest

В GNS3 - импорт через .gns3a или вручную через Docker templates.

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣IP Event Dampening: Не путать с BGP dampening. Здесь речь про подавление “флапающих” интерфейсов на L3 - полезно, когда линк нестабилен и триггерит пересчёт маршрутизации.

interface Gi0/1
 dampening 30 1000 2000 60

Интерфейс будет временно “гаситься”, чтобы не дестабилизировать всю сеть.

🟣CEF polarization fix (load-balancing hashing tweak): При ECMP может возникать polarization - одинаковые хэши → перегруз одного линка. Можно менять алгоритм хэширования.

ip cef load-sharing algorithm universal
ip cef load-sharing algorithm include-ports source destination

Позволяет более равномерно распределять трафик, особенно в spine-leaf.

🟣Selective NetFlow (Flexible NetFlow с фильтрацией): Снимать весь трафик дорого. Можно экспортировать только нужные потоки - например, только подозрительный subnet или конкретные порты.

flow record CUSTOM
 match ipv4 source address
 match ipv4 destination address
 match transport destination-port
!
flow exporter EXPORTER
 destination 10.0.0.2
 transport udp 2055
!
flow monitor MON
 record CUSTOM
 exporter EXPORTER
!
interface Gi0/1
 ip flow monitor MON input

Даёт наблюдаемость без лишней нагрузки.

🟣IP Local Policy (PBR для control-plane): Обычный PBR не влияет на трафик, сгенерированный самим роутером. Для этого есть local policy.

route-map LOCAL-PBR permit 10
 match ip address 102
 set ip next-hop 10.0.0.1
!
ip local policy route-map LOCAL-PBR

Можно управлять, как сам роутер ходит к syslog, NTP, TACACS и т.д.

🟣TCP Adjust MSS на edge: Когда есть туннели (GRE, IPsec), часто ловят проблемы с fragmentation. MSS можно подрезать на входе.

interface Gi0/1
 ip tcp adjust-mss 1360

Устраняет странные “подвисания” TCP без дебага на час.

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня разберу RADIUS - протокол, который стоит за каждой корпоративной авторизацией, но про который редко говорят отдельно.

🟣Что делает RADIUS: когда пользователь подключается к Wi-Fi, VPN или коммутатору через 802.1X, устройство доступа (NAS) не проверяет пароль само. Оно пересылает credentials на RADIUS-сервер, тот проверяет по своей базе или через LDAP/AD и отвечает Access-Accept, Access-Reject или Access-Challenge.

🟣Три актора в каждой сессии: клиент (пользователь), NAS (точка доступа, свитч, VPN-концентратор) и RADIUS-сервер. NAS и RADIUS общаются по UDP 1812, между собой их связывает только shared secret.

🟣Пример конфига FreeRADIUS:

# clients.conf
client 192.168.1.1 {
    secret = supersecret
    shortname = switch-core
}

# users
john Cleartext-Password := "pass123"
     Service-Type = Framed-User

🟣Проверка через radtest:

radtest john pass123 127.0.0.1 0 supersecret

Access-Accept в ответе - сервер живой и конфиг правильный.

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня разберём, как ускорить диагностику сети когда что-то упало и нужно найти причину быстро.

🟣Сначала смотрим где обрывается путь:

traceroute -n 8.8.8.8        # Linux
tracert -d 8.8.8.8           # Windows

Ключ -n и -d отключают реверс-резолюцию DNS - без него каждый хоп ждёт таймаут и traceroute тянется минутами.

🟣Проверяем потери пакетов через mtr - это traceroute и ping одновременно в реальном времени:

mtr -n --report --report-cycles 100 8.8.8.8

100 циклов дают статистически честную картину потерь на каждом хопе.

🟣Смотрим таблицу маршрутов быстро:

ip route show                 # Linux
route print                   # Windows
netstat -rn                   # универсально

Часто проблема в том, что трафик уходит не в тот интерфейс или шлюз вообще не прописан.

🟣Проверяем DNS отдельно от сети:

dig @8.8.8.8 example.com +short
nslookup example.com 8.8.8.8

Если через 8.8.8.8 резолвится, а через локальный DNS нет - проблема в резолвере, не в канале.

🟣Захватываем трафик без Wireshark прямо в терминале:

tcpdump -i eth0 -nn host 8.8.8.8
tcpdump -i any port 53 -nn

Флаг -nn отключает резолюцию имён и портов, вывод читается сразу.

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте NetAlert-AI

🟣Что это: NetAlert-AI - система мониторинга сети с дашбордом, которая показывает аномалии, алерты и поведение трафика в реальном времени. Фокус не на raw-метриках, а на интерпретации - что подозрительно и куда смотреть.

🟣Как работает: собирает данные о трафике и событиях (flow, пакеты, алерты), прогоняет через модель/правила, выделяет отклонения от нормального поведения.
на выходе - алерты, визуализация потоков и сводка “что происходит” в сети.

🟣Из фишек вот:
• интерактивная карта атак и география источников
• Sankey-диаграммы для понимания потоков трафика
• таймлайны аномалий
• разбор алерта с деталями
• автоматические отчёты
• AI-сводки по инцидентам

🟣Как запустить:

git clone https://github.com/LoganthP/NetAlert-AI.git
cd NetAlert-AI
npm install
npm run dev

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Расскажу, в чём разница протокола MPLS с некоторыми другими.

🟣MPLS vs IP-маршрутизация: обычный IP смотрит на заголовок каждого пакета на каждом хопе и принимает решение заново. MPLS навешивает метку на входе в сеть и дальше пакет летит по заранее построенному пути — без повторного анализа заголовков на каждом роутере.

🟣MPLS vs SD-WAN: SD-WAN управляет трафиком программно поверх любых каналов, включая интернет. MPLS даёт гарантированные параметры качества, но требует выделенной инфраструктуры оператора. SD-WAN дешевле, MPLS предсказуемее.

🟣MPLS vs GRE-туннели: GRE просто оборачивает пакет в новый заголовок и тащит через туннель. MPLS строит инженерные пути с учётом нагрузки, приоритетов и резервирования. GRE проще настроить, MPLS даёт больше контроля над трафиком в крупных сетях.

Серверная Админа | Zeroday | #MPLS