📝 DNS-записи - справочник, который должен знать каждый

👋 Привет, сетевой друг!

DNS работает не одной записью, а целым набором типов. Каждый отвечает за свою задачу, разберём все по порядку.

🟣A и AAAA: A-запись связывает домен с IPv4, AAAA с IPv6. Первое, что проверяют при диагностике любой сетевой проблемы.

🟣PTR: Обратная резолюция, адрес в имя. Используется в почтовых серверах и логах. Отсутствующий PTR частая причина, почему письма уходят в спам.

🟣CNAME: Псевдоним домена, www.my.com → my.com. Именно через брошенные CNAME происходит subdomain takeover - запись есть, ресурса нет, его можно занять.

🟣MX: Указывает сервер для приёма почты домена. Чем меньше число приоритета, тем выше в очереди стоит сервер.

🟣NS: Какие серверы авторитативны для домена. Компрометация NS это перехват всего, что связано с доменом.

🟣TXT: Формально просто строка, но там живут SPF, DKIM, DMARC и верификационные токены. Аудит TXT-записей показывает, какие сторонние сервисы подключены к домену.

🟣SRV: Хост и порт для конкретного сервиса. Используется в SIP, XMPP, Kubernetes. При разведке помогает понять топологию инфраструктуры.

🟣SOA: Первичный NS, email администратора, серийный номер зоны. По серийному номеру видно, как давно и как часто зона обновляется.

🟣CAA: Какие CA имеют право выпускать SSL для домена. Записи нет, любой центр может выпустить сертификат.

Серверная Админа | Zeroday | #VLAN #subnet

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Hyperdbg

🟣Что это: HyperDbg - это топовый отладчик для Windows. Инструмент юзает современные аппаратные возможности, чтобы отслеживать выполнение кода в ядре и пользовательском режиме. Он не полагается на стандартные API Windows, поэтому остаётся незаметным для антиотладки и античитов.

🟣Как он работает: HyperDbg виртуализирует уже работающую систему через Intel VT-x и EPT. Кадры инструкций и обращения к памяти можно мониторить через скрытые хуки, а выполнение кода - контролировать на уровне гипервизора.

🟣Особенности HyperDbg:
Невидимые EPT-хуки (Inline и Classic), мониторинг памяти для чтения и записи без ограничений, контроль RDMSR/WRMSR, RDTSC, CPUID, SYSRET и SYSCALL. Слежение за исключениями, внешними прерываниями и MMIO. Автоматизация через встроенный скриптовый движок, трекинг вызовов функций и адресов возврата. Поддержка PDB, маппинг структур и enum.

🟣Как запустить:

Собрать и запустить локально:

git clone --recursive https://github.com/HyperDbg/HyperDbg.git
cd HyperDbg
# см. документацию для сборки под Windows

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣RAW table до conntrack (срез мусора на входе): Фильтровать трафик до того, как он попадёт в connection tracking - экономит CPU и память. Особенно на DDoS или сканах.

/ip firewall raw
add chain=prerouting src-address-list=blacklist action=drop
add chain=prerouting protocol=tcp dst-port=22,8291 connection-state=new src-address-list=!trusted action=drop

RAW не трогает conntrack - лишние соединения даже не создаются.

🟣Fast path для UDP транзита (ускорение потокового трафика): UDP-трафик внутри сети, VPN или стриминг можно пропустить через fast path, чтобы bypass stateful-фильтрацию.

/ip firewall raw
add chain=prerouting protocol=udp src-address=10.10.0.0/16 dst-address=10.20.0.0/16 action=notrack
add chain=output protocol=udp src-address=10.20.0.0/16 dst-address=10.10.0.0/16 action=notrack

Трафик летит быстрее, нагрузка на CPU падает, особенно при больших потоках.

🟣Queue Tree + PCQ (нормальный QoS, а не simple queues): Когда нужно делить канал честно между клиентами, а не “кто первый занял - того и скорость”.

/queue type
add name=pcq-download kind=pcq pcq-rate=50M pcq-classifier=dst-address
add name=pcq-upload kind=pcq pcq-rate=50M pcq-classifier=src-address

/queue tree
add name=download parent=global-in queue=pcq-download
add name=upload parent=global-out queue=pcq-upload

Каждый клиент получает свою долю, даже если один начинает грузить канал.

Серверная Админа | Бункер Хакера | #Mikrotik

📝 История NAT: как адреса из одного провайдера стали жить везде

Сегодня разберём, как обычный приём с адресами позволил интернету выжить при дефиците IPv4.

🟣Дефицит IPv4: В 90-х стало понятно, что 4,3 млрд адресов IPv4 не хватит даже для всех компьютеров в мире. И решение: Network Address Translation - NAT. Один публичный IP мог обслуживать десятки, сотни, тысячи устройств за маршрутизатором. Это позволило провайдерам масштабировать сеть без покупки сотен тысяч дополнительных IP.

🟣Как работает: Устройство в локальной сети получает приватный адрес (например, 192.168.x.x), а роутер меняет его на публичный при выходе в интернет. Возвратные пакеты мапятся обратно на конкретное устройство. NAT создаёт виртуальный мост между приватной сетью и глобальной, позволяя сотням устройств делить один IP.

🟣Виды NAT:
• Static NAT - один к одному, удобно для серверов.
• Dynamic NAT - адрес берётся из пула по мере необходимости.
• PAT (Port Address Translation) - один IP, разные порты для каждого клиента; именно PAT позволил сотням устройств за NAT одновременно выходить в интернет.

🟣Плюсы и минусы: NAT спас IPv4, позволил домашним сетям и провайдерам масштабироваться без сотен миллионов адресов. Минус - усложняет прямой доступ к устройствам внутри сети, мешает peer-to-peer соединениям, VoIP, некоторым VPN и службам видеонаблюдения.

Серверная Админа | Бункер Хакера | #NAT

📝 Специальные IPv4-адреса: 4 блока, которые нужно держать в голове

👋 Привет, сетевой друг!

🟣Служебные (поведение системы): 0.0.0.0 - неопределённый адрес: используется как «нет IP» и как default route (0.0.0.0/0). 255.255.255.255 - broadcast: широковещание на весь сегмент, например в DHCP Discover. 127.0.0.0/8 - loopback: трафик не выходит наружу, всё остаётся внутри машины (127.0.0.1 для тестов и локальных сервисов).

🟣Автоконфигурация и NAT: 169.254.0.0/16 - APIPA: если DHCP не ответил, хост сам назначает себе адрес, сеть частично жива, но инфраструктура не работает. 100.64.0.0/10 - CGNAT: адреса провайдера для массового NAT, означает двойной NAT и отсутствие прямого входящего доступа.

🟣Рассылка и группы: 224.0.0.0 – 239.255.255.255 - multicast: один источник отправляет трафик группе получателей (OSPF, IPTV, стриминг). В отличие от broadcast, трафик идёт только подписчикам группы, а не всем в сети.

🟣Для примеров и локальных сетей: 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24 - TEST-NET: используются в документации и примерах, не должны встречаться в реальной сети. 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 - private: реальные локальные сети, не маршрутизируются в интернете и выходят наружу через NAT.

Серверная Админа | Zeroday | #iPv4

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте AlpiNet

🟣Что это: AlpiNet - это лёгкий Docker-образ на базе Alpine Linux, который используется как виртуальный ПК в GNS3. По идее - готовый сетевой хост с уже установленным набором инструментов для тестирования, диагностики и обучения. Подходит, когда нужен “чистый клиент” внутри лаборатории без лишнего мусора.

🟣Как он работает:
Запускается как обычный Docker-контейнер, но внутри GNS3 ведёт себя как полноценный узел сети. Можно подключать к топологиям, гонять трафик, снимать дампы, тестировать маршрутизацию и firewall-правила.
За счёт Alpine-базы образ остаётся компактным (~84MB), быстро стартует и не съедает ресурсы даже при нескольких инстансах.

🟣Особенности AlpiNet: Минимальный размер без потери функциональности, предустановленный набор сетевых утилит (iproute2, tcpdump, nmap, iperf3), поддержка сразу трёх стеков firewall (iptables, ip6tables, nftables), удобный тулсет для диагностики (mtr, traceroute, curl, netcat), персистентный /root (сохраняет конфиги и скрипты между перезапусками), готовность к работе в GNS3 без дополнительной сборки.

🟣Как запустить:

Собрать локально:

git clone https://github.com/nazdridoy/alpinet.git
cd alpinet
docker build -t alpinet:latest .

Или скачать готовый образ:

docker pull nazdridoy/alpinet:latest

Запуск:

docker run -it --rm alpinet:latest

С персистентными данными:

docker run -it --rm -v alpinet-data:/root alpinet:latest

В GNS3 - импорт через .gns3a или вручную через Docker templates.

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣IP Event Dampening: Не путать с BGP dampening. Здесь речь про подавление “флапающих” интерфейсов на L3 - полезно, когда линк нестабилен и триггерит пересчёт маршрутизации.

interface Gi0/1
 dampening 30 1000 2000 60

Интерфейс будет временно “гаситься”, чтобы не дестабилизировать всю сеть.

🟣CEF polarization fix (load-balancing hashing tweak): При ECMP может возникать polarization - одинаковые хэши → перегруз одного линка. Можно менять алгоритм хэширования.

ip cef load-sharing algorithm universal
ip cef load-sharing algorithm include-ports source destination

Позволяет более равномерно распределять трафик, особенно в spine-leaf.

🟣Selective NetFlow (Flexible NetFlow с фильтрацией): Снимать весь трафик дорого. Можно экспортировать только нужные потоки - например, только подозрительный subnet или конкретные порты.

flow record CUSTOM
 match ipv4 source address
 match ipv4 destination address
 match transport destination-port
!
flow exporter EXPORTER
 destination 10.0.0.2
 transport udp 2055
!
flow monitor MON
 record CUSTOM
 exporter EXPORTER
!
interface Gi0/1
 ip flow monitor MON input

Даёт наблюдаемость без лишней нагрузки.

🟣IP Local Policy (PBR для control-plane): Обычный PBR не влияет на трафик, сгенерированный самим роутером. Для этого есть local policy.

route-map LOCAL-PBR permit 10
 match ip address 102
 set ip next-hop 10.0.0.1
!
ip local policy route-map LOCAL-PBR

Можно управлять, как сам роутер ходит к syslog, NTP, TACACS и т.д.

🟣TCP Adjust MSS на edge: Когда есть туннели (GRE, IPsec), часто ловят проблемы с fragmentation. MSS можно подрезать на входе.

interface Gi0/1
 ip tcp adjust-mss 1360

Устраняет странные “подвисания” TCP без дебага на час.

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня разберу RADIUS - протокол, который стоит за каждой корпоративной авторизацией, но про который редко говорят отдельно.

🟣Что делает RADIUS: когда пользователь подключается к Wi-Fi, VPN или коммутатору через 802.1X, устройство доступа (NAS) не проверяет пароль само. Оно пересылает credentials на RADIUS-сервер, тот проверяет по своей базе или через LDAP/AD и отвечает Access-Accept, Access-Reject или Access-Challenge.

🟣Три актора в каждой сессии: клиент (пользователь), NAS (точка доступа, свитч, VPN-концентратор) и RADIUS-сервер. NAS и RADIUS общаются по UDP 1812, между собой их связывает только shared secret.

🟣Пример конфига FreeRADIUS:

# clients.conf
client 192.168.1.1 {
    secret = supersecret
    shortname = switch-core
}

# users
john Cleartext-Password := "pass123"
     Service-Type = Framed-User

🟣Проверка через radtest:

radtest john pass123 127.0.0.1 0 supersecret

Access-Accept в ответе - сервер живой и конфиг правильный.

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня разберём, как ускорить диагностику сети когда что-то упало и нужно найти причину быстро.

🟣Сначала смотрим где обрывается путь:

traceroute -n 8.8.8.8        # Linux
tracert -d 8.8.8.8           # Windows

Ключ -n и -d отключают реверс-резолюцию DNS - без него каждый хоп ждёт таймаут и traceroute тянется минутами.

🟣Проверяем потери пакетов через mtr - это traceroute и ping одновременно в реальном времени:

mtr -n --report --report-cycles 100 8.8.8.8

100 циклов дают статистически честную картину потерь на каждом хопе.

🟣Смотрим таблицу маршрутов быстро:

ip route show                 # Linux
route print                   # Windows
netstat -rn                   # универсально

Часто проблема в том, что трафик уходит не в тот интерфейс или шлюз вообще не прописан.

🟣Проверяем DNS отдельно от сети:

dig @8.8.8.8 example.com +short
nslookup example.com 8.8.8.8

Если через 8.8.8.8 резолвится, а через локальный DNS нет - проблема в резолвере, не в канале.

🟣Захватываем трафик без Wireshark прямо в терминале:

tcpdump -i eth0 -nn host 8.8.8.8
tcpdump -i any port 53 -nn

Флаг -nn отключает резолюцию имён и портов, вывод читается сразу.

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте NetAlert-AI

🟣Что это: NetAlert-AI - система мониторинга сети с дашбордом, которая показывает аномалии, алерты и поведение трафика в реальном времени. Фокус не на raw-метриках, а на интерпретации - что подозрительно и куда смотреть.

🟣Как работает: собирает данные о трафике и событиях (flow, пакеты, алерты), прогоняет через модель/правила, выделяет отклонения от нормального поведения.
на выходе - алерты, визуализация потоков и сводка “что происходит” в сети.

🟣Из фишек вот:
• интерактивная карта атак и география источников
• Sankey-диаграммы для понимания потоков трафика
• таймлайны аномалий
• разбор алерта с деталями
• автоматические отчёты
• AI-сводки по инцидентам

🟣Как запустить:

git clone https://github.com/LoganthP/NetAlert-AI.git
cd NetAlert-AI
npm install
npm run dev

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Расскажу, в чём разница протокола MPLS с некоторыми другими.

🟣MPLS vs IP-маршрутизация: обычный IP смотрит на заголовок каждого пакета на каждом хопе и принимает решение заново. MPLS навешивает метку на входе в сеть и дальше пакет летит по заранее построенному пути — без повторного анализа заголовков на каждом роутере.

🟣MPLS vs SD-WAN: SD-WAN управляет трафиком программно поверх любых каналов, включая интернет. MPLS даёт гарантированные параметры качества, но требует выделенной инфраструктуры оператора. SD-WAN дешевле, MPLS предсказуемее.

🟣MPLS vs GRE-туннели: GRE просто оборачивает пакет в новый заголовок и тащит через туннель. MPLS строит инженерные пути с учётом нагрузки, приоритетов и резервирования. GRE проще настроить, MPLS даёт больше контроля над трафиком в крупных сетях.

Серверная Админа | Zeroday | #MPLS

👋 Привет, сетевой друг!

Сегодня разберём BGP communities - как с их помощью управлять маршрутами без отдельных политик на каждый префикс.

🟣Community это метка на маршруте в формате AS:значение. Роутер видит метку и применяет заранее прописанную политику - не нужно прописывать каждый префикс отдельно.

🟣Навешиваем community на исходящие маршруты:

route-map SET_COMMUNITY permit 10
 set community 65000:100

router bgp 65000
 neighbor 10.0.0.1 route-map SET_COMMUNITY out

🟣На принимающей стороне фильтруем по метке:

ip community-list standard PREF100 permit 65000:100

route-map RECV_POLICY permit 10
 match community PREF100
 set local-preference 200

Маршруты с меткой 65000:100 получают повышенный local-preference и становятся предпочтительными.

🟣Операторы используют well-known communities для управления распространением маршрутов:

# Не анонсировать маршрут дальше
set community no-export

# Не анонсировать клиентам, только пирам
set community no-advertise

🟣Смотрим community на принятых маршрутах:

show ip bgp community 65000:100
show ip bgp neighbors 10.0.0.1 received-routes

Серверная Админа | Zeroday | #BGP

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Torch в реальном времени - кто грузит канал прямо сейчас:

/tool torch interface=ether1 src-address=0.0.0.0/0

Показывает топ потоков с IP, протоколом и скоростью. Быстрее чем любой внешний монитор когда нужно найти источник нагрузки за секунды.

🟣Bandwidth test между двумя Mikrotik - измеряем реальную пропускную способность канала, а не теоретическую:

# На одном роутере запускаем сервер
/tool bandwidth-server set enabled=yes

# На втором — тест
/tool bandwidth-test address=10.0.0.1 direction=both duration=10s

Показывает TX и RX отдельно. Полезно после замены оборудования или кабеля - сразу видно где просадка.

🟣SNMP + Grafana для истории: встроенный мониторинг показывает текущее, но не хранит историю. Включаем SNMP и забираем метрики:

/snmp set enabled=yes community=public
/snmp community set name=public addresses=10.0.0.5/32

Дальше Prometheus с SNMP exporter или Zabbix забирают метрики каждые 30 секунд. Через неделю видно паттерны нагрузки, пики и деградацию каналов по времени суток.

Серверная Админа | Бункер Хакера | #Mikrotik