👋 Привет, сетевой друг!

Сегодня разберём, как ускорить диагностику сети когда что-то упало и нужно найти причину быстро.

🟣Сначала смотрим где обрывается путь:

traceroute -n 8.8.8.8        # Linux
tracert -d 8.8.8.8           # Windows

Ключ -n и -d отключают реверс-резолюцию DNS - без него каждый хоп ждёт таймаут и traceroute тянется минутами.

🟣Проверяем потери пакетов через mtr - это traceroute и ping одновременно в реальном времени:

mtr -n --report --report-cycles 100 8.8.8.8

100 циклов дают статистически честную картину потерь на каждом хопе.

🟣Смотрим таблицу маршрутов быстро:

ip route show                 # Linux
route print                   # Windows
netstat -rn                   # универсально

Часто проблема в том, что трафик уходит не в тот интерфейс или шлюз вообще не прописан.

🟣Проверяем DNS отдельно от сети:

dig @8.8.8.8 example.com +short
nslookup example.com 8.8.8.8

Если через 8.8.8.8 резолвится, а через локальный DNS нет - проблема в резолвере, не в канале.

🟣Захватываем трафик без Wireshark прямо в терминале:

tcpdump -i eth0 -nn host 8.8.8.8
tcpdump -i any port 53 -nn

Флаг -nn отключает резолюцию имён и портов, вывод читается сразу.

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте NetAlert-AI

🟣Что это: NetAlert-AI - система мониторинга сети с дашбордом, которая показывает аномалии, алерты и поведение трафика в реальном времени. Фокус не на raw-метриках, а на интерпретации - что подозрительно и куда смотреть.

🟣Как работает: собирает данные о трафике и событиях (flow, пакеты, алерты), прогоняет через модель/правила, выделяет отклонения от нормального поведения.
на выходе - алерты, визуализация потоков и сводка “что происходит” в сети.

🟣Из фишек вот:
• интерактивная карта атак и география источников
• Sankey-диаграммы для понимания потоков трафика
• таймлайны аномалий
• разбор алерта с деталями
• автоматические отчёты
• AI-сводки по инцидентам

🟣Как запустить:

git clone https://github.com/LoganthP/NetAlert-AI.git
cd NetAlert-AI
npm install
npm run dev

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Расскажу, в чём разница протокола MPLS с некоторыми другими.

🟣MPLS vs IP-маршрутизация: обычный IP смотрит на заголовок каждого пакета на каждом хопе и принимает решение заново. MPLS навешивает метку на входе в сеть и дальше пакет летит по заранее построенному пути — без повторного анализа заголовков на каждом роутере.

🟣MPLS vs SD-WAN: SD-WAN управляет трафиком программно поверх любых каналов, включая интернет. MPLS даёт гарантированные параметры качества, но требует выделенной инфраструктуры оператора. SD-WAN дешевле, MPLS предсказуемее.

🟣MPLS vs GRE-туннели: GRE просто оборачивает пакет в новый заголовок и тащит через туннель. MPLS строит инженерные пути с учётом нагрузки, приоритетов и резервирования. GRE проще настроить, MPLS даёт больше контроля над трафиком в крупных сетях.

Серверная Админа | Zeroday | #MPLS

👋 Привет, сетевой друг!

Сегодня разберём BGP communities - как с их помощью управлять маршрутами без отдельных политик на каждый префикс.

🟣Community это метка на маршруте в формате AS:значение. Роутер видит метку и применяет заранее прописанную политику - не нужно прописывать каждый префикс отдельно.

🟣Навешиваем community на исходящие маршруты:

route-map SET_COMMUNITY permit 10
 set community 65000:100

router bgp 65000
 neighbor 10.0.0.1 route-map SET_COMMUNITY out

🟣На принимающей стороне фильтруем по метке:

ip community-list standard PREF100 permit 65000:100

route-map RECV_POLICY permit 10
 match community PREF100
 set local-preference 200

Маршруты с меткой 65000:100 получают повышенный local-preference и становятся предпочтительными.

🟣Операторы используют well-known communities для управления распространением маршрутов:

# Не анонсировать маршрут дальше
set community no-export

# Не анонсировать клиентам, только пирам
set community no-advertise

🟣Смотрим community на принятых маршрутах:

show ip bgp community 65000:100
show ip bgp neighbors 10.0.0.1 received-routes

Серверная Админа | Zeroday | #BGP

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Torch в реальном времени - кто грузит канал прямо сейчас:

/tool torch interface=ether1 src-address=0.0.0.0/0

Показывает топ потоков с IP, протоколом и скоростью. Быстрее чем любой внешний монитор когда нужно найти источник нагрузки за секунды.

🟣Bandwidth test между двумя Mikrotik - измеряем реальную пропускную способность канала, а не теоретическую:

# На одном роутере запускаем сервер
/tool bandwidth-server set enabled=yes

# На втором — тест
/tool bandwidth-test address=10.0.0.1 direction=both duration=10s

Показывает TX и RX отдельно. Полезно после замены оборудования или кабеля - сразу видно где просадка.

🟣SNMP + Grafana для истории: встроенный мониторинг показывает текущее, но не хранит историю. Включаем SNMP и забираем метрики:

/snmp set enabled=yes community=public
/snmp community set name=public addresses=10.0.0.5/32

Дальше Prometheus с SNMP exporter или Zabbix забирают метрики каждые 30 секунд. Через неделю видно паттерны нагрузки, пики и деградацию каналов по времени суток.

Серверная Админа | Бункер Хакера | #Mikrotik

Не все поймут…

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня разберём L0P4Map - инструмент, который пытается собрать сканирование и визуализацию сети в одном месте.

🟣Что это: L0P4Map - GUI-обёртка вокруг классических сетевых техник: ARP-скан, nmap, баннер-граббинг. Плюс сверху интерактивная карта сети, где видно, кто с кем связан и какие сервисы торчат наружу.

🟣Как работает: сначала быстрый ARP-скан находит хосты в сети, дальше подтягиваются hostname (DNS, NetBIOS, mDNS), а по выбранным узлам запускается nmap с нужными опциями, и результат сразу визуализируется в виде графа.

🟣Особенности:
• комбинация ARP discovery + полноценный nmap
• интерактивная топология сети с обновлением в реальном времени
• баннер-граббинг (SS , HTTP, SMB и т.д.)
• поиск уязвимостей через nmap-скрипты и CVE-базы
• экспорт сканов и графов
• live-режим с автообновлением

🟣Как запустить:

git clone https://github.com/HaxL0p4/L0p4Map.git
cd L0P4Map
pip install -r requirements.txt
sudo chmod +x L0p4Map.sh
sudo ./L0p4Map.sh



🟣Дальше: выбираем интерфейс → SCAN → смотрим хосты → PORT SCAN для деталей → переходим в graph view

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём настройку NetFlow/sFlow для видимости трафика в сети, когда нужно понимать не “что сломалось”, а “что вообще происходит”.

🟣Включаем экспорт NetFlow на роутере:

ip flow-export destination 10.0.0.100 2055
ip flow-export version 9
ip flow-export source GigabitEthernet0/1
ip flow-cache timeout active 1



Смысл здесь в том, что роутер начинает слать агрегированную статистику по потокам на collector.

🟣Для sFlow (на коммутаторах чаще):

sflow enable
sflow collector 10.0.0.100
sflow polling-interval 30
sflow sampling-rate 1000



Sampling-rate определяет, как часто берутся пакеты (важен баланс точность/нагрузка).

🟣Проверяем, что поток реально идёт:

tcpdump -i eth0 port 2055
или для sFlow:
tcpdump -i eth0 port 6343



🟣Смотрим базовые метрики потоков (на collector):
• top talkers (кто грузит сеть)
• top destinations (куда уходит трафик)
• ports distribution (какие сервисы доминируют)
• spikes по времени

🟣Типовая настройка фильтрации (чтобы не утонуть в данных):

match ip protocol tcp
collect counter bytes packets



🟣В общем, NetFlow/sFlow дают не пакеты, а картину поведения сети
можно видеть DDoS до падения
можно находить “скрытые” бэкапы и утечки трафика
можно строить baseline нормальной нагрузки

Серверная Админа | Zeroday | #network

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣rp_filter (защита от асимметричной маршрутизации):

sysctl -w net.ipv4.conf.all.rp_filter=2
sysctl -w net.ipv4.conf.eth0.rp_filter=2



Помогает отлавливать ситуации, когда входящий и исходящий трафик идут разными путями и ломают stateful логику.

🟣SO_REUSEPORT для балансировки входящих соединений:
Используется в сервисах, чтобы несколько процессов слушали один порт и ядро распределяло подключения.
Пример (концептуально в коде сервиса):

setsockopt(fd, SOL_SOCKET, SO_REUSEPORT, &opt, sizeof(opt));



Полезно при высоком RPS на API.

🟣TCP keepalive tuning (чтобы не держать “мертвые” соединения):

sysctl -w net.ipv4.tcp_keepalive_time=600
sysctl -w net.ipv4.tcp_keepalive_intvl=30
sysctl -w net.ipv4.tcp_keepalive_probes=5



Убирает зависшие соединения за NAT и балансировщиками.

🟣Netfilter conntrack hash sizing:

sysctl -w net.netfilter.nf_conntrack_max=262144
cat /proc/sys/net/netfilter/nf_conntrack_count



Если таблица переполняется - начинаются “рандомные” дропы новых соединений без явных ошибок.

🟣ECN (Explicit Congestion Notification):

sysctl -w net.ipv4.tcp_ecn=1



Позволяет сети сигнализировать о перегрузке без потери пакетов - снижает latency под нагрузкой (если путь поддерживает).

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня разберу YANG - язык моделирования данных, без которого современная сетевая автоматизация не работает.

🟣Что делает YANG: описывает структуру конфигурации и состояния сетевых устройств. Это как схема базы данных, только для роутеров и свитчей. NETCONF и RESTCONF используют YANG-модели чтобы знать, какие данные можно читать и изменять и в каком формате.

🟣Без YANG каждый вендор придумывает свою структуру данных. С YANG есть стандартные модели - openconfig и ietf, которые одинаково работают на Cisco, Juniper и Huawei. Один скрипт автоматизации для всего зоопарка.

🟣Как выглядит YANG-модель:

module ietf-interfaces {
  container interfaces {
    list interface {
      key "name";
      leaf name {
        type string;
      }
      leaf description {
        type string;
      }
      leaf enabled {
        type boolean;
        default true;
      }
    }
  }
}

🟣Смотрим какие модели поддерживает устройство через NETCONF:

from ncclient import manager

with manager.connect(host="10.0.0.1", port=830,
    username="admin", password="pass",
    hostkey_verify=False) as m:
    caps = m.server_capabilities
    for cap in caps:
        if "yang" in cap:
            print(cap)

🟣Инструменты для работы с моделями: pyang валидирует и конвертирует YANG-файлы, yangsuite от Cisco позволяет визуально исследовать модели и сразу строить NETCONF-запросы.

pyang -f tree ietf-interfaces.yang

Серверная Админа | Zeroday | #Yang

👋 Привет, сетевой друг!

Сегодня про Advanced PortChecker - GUI-утилита для проверки портов, которую реально удобно иметь под рукой.

🟣Что это: десктоп-приложение на Tauri, проверяет открыт ли порт на любом хосте. Можно скидывать сразу несколько портов, результаты экспортируются в TXT, CSV или JSON.

🟣Когда пригождается: не хочется каждый раз вспоминать флаги nc или nmap, нужно быстро проверить пару портов и отдать результат в читаемом виде коллеге или в тикет.

🟣Сборка:

git clone https://github.com/CodeDead/Advanced-PortChecker
cd Advanced-PortChecker
yarn tdev       # запустить в dev-режиме
yarn tbuild     # собрать под свою платформу

Собирается под Windows, Linux и macOS - один и тот же yarn tbuild, разный результат в зависимости от хоста.

🟣Если GUI не нужен, те же задачи в терминале:

nc -zv host 443
nc -zv host 80 443 8080

Но экспорта тут не будет, так что для отчётов Advanced PortChecker удобнее.

Серверная Админа | Zeroday | #Инструмент

📝 JWT: три строки, которые заменяют сессию

🟣Как работает авторизация через JWT: клиент отправляет логин и пароль, сервер проверяет и выдаёт токен. Дальше клиент при каждом запросе кладёт его в заголовок Authorization, сервер проверяет подпись и отдаёт ресурс. Никакой сессии на сервере, никакой базы с токенами.

Authorization: Bearer eyJhbGciOiJIUzI1NiJ9...

🟣Что внутри токена: три части, разделённые точкой, каждая в Base64-URL.

1️⃣Header - тип токена и алгоритм подписи:

{"alg": "HS256", "typ": "JWT"}

2️⃣Payload - claims, данные о пользователе и метаданные:

{"sub": "1234567", "role": "admin", "exp": 1714000000}

3️⃣Signature - подпись, которая гарантирует целостность:

HMACSHA256(base64(header) + "." + base64(payload), secret)

🟣Почему подпись важна: payload читается без ключа, он просто Base64. Но изменить его и сохранить валидную подпись без секретного ключа нельзя. Именно поэтому JWT не шифрует данные, а только подписывает их.

🟣Что важно не забыть: exp - время истечения токена, без него токен живёт вечно. Алгоритм none в header - классическая атака, сервер обязан его отвергать. Чувствительные данные в payload лучше не класть, любой может его прочитать.

Серверная Админа | Zeroday | #JWT

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Netwatch с автовосстановлением: встроенный мониторинг хостов, который умеет не просто сигналить, а делать что-то при падении. Например, переключать маршрут или перезапускать туннель:

/tool netwatch
add host=8.8.8.8 interval=10s timeout=2s \
  up-script="/ip route set [find comment=backup] disabled=yes" \
  down-script="/ip route set [find comment=backup] disabled=no"

Основной канал упал - резервный маршрут включается автоматически. А если поднялся, значит отключается обратно. Без сторонних скриптов и cron.

🟣Fetch для мониторинга внешних ресурсов прямо из роутера: Mikrotik умеет делать HTTP-запросы из скриптов. Удобно для получения динамических списков блокировок или обновления address-list с внешнего сервера:

/tool fetch url="https://example.com/blocklist.txt" dst-path=blocklist.txt

/ip firewall address-list remove [find list=dynamic-block]
:local data [/file get blocklist.txt contents]
:foreach line in=[:toarray $data] do={
  /ip firewall address-list add list=dynamic-block address=$line
}

Запускается по расписанию, address-list всегда актуален.

🟣VRRP preemption delay для стабильного переключения: при стандартных настройках мастер восстановился и сразу забрал роль обратно - даже если каналы ещё не подняты. Добавляем задержку:

/interface vrrp
set [find name=vrrp1] preemption-mode=yes preempt-delay=30

30 секунд после восстановления мастер ждёт, пока всё стабилизируется, и только потом забирает роль.

Серверная Админа | Бункер Хакера | #Mikrotik