👋 Привет, сетевой друг!

Сегодня разберём L0P4Map - инструмент, который пытается собрать сканирование и визуализацию сети в одном месте.

🟣Что это: L0P4Map - GUI-обёртка вокруг классических сетевых техник: ARP-скан, nmap, баннер-граббинг. Плюс сверху интерактивная карта сети, где видно, кто с кем связан и какие сервисы торчат наружу.

🟣Как работает: сначала быстрый ARP-скан находит хосты в сети, дальше подтягиваются hostname (DNS, NetBIOS, mDNS), а по выбранным узлам запускается nmap с нужными опциями, и результат сразу визуализируется в виде графа.

🟣Особенности:
• комбинация ARP discovery + полноценный nmap
• интерактивная топология сети с обновлением в реальном времени
• баннер-граббинг (SS , HTTP, SMB и т.д.)
• поиск уязвимостей через nmap-скрипты и CVE-базы
• экспорт сканов и графов
• live-режим с автообновлением

🟣Как запустить:

git clone https://github.com/HaxL0p4/L0p4Map.git
cd L0P4Map
pip install -r requirements.txt
sudo chmod +x L0p4Map.sh
sudo ./L0p4Map.sh



🟣Дальше: выбираем интерфейс → SCAN → смотрим хосты → PORT SCAN для деталей → переходим в graph view

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём настройку NetFlow/sFlow для видимости трафика в сети, когда нужно понимать не “что сломалось”, а “что вообще происходит”.

🟣Включаем экспорт NetFlow на роутере:

ip flow-export destination 10.0.0.100 2055
ip flow-export version 9
ip flow-export source GigabitEthernet0/1
ip flow-cache timeout active 1



Смысл здесь в том, что роутер начинает слать агрегированную статистику по потокам на collector.

🟣Для sFlow (на коммутаторах чаще):

sflow enable
sflow collector 10.0.0.100
sflow polling-interval 30
sflow sampling-rate 1000



Sampling-rate определяет, как часто берутся пакеты (важен баланс точность/нагрузка).

🟣Проверяем, что поток реально идёт:

tcpdump -i eth0 port 2055
или для sFlow:
tcpdump -i eth0 port 6343



🟣Смотрим базовые метрики потоков (на collector):
• top talkers (кто грузит сеть)
• top destinations (куда уходит трафик)
• ports distribution (какие сервисы доминируют)
• spikes по времени

🟣Типовая настройка фильтрации (чтобы не утонуть в данных):

match ip protocol tcp
collect counter bytes packets



🟣В общем, NetFlow/sFlow дают не пакеты, а картину поведения сети
можно видеть DDoS до падения
можно находить “скрытые” бэкапы и утечки трафика
можно строить baseline нормальной нагрузки

Серверная Админа | Zeroday | #network

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣rp_filter (защита от асимметричной маршрутизации):

sysctl -w net.ipv4.conf.all.rp_filter=2
sysctl -w net.ipv4.conf.eth0.rp_filter=2



Помогает отлавливать ситуации, когда входящий и исходящий трафик идут разными путями и ломают stateful логику.

🟣SO_REUSEPORT для балансировки входящих соединений:
Используется в сервисах, чтобы несколько процессов слушали один порт и ядро распределяло подключения.
Пример (концептуально в коде сервиса):

setsockopt(fd, SOL_SOCKET, SO_REUSEPORT, &opt, sizeof(opt));



Полезно при высоком RPS на API.

🟣TCP keepalive tuning (чтобы не держать “мертвые” соединения):

sysctl -w net.ipv4.tcp_keepalive_time=600
sysctl -w net.ipv4.tcp_keepalive_intvl=30
sysctl -w net.ipv4.tcp_keepalive_probes=5



Убирает зависшие соединения за NAT и балансировщиками.

🟣Netfilter conntrack hash sizing:

sysctl -w net.netfilter.nf_conntrack_max=262144
cat /proc/sys/net/netfilter/nf_conntrack_count



Если таблица переполняется - начинаются “рандомные” дропы новых соединений без явных ошибок.

🟣ECN (Explicit Congestion Notification):

sysctl -w net.ipv4.tcp_ecn=1



Позволяет сети сигнализировать о перегрузке без потери пакетов - снижает latency под нагрузкой (если путь поддерживает).

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня разберу YANG - язык моделирования данных, без которого современная сетевая автоматизация не работает.

🟣Что делает YANG: описывает структуру конфигурации и состояния сетевых устройств. Это как схема базы данных, только для роутеров и свитчей. NETCONF и RESTCONF используют YANG-модели чтобы знать, какие данные можно читать и изменять и в каком формате.

🟣Без YANG каждый вендор придумывает свою структуру данных. С YANG есть стандартные модели - openconfig и ietf, которые одинаково работают на Cisco, Juniper и Huawei. Один скрипт автоматизации для всего зоопарка.

🟣Как выглядит YANG-модель:

module ietf-interfaces {
  container interfaces {
    list interface {
      key "name";
      leaf name {
        type string;
      }
      leaf description {
        type string;
      }
      leaf enabled {
        type boolean;
        default true;
      }
    }
  }
}

🟣Смотрим какие модели поддерживает устройство через NETCONF:

from ncclient import manager

with manager.connect(host="10.0.0.1", port=830,
    username="admin", password="pass",
    hostkey_verify=False) as m:
    caps = m.server_capabilities
    for cap in caps:
        if "yang" in cap:
            print(cap)

🟣Инструменты для работы с моделями: pyang валидирует и конвертирует YANG-файлы, yangsuite от Cisco позволяет визуально исследовать модели и сразу строить NETCONF-запросы.

pyang -f tree ietf-interfaces.yang

Серверная Админа | Zeroday | #Yang

👋 Привет, сетевой друг!

Сегодня про Advanced PortChecker - GUI-утилита для проверки портов, которую реально удобно иметь под рукой.

🟣Что это: десктоп-приложение на Tauri, проверяет открыт ли порт на любом хосте. Можно скидывать сразу несколько портов, результаты экспортируются в TXT, CSV или JSON.

🟣Когда пригождается: не хочется каждый раз вспоминать флаги nc или nmap, нужно быстро проверить пару портов и отдать результат в читаемом виде коллеге или в тикет.

🟣Сборка:

git clone https://github.com/CodeDead/Advanced-PortChecker
cd Advanced-PortChecker
yarn tdev       # запустить в dev-режиме
yarn tbuild     # собрать под свою платформу

Собирается под Windows, Linux и macOS - один и тот же yarn tbuild, разный результат в зависимости от хоста.

🟣Если GUI не нужен, те же задачи в терминале:

nc -zv host 443
nc -zv host 80 443 8080

Но экспорта тут не будет, так что для отчётов Advanced PortChecker удобнее.

Серверная Админа | Zeroday | #Инструмент

📝 JWT: три строки, которые заменяют сессию

🟣Как работает авторизация через JWT: клиент отправляет логин и пароль, сервер проверяет и выдаёт токен. Дальше клиент при каждом запросе кладёт его в заголовок Authorization, сервер проверяет подпись и отдаёт ресурс. Никакой сессии на сервере, никакой базы с токенами.

Authorization: Bearer eyJhbGciOiJIUzI1NiJ9...

🟣Что внутри токена: три части, разделённые точкой, каждая в Base64-URL.

1️⃣Header - тип токена и алгоритм подписи:

{"alg": "HS256", "typ": "JWT"}

2️⃣Payload - claims, данные о пользователе и метаданные:

{"sub": "1234567", "role": "admin", "exp": 1714000000}

3️⃣Signature - подпись, которая гарантирует целостность:

HMACSHA256(base64(header) + "." + base64(payload), secret)

🟣Почему подпись важна: payload читается без ключа, он просто Base64. Но изменить его и сохранить валидную подпись без секретного ключа нельзя. Именно поэтому JWT не шифрует данные, а только подписывает их.

🟣Что важно не забыть: exp - время истечения токена, без него токен живёт вечно. Алгоритм none в header - классическая атака, сервер обязан его отвергать. Чувствительные данные в payload лучше не класть, любой может его прочитать.

Серверная Админа | Zeroday | #JWT

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Netwatch с автовосстановлением: встроенный мониторинг хостов, который умеет не просто сигналить, а делать что-то при падении. Например, переключать маршрут или перезапускать туннель:

/tool netwatch
add host=8.8.8.8 interval=10s timeout=2s \
  up-script="/ip route set [find comment=backup] disabled=yes" \
  down-script="/ip route set [find comment=backup] disabled=no"

Основной канал упал - резервный маршрут включается автоматически. А если поднялся, значит отключается обратно. Без сторонних скриптов и cron.

🟣Fetch для мониторинга внешних ресурсов прямо из роутера: Mikrotik умеет делать HTTP-запросы из скриптов. Удобно для получения динамических списков блокировок или обновления address-list с внешнего сервера:

/tool fetch url="https://example.com/blocklist.txt" dst-path=blocklist.txt

/ip firewall address-list remove [find list=dynamic-block]
:local data [/file get blocklist.txt contents]
:foreach line in=[:toarray $data] do={
  /ip firewall address-list add list=dynamic-block address=$line
}

Запускается по расписанию, address-list всегда актуален.

🟣VRRP preemption delay для стабильного переключения: при стандартных настройках мастер восстановился и сразу забрал роль обратно - даже если каналы ещё не подняты. Добавляем задержку:

/interface vrrp
set [find name=vrrp1] preemption-mode=yes preempt-delay=30

30 секунд после восстановления мастер ждёт, пока всё стабилизируется, и только потом забирает роль.

Серверная Админа | Бункер Хакера | #Mikrotik

📝 Винт Серф: человек, который придумал язык интернета

Расскажу о человеке, без которого устройства в сети просто не смогли бы разговаривать друг с другом.

🟣В начале 70-х ARPANET уже существовал, но соединял только несколько университетов и работал по одному протоколу. Проблема была в другом: как заставить разные сети с разным железом и разными протоколами общаться между собой. Никто не знал ответа.

🟣Винт Серф вместе с Бобом Каном сели решать именно эту задачу. В 1974 году они опубликовали статью с описанием TCP, протокола который разбивает данные на пакеты, отправляет их любым маршрутом и собирает обратно на другом конце. Позже TCP разделили на два: TCP отвечал за надёжную доставку, IP за адресацию и маршрутизацию.

🟣Ключевая идея была в том, что сеть не должна быть умной. Вся логика на краях, в устройствах. Сама сеть просто передаёт пакеты. Это решение позволило подключать к интернету что угодно, от мейнфреймов до микроволновок, без изменения самой инфраструктуры.

🟣1 января 1983 года ARPANET официально переключился на TCP/IP. Этот день называют днём рождения интернета. Серфу тогда было 40 лет.

🟣Позже он работал в DARPA, MCI, Google. Продвигал IPv6 когда адреса IPv4 заканчивались. Выступал за открытость сети когда корпорации начали строить закрытые экосистемы.

🟣Каждый раз когда браузер открывает страницу, почта доходит до адресата или видеозвонок не рассыпается, это работает протокол, придуманный им полвека назад в университетском кабинете.

Серверная Админа | Бункер Хакера | #network

👋 Привет, сетевой друг!

Сегодня про python3-nmap - библиотеку, которая превращает nmap в нормальный Python API.

🟣Что это: обёртка над nmap, где каждая команда становится вызовом функции. Не нужно помнить флаги, парсить текстовый вывод или городить subprocess. Запустил метод - получил JSON с результатами.

🟣Зачем это нужно: nmap мощный, но встраивать его в скрипты неудобно. Парсить вывод хрупко - формат может отличаться в зависимости от версии и флагов. python3-nmap убирает эту боль и возвращает структурированные данные сразу.

🟣Что умеет: сканирование топ-портов, определение версий сервисов, детекция ОС, DNS-брут для поддоменов, техники сканирования (SYN, FIN, UDP, idle), обнаружение хостов через ARP. Каждая техника - отдельный метод, не нужно держать в голове синтаксис.

🟣Установка простая:

pip3 install python3-nmap
apt-get install nmap

nmap должен быть установлен на системе - библиотека вызывает его под капотом.

🟣Важный момент: часть сканов требует root. Определение ОС, SYN-сканирование, сканирование подсетей, всё это нужно запускать через sudo. Без прав получишь ошибку ещё до начала сканирования.

Делаем вторую часть уже о том, как использовать этот тул?

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Продолжаем разбирать python3-nmap, и теперь расскажу как это реально юзать в скриптах.

🟣Базовый скан топ-портов:

import nmap3
nmap = nmap3.Nmap()
results = nmap.scan_top_ports("target.com")

Возвращает JSON с портами, протоколами и статусами. Удобно когда нужно быстро проверить хост и сразу обработать результат в коде.

🟣Определение версий сервисов:

results = nmap.nmap_version_detection("target.com")

На выходе структура с портом, сервисом, версией и CPE. Не нужно парсить строки, всё уже разложено по полям.

🟣Поиск поддоменов через DNS-брут:

results = nmap.nmap_dns_brute_script("target.com")

Возвращает список найденных поддоменов с IP. Быстро встраивается в разведку без отдельных инструментов.

🟣Поиск CVE через vulners прямо из Python:

results = nmap.nmap_version_detection(
    "target.com",
    args="--script vulners --script-args mincvss+5.0"
)

Сначала определяет версии сервисов, потом матчит по CVE-базе. Минимальный CVSS настраивается - удобно фильтровать шум.

🟣Где это реально нужны: автоматизация периодических проверок инфраструктуры, встраивание сканирования в CI/CD или собственные security-тулзы, когда нужен не отчёт nmap, а данные для дальнейшей обработки.

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём OSPF route redistribution, как правильно перегонять маршруты между разными протоколами маршрутизации.

🟣Зачем это вообще: в реальных сетях редко бывает один протокол. Часть сети на OSPF, часть на BGP, где-то остался старый EIGRP. Redistribution позволяет маршрутам из одного протокола появиться в другом без ручного прописывания.

🟣Базовый редистрибьют из BGP в OSPF:

router ospf 1
 redistribute bgp 65000 subnets metric 20 metric-type 2

metric-type 2 - внешний маршрут, метрика не накапливается при прохождении через OSPF-зону. Тип 1 накапливает, что честнее, но реже используется.

🟣Фильтруем что именно редистрибьютим через route-map:

ip prefix-list ALLOW_BGP seq 10 permit 10.0.0.0/8 le 24

route-map BGP_TO_OSPF permit 10
 match ip address prefix-list ALLOW_BGP
 set metric 50

router ospf 1
 redistribute bgp 65000 subnets route-map BGP_TO_OSPF

Без фильтра в OSPF улетит вся BGP-таблица, на больших сетях это катастрофа.

🟣Обратный редистрибьют из connected и static в BGP:

router bgp 65000
 redistribute connected route-map CONNECTED_FILTER
 redistribute static route-map STATIC_FILTER

🟣Смотрим что реально попало в таблицу:

show ip ospf database external
show ip bgp | include ^r

Маршруты с тегом E2 в OSPF - внешние, пришли через redistribution. Если их слишком много, фильтр настроен неправильно.

Серверная Админа | Zeroday | #OSPF

👋 Привет, сетевой друг!

Теперь расскажу про 5 полезных фишек уже для Cisco SD-WAN, которые реально супер полезны.

🟣Application-Aware Routing - трафик идёт туда где канал лучше прямо сейчас: SD-WAN постоянно меряет latency, jitter и потери на каждом туннеле и переключает приложения на лучший путь без вмешательства администратора:

policy
 app-route-policy CRITICAL_APPS
  vpn-list VPN_10
   sequence 10
    match
     app-list VOICE_APPS
    action
     sla-class VOICE_SLA
     backup-sla-preferred-color biz-internet

Голос идёт по MPLS пока он соответствует SLA, при деградации автоматически уходит на резервный канал.

🟣vAnalytics для предсказания проблем до того как они стали проблемами: платформа собирает телеметрию со всех устройств и показывает тренды деградации канала, аномалии в трафике и прогноз утилизации полосы. Видно что канал начинает деградировать за несколько часов до реального падения.

🟣Zero Touch Provisioning - новое устройство поднимается само: подключил vEdge в офисе, он сам нашёл vBond, получил конфиг и встал в сеть без единого SSH-сеанса:

vBond discovery → vSmart policy → vManage config push

Особенно ценно когда филиалов много и гонять инженера на каждое подключение нереально.

🟣On-Demand Tunnel - туннели между филиалами поднимаются только когда нужны: по умолчанию spoke-spoke трафик идёт через hub и создаёт лишнюю нагрузку. При появлении трафика между двумя филиалами vSmart сигнализирует им поднять прямой туннель, после окончания сессии туннель падает сам:

bfd app-route multiplier 6
bfd app-route poll-interval 600000

policy
 control-policy SPOKE_DIRECT
  sequence 10
   match tloc
    color biz-internet
   action accept
    set
     preference 100

Экономит полосу на hub-роутере и снижает latency между филиалами без постоянных туннелей на каждую пару.

🟣Cloud OnRamp для оптимального выхода в SaaS: SD-WAN сам меряет качество до Office 365, Salesforce и других сервисов с каждого филиала и выбирает оптимальную точку выхода в интернет, не обязательно через центральный офис:

policy
 cloud-saas-policy OFFICE365
  sequence 10
   match
    app-list MS_OFFICE365
   action
    cloud-saas-app office365

Вместо того чтобы трафик из филиала шёл в интернет через дата-центр, он выходит напрямую через местного провайдера с лучшим путём до серверов Microsoft.

Серверная Админа | Zeroday | #Cisco