👋 Привет, сетевой друг!

Сегодня про python3-nmap - библиотеку, которая превращает nmap в нормальный Python API.

🟣Что это: обёртка над nmap, где каждая команда становится вызовом функции. Не нужно помнить флаги, парсить текстовый вывод или городить subprocess. Запустил метод - получил JSON с результатами.

🟣Зачем это нужно: nmap мощный, но встраивать его в скрипты неудобно. Парсить вывод хрупко - формат может отличаться в зависимости от версии и флагов. python3-nmap убирает эту боль и возвращает структурированные данные сразу.

🟣Что умеет: сканирование топ-портов, определение версий сервисов, детекция ОС, DNS-брут для поддоменов, техники сканирования (SYN, FIN, UDP, idle), обнаружение хостов через ARP. Каждая техника - отдельный метод, не нужно держать в голове синтаксис.

🟣Установка простая:

pip3 install python3-nmap
apt-get install nmap

nmap должен быть установлен на системе - библиотека вызывает его под капотом.

🟣Важный момент: часть сканов требует root. Определение ОС, SYN-сканирование, сканирование подсетей, всё это нужно запускать через sudo. Без прав получишь ошибку ещё до начала сканирования.

Делаем вторую часть уже о том, как использовать этот тул?

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Продолжаем разбирать python3-nmap, и теперь расскажу как это реально юзать в скриптах.

🟣Базовый скан топ-портов:

import nmap3
nmap = nmap3.Nmap()
results = nmap.scan_top_ports("target.com")

Возвращает JSON с портами, протоколами и статусами. Удобно когда нужно быстро проверить хост и сразу обработать результат в коде.

🟣Определение версий сервисов:

results = nmap.nmap_version_detection("target.com")

На выходе структура с портом, сервисом, версией и CPE. Не нужно парсить строки, всё уже разложено по полям.

🟣Поиск поддоменов через DNS-брут:

results = nmap.nmap_dns_brute_script("target.com")

Возвращает список найденных поддоменов с IP. Быстро встраивается в разведку без отдельных инструментов.

🟣Поиск CVE через vulners прямо из Python:

results = nmap.nmap_version_detection(
    "target.com",
    args="--script vulners --script-args mincvss+5.0"
)

Сначала определяет версии сервисов, потом матчит по CVE-базе. Минимальный CVSS настраивается - удобно фильтровать шум.

🟣Где это реально нужны: автоматизация периодических проверок инфраструктуры, встраивание сканирования в CI/CD или собственные security-тулзы, когда нужен не отчёт nmap, а данные для дальнейшей обработки.

Серверная Админа | Zeroday | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём OSPF route redistribution, как правильно перегонять маршруты между разными протоколами маршрутизации.

🟣Зачем это вообще: в реальных сетях редко бывает один протокол. Часть сети на OSPF, часть на BGP, где-то остался старый EIGRP. Redistribution позволяет маршрутам из одного протокола появиться в другом без ручного прописывания.

🟣Базовый редистрибьют из BGP в OSPF:

router ospf 1
 redistribute bgp 65000 subnets metric 20 metric-type 2

metric-type 2 - внешний маршрут, метрика не накапливается при прохождении через OSPF-зону. Тип 1 накапливает, что честнее, но реже используется.

🟣Фильтруем что именно редистрибьютим через route-map:

ip prefix-list ALLOW_BGP seq 10 permit 10.0.0.0/8 le 24

route-map BGP_TO_OSPF permit 10
 match ip address prefix-list ALLOW_BGP
 set metric 50

router ospf 1
 redistribute bgp 65000 subnets route-map BGP_TO_OSPF

Без фильтра в OSPF улетит вся BGP-таблица, на больших сетях это катастрофа.

🟣Обратный редистрибьют из connected и static в BGP:

router bgp 65000
 redistribute connected route-map CONNECTED_FILTER
 redistribute static route-map STATIC_FILTER

🟣Смотрим что реально попало в таблицу:

show ip ospf database external
show ip bgp | include ^r

Маршруты с тегом E2 в OSPF - внешние, пришли через redistribution. Если их слишком много, фильтр настроен неправильно.

Серверная Админа | Zeroday | #OSPF

👋 Привет, сетевой друг!

Теперь расскажу про 5 полезных фишек уже для Cisco SD-WAN, которые реально супер полезны.

🟣Application-Aware Routing - трафик идёт туда где канал лучше прямо сейчас: SD-WAN постоянно меряет latency, jitter и потери на каждом туннеле и переключает приложения на лучший путь без вмешательства администратора:

policy
 app-route-policy CRITICAL_APPS
  vpn-list VPN_10
   sequence 10
    match
     app-list VOICE_APPS
    action
     sla-class VOICE_SLA
     backup-sla-preferred-color biz-internet

Голос идёт по MPLS пока он соответствует SLA, при деградации автоматически уходит на резервный канал.

🟣vAnalytics для предсказания проблем до того как они стали проблемами: платформа собирает телеметрию со всех устройств и показывает тренды деградации канала, аномалии в трафике и прогноз утилизации полосы. Видно что канал начинает деградировать за несколько часов до реального падения.

🟣Zero Touch Provisioning - новое устройство поднимается само: подключил vEdge в офисе, он сам нашёл vBond, получил конфиг и встал в сеть без единого SSH-сеанса:

vBond discovery → vSmart policy → vManage config push

Особенно ценно когда филиалов много и гонять инженера на каждое подключение нереально.

🟣On-Demand Tunnel - туннели между филиалами поднимаются только когда нужны: по умолчанию spoke-spoke трафик идёт через hub и создаёт лишнюю нагрузку. При появлении трафика между двумя филиалами vSmart сигнализирует им поднять прямой туннель, после окончания сессии туннель падает сам:

bfd app-route multiplier 6
bfd app-route poll-interval 600000

policy
 control-policy SPOKE_DIRECT
  sequence 10
   match tloc
    color biz-internet
   action accept
    set
     preference 100

Экономит полосу на hub-роутере и снижает latency между филиалами без постоянных туннелей на каждую пару.

🟣Cloud OnRamp для оптимального выхода в SaaS: SD-WAN сам меряет качество до Office 365, Salesforce и других сервисов с каждого филиала и выбирает оптимальную точку выхода в интернет, не обязательно через центральный офис:

policy
 cloud-saas-policy OFFICE365
  sequence 10
   match
    app-list MS_OFFICE365
   action
    cloud-saas-app office365

Вместо того чтобы трафик из филиала шёл в интернет через дата-центр, он выходит напрямую через местного провайдера с лучшим путём до серверов Microsoft.

Серверная Админа | Zeroday | #Cisco

👋 Привет, сетевой друг!

Сегодня про Nerva - инструмент для фингерпринтинга сервисов, который понимает 170+ протоколов и сразу говорит что именно там крутится.

🟣Что это: CLI на Go от Praetorian, который берёт host:port и определяет протокол, версию и конфигурацию сервиса. Не просто «порт открыт», а «это Redis 7.2 без аутентификации» или «это SSH с слабыми алгоритмами шифрования».

🟣Как работает фингерпринтинг: Nerva отправляет на порт зондирующие пакеты, характерные для конкретного протокола, и анализирует ответ. Каждый протокол имеет свой баннер, хендшейк или структуру ответа - по этим признакам инструмент определяет что именно там живёт. В отличие от nmap, который сначала сканирует порты, Nerva заточен именно под идентификацию сервисов и делает это быстрее за счёт приоритизации наиболее вероятного протокола для каждого порта.

🟣Установка:

go install github.com/praetorian-inc/nerva/cmd/nerva@latest

🟣Базовое использование: скормил хост с портом, получил что там живёт:

nerva -t example.com:22
nerva -t example.com:22 --json

Удобно пайпить из naabu или nmap - отдаёшь список открытых портов, Nerva определяет сервисы:

naabu -host example.com -silent | nerva

🟣Детект мисконфигураций - отдельная фича которую стоит знать:

nerva -t example.com:2375 --misconfigs --json

Находит Docker API без аутентификации, X11 с открытым доступом, SMB без подписи, Telnet и FTP с передачей кредов в открытом виде. На пентесте экономит время на ручные проверки.

🟣Поддержка UDP и SCTP: промышленные протоколы, телеком, VoIP - всё это тоже покрыто:

sudo nerva -t example.com:53 -U
nerva -t telecom-server:3868 -S

Серверная Админа | Zeroday | #Инструмент

📝 HTTP-коды: что сервер пытается тебе сказать

👋 Привет, сетевой друг!

Разбираем по классам HTTP коды. Ведь каждый раз, когда браузер или клиент получает ответ, первое что читается - трёхзначный код. По нему уже понятно, что произошло.

🟣1xx: в реальной жизни почти не видны, но 101 встречается часто при работе с WebSocket. Клиент отправляет обычный HTTP-запрос с заголовком Upgrade, сервер соглашается и соединение переключается в двусторонний режим. Потом HTTP уже не используется.

🟣2xx: всё хорошо, запрос выполнен. 200 это базовый успех с телом ответа. 201 возвращают когда ресурс создан, обычно сюда же кладут сам объект. 204 говорит что выполнили но отдавать нечего, типичный ответ на DELETE. 206 используется при скачивании файлов по частям, именно так работают докачка и стриминг видео.

🟣3xx: ресурс не здесь. 301 означает переехал навсегда, браузер закэширует новый адрес и старый больше дёргать не будет. 304 говорит что у клиента уже актуальная версия в кэше, гнать данные повторно смысла нет. 307 и 308 работают как временный и постоянный редирект, но с гарантией что метод запроса не изменится, это важно для POST.

🟣4xx: ошибка на стороне клиента. Важно не путать 401 и 403: первый про аутентификацию (нет токена или невалидный), второй про авторизацию (токен есть, прав нет). 409 возникает при конфликте состояния, например когда пользователь с таким email уже существует.

🟣5xx: что-то сломалось на сервере. 500 - необработанное исключение. 502 обычно говорит о проблемах за nginx, апстрим вернул что-то невалидное. 503 - сервис недоступен. 504 - апстрим не ответил вовремя.

Серверная Админа | Zeroday | #HTTP

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣CAPsMAN - централизованное управление точками доступа: вместо того чтобы настраивать каждую точку отдельно, все конфиги раздаются с одного роутера. Точка подключается, получает настройки и сразу работает:

/caps-man manager
set enabled=yes

/caps-man configuration
add name=main-cfg ssid="Office" security.authentication-types=wpa2-psk security.passphrase="password" channel.frequency=2437 channel.width=20

/caps-man provisioning
add action=create-dynamic-enabled master-configuration=main-cfg

Добавили новую точку в сеть, она сама получила конфиг и поднялась. Менять SSID или пароль теперь в одном месте.

🟣L2TP/IPSec с сертификатами вместо PSK: pre-shared key это удобно, но если утёк, то все туннели скомпрометированы. С сертификатами каждый клиент имеет свой ключ:

/certificate
add name=ca-cert common-name=CA days-valid=3650 key-size=2048
sign ca-cert ca-crl-host=10.0.0.1

add name=server-cert common-name=vpn.company.com days-valid=3650
sign server-cert ca=ca-cert

/ip ipsec proposal
set default auth-algorithms=sha256 enc-algorithms=aes-256-cbc

/ip ipsec policy group
add name=l2tp-clients

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=server-cert \
  generate-policy=port-strict policy-group=l2tp-clients

Отозвать доступ одному клиенту - просто отзываем его сертификат. PSK при этом не меняется, остальные туннели продолжают работать.​​​​​​​​​​​​​​​​

🟣Hotspot с кастомной страницей авторизации: стандартная страница Mikrotik выглядит как из 2005 года, но её легко заменить. Кидаем свои HTML-файлы в hotspot-директорию и редактируем login.html:

/ip hotspot
add name=hotspot1 interface=ether3 address-pool=hotspot-pool \
  profile=hsprof1

/ip hotspot user
add name=guest password=guest123 profile=default

Страница авторизации берётся из /flash/hotspot/, там же лежат CSS и картинки. Можно сделать брендированный портал с логотипом и условиями использования.

Серверная Админа | Бункер Хакера | #Mikrotik