Игра в имитацию: как современные решения делают Wireguard невидимым для DPI
Статья про то, как WireGuard сначала научились легко узнавать и резать по характерному хендшейку и структуре пакетов, потом начали прятать за шумом и обфускацией, а дальше дошли до более хитрой схемы, где трафик уже не просто «ломает сигнатуру», а пытается выглядеть как QUIC, DNS, STUN или SIP - с прокси, который отвечает как настоящий сервис и поддерживает эту маску с обеих сторон, из-за чего блокировать становится сложнее не технически, а по рискам и побочным эффектам.
Серверная Админа | Zeroday | #Статья
Статья про то, как WireGuard сначала научились легко узнавать и резать по характерному хендшейку и структуре пакетов, потом начали прятать за шумом и обфускацией, а дальше дошли до более хитрой схемы, где трафик уже не просто «ломает сигнатуру», а пытается выглядеть как QUIC, DNS, STUN или SIP - с прокси, который отвечает как настоящий сервис и поддерживает эту маску с обеих сторон, из-за чего блокировать становится сложнее не технически, а по рискам и побочным эффектам.
Серверная Админа | Zeroday | #Статья
👍21❤1
Привет, сетевой друг!
Расскажу про универсальный тул для сетевой разведки и диагностики - Hawkgit clone https://github.com/medpaf/hawk.git
cd hawk
sudo sh setup.sh
sudo python3 hawk.py
# поиск устройств в локальной сети
-scanlan
# TCP/SYN-сканирование хоста
-scan -host 192.168.1.10
# определение версии сервиса
-grab -host 192.168.1.10 -p 22,80,443
# DNS-проверка
-ns example.com
# WHOIS
-whois example.com
-autoscan example.com
Он запускает несколько этапов сбора информации подряд и помогает быстро получить базовую картину по цели без ручного запуска каждого модуля.Серверная Админа | Zeroday | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤1👾1
Привет, сетевой друг!
Сегодня разберу QUIC, который фактически заменил связку TCP+TLS в современном вебе и убрал одну из самых неприятных проблем классического транспорта - блокировку потоков при потерях.обычное соединение (1-RTT)
client → Initial + crypto
server → Handshake + data
client → encrypted data
повторное соединение (0-RTT)
client → сразу encrypted request (если есть ключи сессии)
QUIC почти всегда UDP 443
tcpdump -i eth0 udp port 443 -nn
точечно по хосту
tcpdump -i eth0 host 1.1.1.1 -nn
curl –http3 https://cloudflare.com
curl –http3 -I https://google.com
Если есть fallback - значит клиент/сервер не договорились о QUIC и ушли в HTTP/2.
openssl s_client -alpn h3 -connect example.com:443
Если в ответе есть
h3 - это HTTP/3 поверх QUIC.udp.port == 443
quic
tls && udp
Но важно: большая часть QUIC внутри зашифрована, включая транспортные метаданные, поэтому анализ становится гораздо более “слепым”, чем в TCP.
ss -u -a | grep 443
netstat -uapn | grep 443
lsof -i UDP:443
Серверная Админа | Zeroday | #QUIC
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍4❤2
Привет, сетевой друг!
Сегодня поговорим о Ван Якобсоне - человеке который спас интернет от коллапса в конце 80-х.Серверная Админа | Zeroday | #история
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤2
Привет, сетевой друг!
Разберём Flexible NetFlow - как собирать именно те метрики которые нужны, а не всё подряд.flow record QOS_ANALYSIS
match ipv4 source address
match ipv4 destination address
match ipv4 dscp
match transport source-port
match transport destination-port
collect counter bytes
collect counter packets
collect transport tcp flags
collect ipv4 ttl minimum
collect ipv4 ttl maximum
TTL minimum и maximum в одном потоке - сразу видно асимметричную маршрутизацию когда пакеты туда и обратно идут разными путями.flow exporter COLLECTOR
destination 10.0.0.100
transport udp 2055
export-protocol netflow-v9
template data timeout 60
flow monitor QOS_MONITOR
record QOS_ANALYSIS
exporter COLLECTOR
cache timeout active 60
cache timeout inactive 15
interface GigabitEthernet0/1
ip flow monitor QOS_MONITOR input
ip flow monitor QOS_MONITOR output
flow record PORT_SCAN_DETECT
match ipv4 source address
match ipv4 destination address
match transport destination-port
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
Если один источник генерирует тысячи flow с разными dst-портами за короткое время - сканирование.show flow monitor QOS_MONITOR cache
show flow monitor QOS_MONITOR cache aggregate ipv4 source address
show flow monitor QOS_MONITOR statistics
aggregate позволяет группировать прямо в CLI - супер для быстрой диагностики без поднятия внешнего коллектора.Серверная Админа | Zeroday | #Netflow
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍2
QoS shaping настроен на выходе, но burst трафика всё равно вызывает потери:
Anonymous Quiz
21%
Неверная очередь
18%
ACL ошибка
25%
Bc/Be параметры выставлены неверно
36%
Полисер вместо шейпера
❤3
Аптечка сисадмина: необходимый набор ПО для Linux и Windows
У каждого сисадмина со временем появляется своя «аптечка» - набор проверенных утилит на случай, если сервер внезапно лёг, начал тормозить или решил забить диск под завязку. В статье собрали базовый набор инструментов для Linux и Windows: чем подключаться к серверам, как быстро проверить сеть, найти проблемный процесс, разобраться с логами и понять, что вообще пошло не так.
Серверная Админа | Zeroday | #Статья
У каждого сисадмина со временем появляется своя «аптечка» - набор проверенных утилит на случай, если сервер внезапно лёг, начал тормозить или решил забить диск под завязку. В статье собрали базовый набор инструментов для Linux и Windows: чем подключаться к серверам, как быстро проверить сеть, найти проблемный процесс, разобраться с логами и понять, что вообще пошло не так.
Серверная Админа | Zeroday | #Статья
👍6❤4
Привет, сетевой друг!
Расскажу про NetProbe - простой Python-тул для поиска устройств в локалке через ARP.git clone https://github.com/HalilDeniz/NetProbe.git
cd NetProbe
pip3 install -r requirements.txt
python3 netprobe.py -t 192.168.1.0/24
# Живой мониторинг — видно когда устройство появляется и пропадает
python3 netprobe.py -t 192.168.1.0/24 --live
# Сохранить результат в файл
python3 netprobe.py -t 192.168.1.0/24 -o results.txt
# Фильтр по производителю
python3 netprobe.py -t 192.168.1.0/24 --vendor Apple
# Интервал между сканами в секундах, по умолчанию 5
python3 netprobe.py -t 192.168.1.0/24 --rate 10
Серверная Админа | Zeroday | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16
Привет, сетевой друг!
Давай расскажу про MACsec (802.1AE) - шифрование трафика на уровне L2 которое многие забывают настроить, даже когда оно уже доступно на железе.key chain MACSEC_KEY macsec
key 1000
cryptographic-algorithm aes-256-cmac
key-string 0 1234567890ABCDEF1234567890ABCDEF
interface TenGigabitEthernet1/0/1
macsec network-link
mka policy MACSEC_KEY
network-link говорит, что это инфраструктурный линк между свитчами, а не подключение конечного устройства - меняет поведение MKA-протокола.dot1x system-auth-control
interface TenGigabitEthernet1/0/1
macsec
mka policy DYNAMIC_MKA
dot1x pae both
authentication periodic
authentication timer reauthenticate 3600
Ключи ротируются автоматически раз в час - компрометация одного ключа не даёт доступа к трафику до и после ротации.show macsec summary
show mka session
show mka session interface TenGigabitEthernet1/0/1 detail
mka session должна показывать Secured как статус. Если видите Pending дольше нескольких секунд - проблема в key chain или несовпадении политик на двух концах.show macsec statistics interface TenGigabitEthernet1/0/1
Счётчик rx-pkts-late или integrity-check-failures растущий ненулевыми значениями - признак, что кто-то пытается инжектировать трафик в канал или физически вмешивается в линк.Серверная Админа | Zeroday | #Macsec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤1
This media is not supported in your browser
VIEW IN TELEGRAM
«Следствие вели...» в Авито! И это не заголовок пугающей новости, а совсем наоборот ⚡️
Авито пригласил легенду тру-крайма Леонида Каневского, чтобы он разгадал таинственное и запутанное дело о внезапном росте ошибок 404 на endpoint аватарок и нашёл виновных. Звучит как план для просмотра на вечер!
Кстати, кейс в основе сюжета довольно реальный... Но это уже совсем другая история👀
📱 YouTube
📱 Rutube
📱 VK Видео
Авито пригласил легенду тру-крайма Леонида Каневского, чтобы он разгадал таинственное и запутанное дело о внезапном росте ошибок 404 на endpoint аватарок и нашёл виновных. Звучит как план для просмотра на вечер!
Кстати, кейс в основе сюжета довольно реальный... Но это уже совсем другая история
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7🤡5❤3👍2
This media is not supported in your browser
VIEW IN TELEGRAM
Привет, сетевой друг! Расскажу еще о 3 способах прокачать защиту Mikrotik. /ip firewall mangle
add chain=prerouting connection-state=new action=mark-connection \
new-connection-mark=in_wan passthrough=yes in-interface=ether1
add chain=prerouting connection-state=new action=mark-connection \
new-connection-mark=out_wan passthrough=yes in-interface=ether2
Дальше проверка несоответствий:/ip firewall filter
add chain=forward connection-mark=in_wan out-interface=ether2 action=log log-prefix="ASYM ROUTE"
Тут цель - поймать трафик, который заходит через один WAN, а выходит через другой без явного policy routing. Базовый контроль:
/ip dhcp-server option
add name=block-static-routes code=121 value=""
add name=block-gateway code=3 value=""
И принудительное игнорирование нестандартных опций:/ip dhcp-server set [find] use-radius=no authoritative=yes
Тут идея - убрать возможность клиентам получать неожиданные маршруты от rogue DHCP или misconfigured сервера. Пример:
/ip firewall layer7-protocol
add name=proxy_detect regexp="(CONNECT|Proxy|X-Forwarded-For)"
Привязка:/ip firewall filter
add chain=forward layer7-protocol=proxy_detect action=add-src-to-address-list \
address-list=suspicious-proxy address-list-timeout=1h
Используем так: ловит HTTP proxy tunnelingвыявляет скрытые корпоративные прокси внутри LAN
помогает находить обходы фильтрации через нестандартные HTTP headers
Серверная Админа | Бункер Хакера | #Mikrotik
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤1
Привет, сетевой друг!
Сегодня разберу протокол TWAMP, который мерит latency, jitter и потери между двумя точками без тяжёлого IP SLA на каждом узле./tool traffic-monitor
add interface=ether1 sender-mode=yes target=10.0.0.5 threshold=100 \
on-event="log info reflector-down"
apt install twamp
twserver # сторона reflector
twping -c 100 -i 0.1 10.0.0.5 # сторона sender, 100 пакетов с интервалом 0.1с
Вывод сразу даёт RTT, джиттер и потери раздельно по направлениям. Обычный ping видит только сумму туда-обратно, а TWAMP различает, где именно деградация.Серверная Админа | Zeroday | #TWAMP
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤2
На Stepik запустили годный курс по «Troubleshooting Docker и Kubernetes: поиск и устранение проблем»
В программе только важные аспекты:
— troubleshooting Docker и образов
— диагностика сетевых проблем
— настройка readiness/liveness probes
— отладка pod’ов, деплоев и ingress
— анализ логов контейнеров и кластера
— разбор ошибок CrashLoopBackOff, OOMKilled, ImagePullBackOff и других
Собеседования на DevOps/SRE сейчас всё чаще строятся вокруг реальных инцидентов. Данный курс фокусируется именно на таких сценариях и помогает в подготовке к практическим вопросам
48 часов доступен со скидкой 25%
↗️ Пройти курс на Stepik
В программе только важные аспекты:
— troubleshooting Docker и образов
— диагностика сетевых проблем
— настройка readiness/liveness probes
— отладка pod’ов, деплоев и ingress
— анализ логов контейнеров и кластера
— разбор ошибок CrashLoopBackOff, OOMKilled, ImagePullBackOff и других
Собеседования на DevOps/SRE сейчас всё чаще строятся вокруг реальных инцидентов. Данный курс фокусируется именно на таких сценариях и помогает в подготовке к практическим вопросам
48 часов доступен со скидкой 25%
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2
Ищем петли и шторма в L2 сети
В статье разбирают, как быстро вычислить L2-петлю и остановить broadcast storm, пока сеть не легла полностью. Показывают, по каким признакам распознать проблему, как искать источник через STP, MAC flapping и аномальный трафик, а также какие настройки помогут не допустить повторения таких аварий.
Серверная Админа | Zeroday | #Статья
В статье разбирают, как быстро вычислить L2-петлю и остановить broadcast storm, пока сеть не легла полностью. Показывают, по каким признакам распознать проблему, как искать источник через STP, MAC flapping и аномальный трафик, а также какие настройки помогут не допустить повторения таких аварий.
Серверная Админа | Zeroday | #Статья
❤5
Как снизить бюджет миграции на новую АТС
Когда компания слышит «миграция», первая мысль — придётся менять всё. Этого можно избежать.
➡️ Шаг первый — аудит
По итогам аудита — три списка:
🔵 что можно оставить без ущерба для надёжности,
🔵 что нужно заменить до старта — риск отказа/несовместимость,
🔵 что можно обновить позже, в плановом режиме.
Так «заменить всё сразу» превращается в поэтапный план: критичное — на старте, остальное — по мере износа. Это помогает модернизировать телефонию с меньшими рисками и затратами.
▶️ Приходите на кейс-вебинар — расскажут практики: про подводные камни и что стоит сделать иначе, чтобы не ходить по тем же граблям.
В программе:
🏦 Солид Банк — импортозамещение АТС в 20+ филиалах без прерывания связи
🚂 Предприятие РЖД — замена Avaya для 740 абонентов без остановки
🎓 ДВГУПС — миграция с Cisco, когда никто не помнит, как устроена телефония
📅 8 июля, 11:00 мск
👉 Зарегистрироваться
Когда компания слышит «миграция», первая мысль — придётся менять всё. Этого можно избежать.
➡️ Шаг первый — аудит
По итогам аудита — три списка:
🔵 что можно оставить без ущерба для надёжности,
🔵 что нужно заменить до старта — риск отказа/несовместимость,
🔵 что можно обновить позже, в плановом режиме.
Так «заменить всё сразу» превращается в поэтапный план: критичное — на старте, остальное — по мере износа. Это помогает модернизировать телефонию с меньшими рисками и затратами.
▶️ Приходите на кейс-вебинар — расскажут практики: про подводные камни и что стоит сделать иначе, чтобы не ходить по тем же граблям.
В программе:
🏦 Солид Банк — импортозамещение АТС в 20+ филиалах без прерывания связи
🚂 Предприятие РЖД — замена Avaya для 740 абонентов без остановки
🎓 ДВГУПС — миграция с Cisco, когда никто не помнит, как устроена телефония
📅 8 июля, 11:00 мск
👉 Зарегистрироваться
Привет, сетевой друг!
Сегодня расскажу про Buildware-Tools - Python-мультитул, который объединяет сетевые утилиты, OSINT и разные вспомогательные инструменты в одном терминальном интерфейсе.git clone https://github.com/v4lkyr0/Buildware-Tools.git
cd Buildware-Tools
python Setup.py
# Проверить открытые порты
Ip Port Scanner
# Посмотреть маршрут до узла
Traceroute
# Проверить DNS-записи
Dns Lookup
# Информация о SSL-сертификате
Ssl Checker
# WHOIS по домену
Whois Lookup
# Проверить репутацию IP
Ip Reputation Checker
Серверная Админа | Zeroday | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡2👎2❤1
Сегодня разберём как протокол придуманный одной компанией стал основой всей интернет-безопасности.Серверная Админа | Бункер Хакера | #TLS
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥4
This media is not supported in your browser
VIEW IN TELEGRAM
Привет, сетевой друг!
Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.
sysctl -w net.core.busy_poll=50
sysctl -w net.core.busy_read=50
Ядро вместо ожидания прерывания активно опрашивает сетевую карту в течение заданного времени в микросекундах. На low-latency приложениях (торговые системы, real-time API) это убирает задержку на переключение контекста, но жрёт CPU - включать только там где латентность важнее энергоэффективности.sysctl -w net.ipv4.tcp_sack=1
sysctl -w net.ipv4.tcp_no_metrics_save=1
tcp_no_metrics_save отключает кэширование метрик соединения (RTT, congestion window) для повторных подключений к тому же хосту. Без этого новое соединение после долгого простоя может унаследовать устаревшие метрики от предыдущей сессии и стартовать с заниженной скоростью.sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_time_wait=30
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_close_wait=15
По умолчанию established-соединение живёт в таблице conntrack до 5 дней. На серверах с высоким churn (много коротких соединений) таблица раздувается и жрёт память без реальной необходимости.# Привязываем очередь TX0 к CPU 0-3
echo f > /sys/class/net/eth0/queues/tx-0/xps_cpus
# Проверяем текущую привязку
cat /sys/class/net/eth0/queues/tx-0/xps_cpus
Без XPS все ядра могут пытаться писать в одну и ту же TX-очередь одновременно, создавая contention на блокировках. Привязка снижает конкуренцию за очередь.sysctl -w net.ipv4.tcp_slow_start_after_idle=0
Для keep-alive соединений с редкими, но объёмными передачами (например API с долгоживущими сессиями) это означает что каждая пауза откатывает скорость к началу slow start. Отключение сохраняет congestion window между паузами - актуально когда канал стабильный и потери не связаны с реальной перегрузкой.Серверная Админа | Zeroday | #Cisco
Please open Telegram to view this post
VIEW IN TELEGRAM