👋 Привет, сетевой друг!

Сегодня расскажу про ERPS (G.8032) - операторский протокол защиты колец, который часто выбирают там, где STP и даже REP уже не справляются.

🟣Зачем нужен: в metro- и промышленных сетях кольцо - самый дешёвый и надёжный способ резервирования, но классический STP слишком медленный и непредсказуемый. ERPS из стандарта ITU-T G.8032 даёт быструю и детерминированную защиту кольца с гарантированной сходимостью.

🟣В чём принцип работы: ERPS строит логическое кольцо и заранее блокирует один из линков (RPL - Ring Protection Link). Все узлы знают топологию и обмениваются служебными R-APS кадрами. При обрыве любого сегмента блокировка мгновенно снимается, и трафик начинает идти в обход по другой стороне кольца без пересчёта всей сети.

🟣Сходимость: стандарт гарантирует восстановление менее чем за 50 мс независимо от количества узлов в кольце. Нет таймеров как у STP и нет «фазы обучения» — переключение происходит сразу после детекта разрыва.

🟣Фишки: поддержка VLAN-aware колец, несколько логических колец поверх одной физической инфраструктуры, чёткое разделение ролей (RPL Owner / Neighbor), предсказуемое поведение при двойных отказах и удобная интеграция в операторские сети.

Серверная Админа | #ERPS

Коллеги, в понедельник встречаемся на Практикуме по Web Application Penetration Testing (WAPT) 🔥

Для тех, кто ещё не в списке участников — это хороший повод задуматься.

Мы будем разбирать реальный кейс по веб-пентесту. Не в теории, а в реальной работе, когда автоматические сканеры уже не помогают.

К эфиру подготовлен живой практический разбор.
🟧 Регистрация: https://wapt-workshop.codeby.school

Что вас ждёт:
🟧 Реальная работа с уязвимостями.
🟧 Презентация курса Академии Codeby.
🟧 Нестандартные XSS и SQL-инъекции, которые не ловят сканеры.
🟧 Разбор уязвимостей и применение эксплойтов.
🟧 Демонстрация методики мышления настоящего пентестера.

Это не лекция. Это сложный разбор с моментами, где даже у опытного специалиста возникают вопросы.

Почему важно быть онлайн:
— можно задать вопросы по ходу разбора
— будут детали, которые не попадут в запись
— живой диалог по кейсу, а не монолог.

Практикум пройдёт в прямом эфире.
Количество мест ограничено.
🟧 26 января, 19:00 МСК
🟧 Регистрация: https://wapt-workshop.codeby.school

Если будут вопросы по регистрации — пишите в бот @CodebyAcademyBot

👋 Привет, сетевой друг!

Сегодня коротко разберём вечную путаницу: URL, URI, URN, что к чему относится.

🟣URI - это общее название для любого идентификатора ресурса. Всё, что может уникально обозначить какую-то штуку в мире (страницу, файл, email, книгу, объект в LDAP и т.д.). URI - это типо «родитель». Всё остальное его дети.

🟣URL - это конкретный подвид URI, который не только называет ресурс, но и говорит, где его найти и как получить. В нём всегда есть схема (http/https/ftp/mailto и т.д.), хост, путь, иногда порт, query, fragment. Именно URL мы копируем и вставляем в браузер каждый день.

🟣URN - это другой подвид URI, который даёт ресурсу постоянное имя, не привязанное к месту нахождения. URN нужен, когда важно, чтобы идентификатор никогда не менялся, даже если ресурс переехал или вообще существует только в теории. Примеры: urn:isbn:978-3-16-148410-0 (книга), urn:uuid:550e8400-e29b-41d4-a716-446655440000, urn:ietf:rfc:3986.

Серверная Админа | #URL #URI #URN

Используй iPv6, говорили они…

👨‍💻Серверная Админа | #мем

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Расскажу, как защититься от Mac Flooding - атаки, которая превращает свитч в хаб и открывает дорогу для перехвата трафика.

🟣Port Security с лимитом MAC (Cisco): жёстко ограничиваем, сколько устройств может появиться на порту. Всё лишнее сразу блокируется.

interface Gi1/0/10
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security violation shutdown
 switchport port-security mac-address sticky

Порт запоминает легальный MAC и отключается при попытке затопить CAM-таблицу.

🟣Storm Control против лавины кадров: ограничиваем уровень широковещательного и неизвестного трафика, который обычно используют при MAC-flood.

interface Gi1/0/10
 storm-control broadcast level 1.00
 storm-control multicast level 1.00
 storm-control unicast level 1.00
 storm-control action shutdown

Когда поток выходит за пределы - порт гасится до ручного восстановления.

🟣Dynamic ARP Inspection как побочный щит от CAM-атак: хотя DAI создан против ARP-спуфинга, он отлично режет часть флуда, связанного с поддельными MAC/IP.

ip arp inspection vlan 10
ip arp inspection validate src-mac dst-mac ip
interface Gi1/0/10
 ip arp inspection limit rate 15

Фейковые кадры отлетают ещё до попадания в таблицы коммутатора.

🟣MAC limiting на MikroTik switch-чипе: аппаратно ограничиваем обучение адресов, не нагружая CPU.

/interface ethernet switch port
set ether5 learned-mac-address-limit=1
set ether5 drop-if-invalid-or-src-mac-not-learned=yes

Любая попытка заспамить порт новыми MAC сразу режется на уровне ASIC.

🟣Мониторинг переполнения CAM-таблицы (Cisco): ловим атаку ещё до деградации сети.

show mac address-table count
show logging | include CAM
debug sw-mac learning

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня разберём, в чём разница между gRPC и RESTCONF.

🟣gNMI - протокол от OpenConfig, который работает поверх gRPC и Protobuf. Он позволяет устройствам «толкать» телеметрию в реальном времени или «тянуть» конфигурацию через подписки. Гибко, быстро и масштабируемо: нет постоянного опроса, трафик минимальный, данные структурированные и сразу готовы для аналитики.

Пример получения данных о интерфейсах:

gnmi_get -a 10.0.0.1:57400 -u admin -p pass -t "interfaces/interface[name=Ethernet1]"

Или подписка на изменения статистики трафика:

gnmi_subscribe -a 10.0.0.1:57400 -u admin -p pass -t "interfaces/interface/state/counters" -s

🟣RESTCONF - это веб-ориентированная альтернатива NETCONF, тоже с поддержкой YANG. Работает по HTTPS, использует JSON/XML и идеально подходит для интеграции с современными DevOps-инструментами. Пример:

curl -k -u admin:pass -X GET https://10.0.0.1/restconf/data/interfaces/interface=Ethernet1

Для изменения конфига:

curl -k -u admin:pass -X PATCH -H "Content-Type: application/yang-data+json" \
-d '{"interface": {"name": "Ethernet1","enabled": true}}' \
https://10.0.0.1/restconf/data/interfaces/interface=Ethernet1

RESTCONF удобен для скриптов и CI/CD: JSON, HTTPS, а значит, легко вставить в Ansible, Python или Postman.

🟣И в итоге: gNMI крутой для реального времени и больших потоков телеметрии, RESTCONF - для безопасного и современного API-управления. SNMP тут уже кажется прошлым веком, а NETCONF и RESTCONF/ gNMI дают полный контроль и автоматизацию.

Серверная Админа | #grpc #RESTCONF

👋 Привет, сетевой друг!

Расскажу о технологии MPLS Fast Reroute (FRR), которая превращает падение линка из аварии в почти незаметный микрофриз.

🟣Зачем он нужен: в MPLS-сетях пересчёт маршрутов и LSP — процесс не мгновенный. Даже «быстрый» IGP легко уходит в сотни миллисекунд. Для голоса, стриминга и транзакций это уже боль. FRR решает проблему заранее — резерв есть ещё до того, как что-то сломалось.

🟣В чём идея: для каждого основного LSP заранее подготавливается локальный обходной путь - bypass или detour. Как только next-hop пропадает, маршрутизатор не ждёт сигналов от всей сети, а сразу перекидывает пакеты в резерв через другой label stack. Переключение чисто локальное и очень быстрое.

🟣Насколько быстро: обычно укладывается в 10–50 мс. По поведению это ближе к защите в оптике, чем к классической маршрутизации. Большая часть приложений вообще не замечает отказа.

🟣Что делает его реально мощным: можно защищать не только кабель, но и целый маршрутизатор, строить разные обходы под разные LSP, комбинировать с MPLS-TE и не устраивать шторм апдейтов по всей сети при каждой аварии.

Серверная Админа | #MPLS

🔥 likeabus channel 🔥

Канал сетевого архитектора с многолетним опытом в сетях, возглавляющего одно из сетевых направлений в крупнейшем облачном провайдере.
Сергей пишет про технологии внутри ЦОД, делится архитектурами, обзором различных новостей мира телеком, проводит митапы.

Ну и мемы тоже бывают, куда без мемов то! 🤝
Короче всячески рекомендуем, стоит подписаться!

🔥 likeabus channel 🔥

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Автоматическая ловля портсканеров через PSD (port scan detection): В MikroTik есть встроенный детектор сканирования - без L7 и без скриптов. Он анализирует частоту попыток подключений к разным портам и сам помечает сканеры.

/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 \
    action=add-src-to-address-list \
    address-list=port_scanners address-list-timeout=1d \
    comment="Detect TCP port scanners"

add chain=input src-address-list=port_scanners action=drop \
    comment="Drop detected scanners"

Если IP за короткое время лезет на много портов - улетает в бан на сутки. Отсекает nmap, masscan, zmap и 90% автоматических разведок.

🟣Сброс кривых TCP-пакетов (флаги, которые в нормальной сети не существуют): Большая часть атак и сканов шлёт комбинации флагов, которые обычный стек TCP не использует. Их можно рубить ещё в raw.

/ip firewall raw
add chain=prerouting protocol=tcp tcp-flags=fin,syn action=drop comment="Invalid FIN+SYN"
add chain=prerouting protocol=tcp tcp-flags=fin,rst action=drop comment="Invalid FIN+RST"
add chain=prerouting protocol=tcp tcp-flags=fin,ack action=drop comment="Stealth scan pattern"
add chain=prerouting protocol=tcp tcp-flags=!syn,!ack,!rst,!fin action=drop comment="Null scan"

Что это даёт:
• режет stealth-сканы
• режет странные probing-пакеты
• снижает шум в conntrack

Легальный трафик так никогда не ходит.

🟣Отсечение bogon и поддельных source IP на WAN: Очень много мусора приходит с адресов, которые в интернете вообще не должны существовать: private сети, loopback, multicast и т.п.

/ip firewall address-list
add list=bogons address=0.0.0.0/8
add list=bogons address=10.0.0.0/8
add list=bogons address=127.0.0.0/8
add list=bogons address=169.254.0.0/16
add list=bogons address=172.16.0.0/12
add list=bogons address=192.168.0.0/16
add list=bogons address=224.0.0.0/4

/ip firewall raw
add chain=prerouting in-interface=WAN src-address-list=bogons \
    action=drop comment="Drop spoofed/bogon sources"

Эффекты:
• режется spoofing
• уменьшается нагрузка
• половина мусорных атак даже не доходит до firewall logic

Серверная Админа | #Mikrotik

👋 Привет, сетевой друг!

Сегодня разберём одну из самых частых путаниц в performance-туннинге: Latency ≠ Response Time - и почему из-за этого часто оптимизируют не то место.

🟣Latency - это только путь по сети. Это чистое время передачи пакетов между клиентом и сервером: расстояние, маршрутизация, количество хопов, качество канала, CDN и перегруженные пиринги. Проще говоря - сколько данные физически «летят». Если RTT около 500 мс, то примерно 250 мс уходит в одну сторону, и это ещё не скорость приложения, а лишь транспорт.

🟣Response Time - это то, что реально видит пользователь. Полное время от отправки запроса до получения ответа. Формула всегда одна:

• Response Time = Latency + Processing Time.
• А Processing Time - вся работа сервера: разбор запроса, авторизация, обращения к базе и кэшу, бизнес-логика, генерация и сериализация ответа.

🟣Как это выглядит на деле: Запрос летит к серверу 500 мс, сервер обрабатывает его 1 500 мс, ответ возвращается за 300 мс. Итог - 2,3 секунды. Из них 800 мс это сеть, а полторы секунды чистая обработка. То есть большая часть задержки вообще не связана с инфраструктурой.

🟣Как быстро понять, где настоящий тормоз: Если растёт Latency - проблема почти всегда в сети: маршруты, удалённый дата-центр, отсутствие CDN, перегруженные каналы. Если растёт Processing Time - узкое место внутри сервиса: медленные SQL-запросы, блокировки, тяжёлая логика, паузы сборщика мусора, синхронные вызовы.

Серверная Админа | #latency

👋 Привет, сетевой друг!

Сегодня разберём ещё 5 полезных фишек для Cisco IOS, которые реально экономят время и нервы.

🟣TCP Intercept для защиты от SYN-флудов: Вместо того чтобы просто дропать пакеты, роутер ведёт TCP handshake и пропускает только легитимные соединения, снижая нагрузку на сервер.

ip tcp intercept list SYN-FLOOD
ip tcp intercept mode intercept
ip tcp intercept max-incomplete 100
ip tcp intercept one-minute

🟣IP SLA Object Tracking для динамического failover: Можно автоматически переключать маршруты или интерфейсы при падении сервиса, а не только линка.

ip sla 1
 icmp-echo 8.8.8.8 source-interface Gi0/0
 frequency 5
ip sla schedule 1 life forever start-time now

track 1 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 10.0.0.1 track 1
ip route 0.0.0.0 0.0.0.0 10.0.0.2 10

🟣Service Policy для QoS на Control Plane: Не только пользовательский трафик, но и OSPF, BGP, SNMP могут перегрузить CPU. Ограничиваем их через QoS.

class-map match-any CTRL-TRAFFIC
 match protocol ospf
 match protocol bgp
 match protocol snmp

policy-map CTRL-POLICY
 class CTRL-TRAFFIC
  police 64000 conform-action transmit exceed-action drop

control-plane
 service-policy input CTRL-POLICY

🟣Embedded Packet Capture (EPC) с фильтром VLAN: Захватываем трафик прямо на коммутаторе или роутере без SPAN-портов и смотрим только нужное.

monitor capture EPC interface Gi1/0/1 both match vlan 10
monitor capture EPC start
monitor capture EPC stop
show monitor capture EPC buffer brief
copy monitor capture EPC tftp://10.0.0.100/capture.pcap

🟣Smart Call Home Alerts: Устройство само отправляет оповещения о проблемах (состояние интерфейсов, ошибки, SLA) на заранее настроенный email или syslog, чтобы админ узнавал раньше, чем падает сеть.

call-home
 profile "ALERTS"
  destination email admin@example.com
  subscribe-to all
  periodic-schedule daily 08:00
  send-alerts

Серверная Админа | #Cisco