tcp (mss, etc)

RFC 879 TCP MSS

  • MSS не согласовывается между TCP пирами, это НЕ согласование.
  • MSS анонс отправляется получателем в сторону отправителя и говорит о том, сколько получатель данных в виде TCP сегмента может максимум получить.
  • Значение MSS может быть разным по каждому направлению (на прием, свое, одно, на отправку в сторону соседа другое).


Читать дальше

VRF: базовая настройка в Linux и на сетевых устройствах Cisco, Huawei

Linux
  • База на xgu
  • При настройке VRF в linux свой интерфейс в vrf не пингуется – это ок. Интерфейс в другом vrf при этом будет отвечать нашему. Можно интерфейсы соединить кабелем напрямую (в одной подсети, но разных vrf) или через промежуточный роутер (в разных подсетях) – без разницы.


Читать дальше

Тестируем сетевые устройства с помощью Stack Integrity Checker (ISIC)

IP Stack Integrity Checker (ISIC) – набор утилит по тестированию стека tcp-ip без application layer. Им активно пользуются лаборатории по тестированию при тестировании firewall/ips, совместно с BreakingPoint stack scrambler. Пример CVE-2008-1746 на CUCM.

Version > 0.07 ISIC supports IPv6 (*sic6)

- Suite of utilities to exercise the stability of an IP Stack and its component stacks (TCP, UDP, ICMP)
- Good to test fragments etc.


Читать дальше

Делаем usb принтер сетевым и смотрим что под капотом

USB-принтером одного хоста относительно легко поделиться с другими хостами. Хосты должны находиться в одной локальной сети.

Обмен при этом реализуется на базе гремучей смеси новых (ipv6, llmnr) и старых (netbios, ntlm, dce/rpc) протоколов, что можно увидеть в wireshark/tcpdump.

Это, безусловно, не продакшн решение (хотя по факту у многих используется так):

  1. нужно чтобы хост, к которому подключен принтер, был включен, хотя и нет необходимости, чтобы кто-то на нем был авторизован (используется guest учетка, см.


Читать дальше

Эволюция производительности сетевых устройств

Еще 10 лет назад коммутаторы 10G 32-48х10G были топовым.

Сейчас уже норма устройства с 100g портами (модули QSFP28 и крупнее, например CFP; причем модули стоят уже от 10к рублей):

The FortiGate 3980E enterprise firewall is the world’s first terabit per second network security appliance – delivering 1.12 Tbps firewall performance in addition to 470 Gbps secured VPN throughput

The FortiGate 3980E performance is validated by Ixia’s BreakingPoint and latest CloudStorm 100GE Application and Security Test Load Module.


Читать дальше

Отрисовка сетевых топологий

Ручная 

  • draw.io поддерживает импорт из visio (.vdx). Dia поддерживает экспорт в .vdx. Поэтому все утилиты ниже могут работать со всеми через .vdx. Правда само конвертирование в .vdx может не очень корректно отрабатывать из dia – например, в контексте масштабирования.
  • https://www.draw.io – супер крутая WEB (на JavaScript) альтернативая visio/dia.


Читать дальше

Заметки о DNS

Разное:

  • DNS запросы/ответы обычно передаются в виде UDP, но если ответ слишком большой, то TCP сервер может отправить ошибку клиенту, после которой клиент подключится к серверу по TCP.
  • Никогда не забываем что host файл смотрится перед запросом к DNS, причем даже на телефонах
  • DNSSEC – безопасный DNS.


Читать дальше

Работа с pcap: анализ (Wireshark, tcpdump), редактирование (WireEdit, editcap, mergecap) и воспроизведение (tcpreplay)

АНАЛИЗ
Wireshark

https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/ – идентификация данных о хосте на основе pcap (из dhcp, nbns, http, kerberos)

https://www.malware-traffic-analysis.net/index.html – упражнения по анализу трафика с атаками

Wireshark не только с точки зрения удобства использования лучше tcpdump, он считается и намного более мощным инструментом в сравнении с ним, особенно когда идет вопрос в анализе уровня приложений (поддержка более 2к протоколов, даже таких как USB/Bluetooth/Zigbee).

Читать дальше

Cisco reverse telnet через async порты (aux/db68)

Ссыли 0 1  2

Очень удобная тема, хотя и старая как жигули. Соединяешь новую железку (напр. BRAS) с аплинковой через AUX+консоль или DB68+CAB-OCTAL-ASYNC. Чуть настраиваешь line’ы (пример ниже для DB68 или выше в ссылках).  Далее можно с любого места, с которого доступна аплинковая Cisco (причем по любому из ее IP адресов, не только Lo0) зайти на ненастроенный или, божи-божи, упавший по data портам девайс поконсоль через telnet.

Читать дальше

32-битные счетчики sysUpTime

C 497 дня (4-миллиарда timeticks) обновляется значение Uptime при опросе sysUpTime (DISMAN-EVENT-MIB::sysUpTimeInstance или .1.3.6.1.6.3.10.2.1.3). Такое поведение аналогично на всех устройствах, включая Cisco. 64-битного счетчика timeticks (1/100 секунды), по аналогии с Counter64,  пока не существует. Для Cisco, Alcatel и многих других устройств (даже ZTE, но не D-Link) есть альтернатива – опрашивать количество секунд со старта (не epoch seconds) (SNMP-FRAMEWORK-MIB::snmpEngineTime или .1.3.6.1.2.1.1.3.0) и конвертировать во время самостоятельно скриптом.

Читать дальше