Network: SDN (Cisco ACI, Cisco DNA, VXLAN, Open/Juniper Contrail)

SDN – Software Defined Networking

Ни для кого не секрет, что оверлейная сеть, обеспечивающая мультитенантностьYandex.Cloud, реализована на OpenContrail (ныне Tungsten Fabric). Он, в свою очередь, требует IPv4-связно
  • На Cisco devnet сайте можно поизучать устройство и примеры работы с API разных продуктов Cisco и даже поделать различные лабы (пример с Cisco DNA)!


Читать дальше

Network, Security: DoS/DDoS

DOS/DDOS теория

DOS/DDOS (dns lookup, half-open attacks like syn flood; ddos = dos + botnet => flood guard) – отправляем большое количество каких-либо пакетов/запросов/ответов для отказа в обслуживании сервиса из-за нехватки ресурсов (процессинговых, памяти, сетевых и проч). DDOS – Distributed DoS (напр.

Читать дальше

Network security: сетевые атаки (kali, yersinia, arpspoof, dns2proxy, mitmproxy, sslsplit, aircrack, dnsmasq, hping3, dnsflood)

Kali linux
  • Легко запускается в virtualbox/vmware
    • Скачать можно тут
    • kali/kali default username/password
  • Можно поставить и life образ на flash, например, используя rufus.
  • Примеры запуска DoS/DDoS атак с использованием hping3, dnsflood в отдельной статье DoS/DDoS
  • Образ для QEMU, пригодится для GNS3 (доступ через vnc для GUI, ssh для CLI, но нужно включать)
# on KALI
sudo systemctl start ssh # sudo service ssh start
sudo systemctl enable ssh

# on remote
ssh root@172.16.208.130
    • default password toor (-> root)
  • Если есть проблема в работе NetworkManager в Kali Linux (нет апплета, не применяются настройки, падает интерфейс и проч) – лучше всего его снести (застопить, в конфиге /etc/NetworkManager/NetworkManager.conf


Читать дальше

Linux: работа с vpn, туннелями (gre, ipsec, stunnel, etc)

Зачем одному пользователю
  • Сбор информации за вами
  • Telegram
реализации

Их очень много, выбираем что нравится:

  • xSwan (StrongSwan, LibreSwan) и реализации на основе них (напр.


Читать дальше

Network: теоретические максимумы FPS для разных размеров фреймов, расчет throughput (PPS/Mbps)

throughput в виде FPS (PPS) 

Удобная reference таблица теоретических максимумов по throughput в виде FPS (PPS) на базе значения throughput в виде L1 Mbps из отчета Ixia IxNetwork:

Theoretical maximum Frame Rates (frames/second) for different frame sizes (bytes)
 

Получить значение throughput в виде PPS из L1 Mbps и frame size для значений Mbps, которых нет в таблице (и для верификации данных таблицы, при необходимости) можно используя Excel или формулу ниже.



Читать дальше

iOS заметки

Настройка автоподключения к VPN

Используя L2TP сервер (напр. docker ipsec-vpn-server) можно настроить устройства на iOS с опцией автоподключения к сети при разрыве с любых сетей, используя функционал “VPN On Demand”.

Читать дальше

Cisco ISR 4000 series

Обновление С ISR G1/G2

Cisco ISR обновление с ISR G1/G2 на ISR 4000. Все роутеры считаются branch, но по факту могут быть использованы и в виде hub (вместо ASR серии), когда производительности и функционала достаточно.

На основе презентации и презентации2.

Читать дальше

VRF: базовая настройка в Linux и на сетевых устройствах Cisco, Huawei

Linux
  • База на xgu
  • При настройке VRF в linux свой интерфейс в vrf не пингуется – это ок. Интерфейс в другом vrf при этом будет отвечать нашему. Можно интерфейсы соединить кабелем напрямую (в одной подсети, но разных vrf) или через промежуточный роутер (в разных подсетях) – без разницы.


Читать дальше

Тестируем сетевые устройства с помощью Stack Integrity Checker (ISIC)

IP Stack Integrity Checker (ISIC) – набор утилит по тестированию стека tcp-ip без application layer. Им активно пользуются лаборатории по тестированию при тестировании firewall/ips, совместно с BreakingPoint stack scrambler – в основном трафик направляют непосредственно на management интерфейс DUT.

Читать дальше

Делаем usb принтер сетевым и смотрим что под капотом

USB-принтером одного хоста относительно легко поделиться с другими хостами. Хосты должны находиться в одной локальной сети.

Обмен при этом реализуется на базе гремучей смеси новых (ipv6, llmnr) и старых (netbios, ntlm, dce/rpc) протоколов, что можно увидеть в wireshark/tcpdump.

Это, безусловно, не продакшн решение (хотя по факту у многих используется так):

  1. нужно чтобы хост, к которому подключен принтер, был включен, хотя и нет необходимости, чтобы кто-то на нем был авторизован (используется guest учетка, см.


Читать дальше