 | Amin к записи Руссише Пингвинус и сетевая… |
 | OC для мини-шлюза. |… к записи ВМ-ки Аминуксера |
| Устройство нашего пи… к записи ВМ-ки Аминуксера |
| Банк-клиент и парано… к записи ВМ-ки Аминуксера |
| UniFi 4.6.6 на Debia… к записи ВМ-ки Аминуксера |
| Ubiquity UniFi + Deb… к записи ВМ-ки Аминуксера |
| UniFi 4.6.6 —… к записи ВМ-ки Аминуксера |
Спор «командная строка» vs «графический интерфейс» очень древний, и при этом — в общем-то бессмысленный.
Интерфейс может быть сколь угодно красивый и приятный, но информационная плотность у него всегда будет меньше, чем у консольных интерфейсов и текстовых логов. Особенно учитывая современные тенденции в разработке интерфейсов. Расскажу на эту тему техно-приколюху.
(далее…)
Вчера любители «централизованно поуправлять» навернули пол-рунета с помощью гос-DPI, оно же ТСПУ.
Как это обычно и бывает, я в это время как раз настраивал IP-фильтрацию на некоторых сервачках =).
Делаю я такой без задней мысли файервол рестарт — и машинка не выходит на связь.
Первая мысль, что я приложил таки ВМ-ку и понадобится восстанавливать конфиг чуть более муторным путём.
Но оказалось, что проблема была вовсе не в моих конфигах, да и там используется обкатанный годами шаблон, влезающий в один экран текста.
(далее…)
Сегодня мы немного посмотрим на отечественные линуксы, используемые для всяческого импортозамещения в госконторах разной степени энтерпрайзнутости, а точнее — в первую очередь опенсурс-замещения. Не то, чтобы я собирался их где-то использовать, скорее мне было интересно, нет ли у них какой-нибудь аномальной сетевой активности, проявляемой при старте. Очевидно, что это лишь один из множества параметров, но я считаю его важным, поскольку он показывает, насколько разработчик внимателен к деталям и загружаемым по умолчанию сервисам.
(далее…)
За всё время всяких работ / тестов накопилось у меня масса образов готовых виртуальных машин для VirtualBox (*.ova-файлы), которые таки или иначе используются. Один из моих товарищей оформил их как раздачи на торрентах.
Тут я хочу завести общий спиcок всех ВМ-ок, которые можно объединить в одну сеть.
| Название | Размер | 🧊 IPFS | ₽uTracker |
|---|---|---|---|
| TinyGate шлюз/файервол iptables/NAT/VLAN/QinQ | 47 M | …j13e6 | 6258575 |
| FTP-сервер | 31 M | …2RpSd | 6256596 |
| Веб-сервер Linux + NGiNX + PHP-8.2 + MySQL (LEMP-стэк) | 111 M | …qLHWt | 6365595 |
| UniFi Controllers | 6.0 G | …kcqTE | 6377700 |
| WebOne HTTP-1.0 ретро-прокси | 332 M | …y9vXC | 6293503 |
| MSSQL 2022 @ Ubuntu 22 | 2.0 G | …CpDVq | 6419613 |
| Ceph 18.2.2 Nano-Cluster [XFS] @ Alpine Linux | 3.7 G | …T1mxA | 6468685 |
| Ceph 18.2.4 Nano-Cluster [LVM-BS] @ Alpine Linux | 2.8 G | …AVSPF | 6638764 |
| FreeDOS 1.2 + Internet + Sound | 72 M | …Dnm78 | 6479979 |
| Win 95 ENG | 351 M | …VBxa8 | 6106000 |
| Win98 2222A | 163 M | …nEkYE | 5924086 |
| OS/2 Warp 4.52 14.106 | 514 M | …2zujb | 6257660 |
| Adobe FlaSH 32.0.0.46 @ Linux TinyCore-14 | 348 M | …7vCQk | 6376169 |
| Adobe FlaSH 32.0.0.465 @ Linux Fedora-35 | 2.7 G | …diPJw | 6210613 |
| Adobe FlaSH 32.0.0.465 @ Linux Fedora-39 + SELinux | 1.5 G | …UKwV6 | 6457740 |
Если кто нашёл данные ВМ-ки полезными — буду признателен присоединившимся к торрент-раздачам / запинившим IPFS.
Всем привет. Сегодня мы поговорим о чуть более надёжном хранении, репликации и редистрибуции файлов в публичном интернете. Естественно, в духе современного Web 3.0
(далее…)
Говорят, что под новый год часто хочется волшебства. Так что по случаю нового года у меня такое «волшебство» нашлось.
Наткнулся я тут на одну заметочку, где в пределах одной статьи встречались слова «Windows» и «QinQ». Помня о том, через какую боль вланы на винде настраивались 11 лет назад, я не удержался от того, чтобы попробовать эту заразу снова…
(далее…)
В дикой природе хакеры-киберзатейники активно патчат циски, торчащие веб-мордой в интернеты или даже уязвимые локалки.
Рейтинг опасности — 10 из 10, уязвимость в веб-морде. Патчей никаких нет, решение — отключить веб-морду.
Отчет, описание баги и ссылка на чекалку: https://vulncheck.com/blog/cisco-implants
Новость: https://www.cnews.ru/news/top/2023-10-19_10-ballnaya_uyazvimost_v_ios
Красивая диаграмма с распространением сетевой инфекции по странам:
Кто быстро найдёт там Россию — тому плюсик за внимательность.
А вот что странно — вообще нет Китая. Обычно в таких уязвимостях они на почётном втором-третьем месте. То ли они всё зафайерволили (взломанные утсройства есть, но их не видит сканер), то ли они таки в рамках своего китайского импортозамещения таки выперли циску со своего рынка с концами.
Если злоумышленники активизируют всё разлитое по железу — грядут очень нескучные дни.
Это к вопросу о важности минимизации поверхности атаки (кто там забывал ACL-ки писать и ленился лишнюю команду вбить ?) и следовании принципам максимальной простоты и минимума привилегий.
Принесли тут забавную китайскую коробочку — IPTV-приставку/медиаплеер от Beelink с черепом на коробке, купленную на алике.
Череп зач0тный, глаза при включении светятся и переливаются разными цветами.
А вот основанная на андроиде-9 прошивка глубоко и качественно протроянена прямо с завода, и после довольно длительного периода неактивности (~ 3 года) коробочка вышла из анабиоза, начала самопроизвольно включаться по ночам, лазать на китайские сервера за всякими греховными инструкциями, и буквально сразу после включения начинать массовые сетевые атаки, перебирая большие диапазоны хостов в интернете на предмет доступного для причинения насилия порта TCP:5555 :
{
"PORT HIT": ":40946->194.103.x.y:5555",
"MESSAGES": "Array
(
[09:52:42] => CNXNu0001u0000u0000u0001u0000u0000u0010u0000qu0000u0000u0000.,
u0000u0000¼±§±host::
features=remount_shell,abb_exec,fixed_push_symlink_timestamp,
abb,stat_v2,apex,shell_v2,fixed_push_mkdir,cmd
)
Флудит так, что от провайдеров жалобы прилетают пачками.
Не покупайте такое железо, а если обнаружили что-то подобное — избавьтесь или отсеките от интернета. Поверьте, экспириенс Димы Богатова вам точно не нужен.
Местами поднимается много хайпа на тему того, что мол классический http/1.1 поверх классического TCP (даже в https-tls варианте) — не совсем труЪ, и надо бы что-то свежее-модное-молодёжное шустренько внедрить.
(далее…)
Сразу три крупных сервиса — facebook, whatsapp и instagram не работают с 7 вечера по Москве.
Ссылка на DownDetector: https://downdetector.ru/ne-rabotaet/facebook/karta/
Первая мысль про всеми нелюбимое надзорное ведомство (что поделать, репутация у них плохая) не подтвердилась — сбой оказался глобальным и затронул пользователей по всему миру.
Причём трейсы и пинги до их сетей проходят, а вот DNS резолвится каждый раз в разные адреса, на этих адресах nmap видит открытые порты 80 и 443, но сами сайты не открываются, мобильные приложения не работают, вместо котиков и гламурных дев инстаграм показывается скучное сообщение «5xx Server Error» или «Oops, an error occurred.»
Судя по всему, кто-то из местных сетевых / девопсовых кибер-шаманов неудачно махнул бубном ансиблом, эпически завалив все продакшон-сервисы пейсбука оптом, качественно и надолго.
Это к вопросу о том, почему я предпочитаю распределённые системы типа токса и джаббера, а не вот это вот всё гламурное непотребство.
Сложно сказать сейчас, что именно поломалось так надолго и поломалось ли это само, в результате ошибки инженеров или может их вообще взломали сомалийско-зимбабвийские хакеры.
Представляю, какой там сейчас кипиш, особенно если у сотрудников фейсбука вся рабочая переписка шла в вотсаппе. =)
P.S. Около часа ночи начал оживать инстаграм — точнее, стала открываться веб-морда, залогиниться пока нельзя. Да и не советовал бы я туда логиниться до выяснения всех обстоятельств. Особенно тем, у кого один пароль на все учётки =)
Многие, кто интересуется сетевой безопасностью, наверняка в курсе про такую штуку, как Amplified DDoS. Суть её в том, что конечными источниками флудящего траффика являются вполне легитимные сервера, сетевые протоколы которых такое позволяют.
Для осуществления Amplified DDoS должны сойтись вместе ряд требований:
— протокол без установления соединения (UDP)
— отсутствие внутрипротокольных проверок состояния (подписей, счётчиков, и т.п.)
— провайдер, позволяющий подменять Source IP в сетевых пакетах
— размер ответа, существенно превыщающий размер запроса
Всем привет. Сегодня я расскажу про одну особенность некоторых управляемых свитчей D-Link.
Если вам интересны такие железки — продолжение под катом.
(далее…)
Довелось тут немного поремонтировать телефон 📱, и после сброса настроек обнаружил такое неприятное поведение — раз в примерно минуту издавался звук уведомления. При этом он не соответствовал звуку из настроек и гасился только уменьшением громкости звука типа «мультимедиа».
(далее…)
Всем привет. Сегодня я немного поделюсь впечатлениями от мощных точек доступа WiFi отечественного производителя — компании Eltex.
У них много всякого железа, и первый раз я познакомился с их продукцией на примере Voip-шлюзов и свитчей доступа MES, оставшись ими более чем доволен.
Если вам интересно про их беспроводные железяки — лезем под кат.
(далее…)
Есть в линуксе такой очень тёплый и очень ламповый файервол — iptables.
Присутствует он там уже 20 с лишним лет, и чаще всего используется либо в настройках по умолчанию, либо для классической раздачи инета через шлюзовой сервер посредством NAT/MASQUERADE. Иногда про него вспоминают, если поднятый сервис после старта оказался не доступен из инета =)
Однако есть у него и ряд совершенно чумовых возможностей. В одной заметке нереально уместить всё обилие фич и сценариев использования, появившихся за двадцатилетнюю историю, я же опишу лишь две из них.
IPSET.
Офигенная штука, когда надо работать с крупными списками адресов или список адресов должен быть использован более одного раза.
Пример — есть у нас список IP адресов (ркн, телеметрия майкрософт, копирасты, спамеры и прочие злыдни), с которыми соединяться не нужно даже случайно ни на вход, ни на выход. Список при этом может часто меняться. Размещать всю эту муру в основном конфиге файервола — сложно, неудобно и чревато поломкой сети в случае ошибки.
Что мы делаем ? Ставим пакет ipset, и пишем простейший скрипт типа такого:
#!/bin/sh
ipset -N banlist iphash
ipset -F banlist
# Spam bots
ipset -A banlist 92.127.233.224
ipset -A banlist 208.103.122.165
...
ipset -A banlist 95.101.95.129/25
А в начало конфига файервола пишем вот такое:
-A INPUT -m set --set banlist src -j DROP
-A OUTPUT -m set --set banlist dst -j DROP
Всё, любой входящий траффик с этих адресов и исходящий на них же будет дропаться с регистрацией в соответствующих счётчиках (iptables —list -vn). Важных замечаний ровно два. Первое — ипсеты использует такая лютая надстройка, как firewalld. Мне не очень нравится его развесистая лапша из таблиц, пытающаяся описать все распространённые случаи. Надо внимательно смотреть, что ипсеты правильно применились. Зато он полностью сам рулит ипсетами, правилами, последовательностью запуска и прочим. Но конфиг на выходе — в три экрана. Впрочем, ничто не мешает снести надстройку и написать свой конфиг файервола со скриптами, сетами и логгерами.
Второе — сеты должны быть созданы ДО запуска файервола. Как именно вы это сделаете — через юниты systemd, скриптами из rc.local или ещё как — не суть. Главное — конфиг с -m set сработает только тогда, когда используемый ipset будет создан (вполне может быть и пустым).
Очень полезная особенность — правка ipset-ов не рестартит файервол, не сбрасывает его счётчики, не трогает никакие другие правила, к ipset-у не относящиеся. В простых конфигах ipset может показаться лишней сущностью. Но для систем типа fail2ban или случая развесистых списков адресов для правил — вещь незаменимая.
-m owner
Ещё одна редко используемая, но тоже в ряде случаев полезная опция.
Идея в том, что ядро системы знает, какой исходящий траффик процессом какого пользователя порожден, и может на основании этого применить специфичную обработку траффика.
Вспомнил я про это, когда один из моих знакомых спросил, можно ли запустить некое виндовс-приложение в WINE так, чтобы он не могло вылезти в сеть.
В этом случае самое очевидное, и при этом весьма надёжное — отдельная виртуальная машина. Но это а) куда менее удобно б) требует ещё один инстанс ОС.
Однако есть и готовое решение, изумительно простое в своей изящности. Оно не столь надёжно, как изолированная ВМ без сетевой карты, но поставленную задачу тоже решает.
Идея в том, что iptables для исходящего траффика может различать траффик не только по пользователю, но и по его группе и даже по SELinux-контексту. Возня с отдельными пользователями под каждую софтину — неудобна и проблемна из-за прав доступа и вопросов доступа к X-серверу, SELinux сам по себе та ещё черная магия, а вот доступ на основе группы — это то, что доктор прописал.
Базовый ман для убунты на английскои тут: https://askubuntu.com/questions/249826/how-to-disable-internet-connection-for-a-single-process/393013#393013
Для редхатных чуть иначе.
Сперва создаем группу, которую будем назначать тем, кому надо ограничить сетевые аппетиты:
groupadd no-internet
Дальше делаем нашего пользователя членом этой группы:
usermod -G no-internet UserVasya
ВАЖНО !! Опция -G — заглавной буквой ! То есть мы добавляем пользователя UserVasya в группу no-internet, но ОСНОВНУЮ группу пользователя не меняем ! Если перепутать — пользователь останется с отломанным инетом.
В файлах это будет выглядеть вот так:
# cat /etc/group | grep UserVasya
UserVasya:x:1000:
no-internet:x:1011:UserVasya
# cat /etc/passwd | grep UserVasya
UserVasya:x:1000:1000:UserVasya:/home/UserVasya:/bin/bash
Тут у нас есть пользователь UserVasya c UID = 1000, его основная группа — тоже UserVasya, с GID = 1000. Но он также входит в группу no-internet c GID = 1011. Именно это членство позволит пользователю менять группу без ухищрений с судо и запросов паролей.
Теперь напишем сетевое правило для этой группы где-нибудь в начале фильтров для OUTPUT:
-A OUTPUT -m owner --gid-owner no-internet -j DROP
Тут мы говорим файерволу, что траффик, порожденный процессами c группой no-internet, надо тихо дропнуть.
А дальше мы просто воспользуемся утилитой sg (substitute group).
Примеры волшебных команд:
sg no-internet quake2
sg no-internet konsole
sg no-internet ~/.wine_radmin/radmin.sh
env WINEPREFIX=/home/user/.wine_ut2004 sg no-internet 'wine "C:\UT2004\System\UT2004.exe"'
При их выполнении приложения запустятся, но попытка зайти на игровые сервера, соединиться с серверами radmin или пропинговать что-то в запущенной таким способом консоли — завершится неудачей.
Однако это не является 100% способом !
Например, запущенный таким образом firefox группу не меняет, и остается с сетевым доступом !
Так что реально критичным сервисам — своя ВМ, со своим файерволом.
В следующий раз попрактикуемся в ч0рной магии.
То, что рано или поздно должно было случиться, случилось.
На CC’2019 в одном докладе добрым человеком была раскрыта одна утечка данных из системы СОРМ. Сам дамп хоть и весьма отрывочен и криво распарсен, крайне интересен для изучения.
Помимо ошмётков http-траффика на 443-м порту, там есть ещё масса примеров работы шпионских мобилко-бэкдоров, траффик китайских троянов, и прочий занятный цифровой мусор. Слив номеров IMEI, версий софта, номеров телефонов тоже есть.
А вам правда всё ещё нечего скрывать ?
Заметка будет про китайское железо с бэкдорами и сетевую магию для нейтрализации подобной муйни.
(далее…)
Иногда некоторые сервисы, использующие мультикаст, могут порождать массовую генерацию мультикаст-траффика.
мультикастовый шторм 2gbps
Вот эти два пика — случившийся в одном из сегментов сети мультикаст-шторм мощностью примерно в 1,5 — 2 гбит/сек, предположительно порожденный сглючившими процессами corosync. От такой херни весь сегмент сети начинает очень сурово колбасить, потери пакетов достигают 80%, любое сетевое взаимодействие становится крайне медленным и нестабильным, всё становится очень нехорошо.
Чтобы такой херни не происходило, необходимо включать такую вещь, как Storm Control.
На джунипере оно для мультикаста по умолчанию _выключено_.
Конфигурим:
Amin@EX3300> show configuration ethernet-switching-options storm-control
interface xe-0/1/0.0 {
bandwidth 65536;
multicast;
}
interface all {
bandwidth 16384;
multicast;
}
Можно задать максимально допустимое количество принимаемого в порт широковещательного траффика как в процентах от толщины канала (level), так и в абсолютных значениях (bandwidth), в килобитах/сек. Задаваемые значения зависят от используемых приложений, в штатном режиме в логах не должно быть ругани на срабатывание storm control.
Пара подводных камней:
1). Есть ELS и не-ELS версии. Для els версий настройка немного иная (forwarding-options storm-control-profiles):
https://www.juniper.net/documentation/en_US/junos/topics/example/rate-limiting-storm-control-configuring-els.html
2). Для broadcast и unknown-unicast траффика ограничения storm control могут применяться по умолчанию, но им может быть разрешено съедать до 80% полосы.
Такая простая настройка дополнительно убережёт вашу сеть от опасно сглючивших девайсов.
Вошел в довольно стабильное состояние и выпускается нормальными пакетами i2pd:
Он существенно легковеснее классической джава-софтины.
Веб-морда тоже существенно проще и легче. В отдельной ВМ попробовать рекомендую я.
Надо быстро слить крупный дамп неприватных данных.
В текущем каталоге запускаем такое:
python -m SimpleHTTPServer
И на 8000-м порту видим веб-сервер с индексом каталога. По завершении стопаем этот «фемтосервер :D» по Ctrl-C.
Это изумительно и прекрасно. Само собой, ценные базы и чувствительные данные так перекидывать не надо, для ценных данных есть SSH.
В порыве борьбы с телегой ркн слетел с катушек и начал применять массовые баны подсетей:
cat dump.xml | grep ipSubnet
68.171.224.0/19
74.82.64.0/19
103.246.200.0/22
178.239.88.0/21
203.104.152.0/22
203.104.144.0/21
203.104.128.0/20
91.108.4.0/22
91.108.8.0/22
91.108.12.0/22
91.108.16.0/22
91.108.56.0/22
149.154.160.0/22
149.154.164.0/22
149.154.168.0/22
149.154.172.0/22
52.56.0.0/16
18.130.0.0/16
13.125.0.0/16
52.57.0.0/16
35.180.0.0/16
18.144.0.0/16
52.32.0.0/16
18.218.0.0/16
52.58.0.0/15
18.196.0.0/15
18.194.0.0/15
18.184.0.0/15
54.228.0.0/15
35.178.0.0/15
18.236.0.0/15
54.212.0.0/15
13.230.0.0/15
35.176.0.0/15
35.156.0.0/14
13.56.0.0/14
18.204.0.0/14
35.160.0.0/13
34.248.0.0/13
34.240.0.0/13
54.64.0.0/13
54.160.0.0/12
54.144.0.0/12
52.64.0.0/12
52.192.0.0/11
34.192.0.0/10
109.239.140.0/24
23.251.128.0/19
139.59.0.0/16
35.184.0.0/13
35.192.0.0/12
35.224.0.0/12
35.208.0.0/12
174.138.0.0/17
188.166.0.0/17
46.101.128.0/17
167.99.0.0/16
206.189.0.0/16
159.89.0.0/16
165.227.0.0/16
159.203.0.0/16
128.199.0.0/16
159.65.0.0/16
51.136.0.0/15
195.154.0.0/17
51.15.0.0/16
185.166.212.0/23
178.63.0.0/16
91.121.0.0/16
64.137.0.0/17
47.91.64.0/19
94.177.224.0/21
159.122.128.0/18
174.104.0.0/15
98.158.176.0/20
176.67.169.0/24
185.229.227.0/24
45.76.82.0/23
От такой дикой вакханалии сломались гугло-капчи, сервисы заказа авиабилетов, сервера стима, пабга и сеть плейстейшона, а также ещё овер дохуя всяких ресурсов, не говоря уже о бессчётном числе мелких сайтов.
При этом телега сдаваться не собирается, и прыгает по адресам только в путь.
Криворукожопие просто эпичных масштабов, от действий ркн убыток уже превысил все мыслимые и немыслимые размеры.
Всем привет !
Я очень давно хотел поразбираться с двойным тегированием на домашнем роутере Juniper MX-серий, и вот этот момент настал. В отличие от EX, где настройки QinQ относительно немногочисленны, МХ-серия обладает просто огромным количеством настроек свитчинга, а поддержка виртуализованных инстансов и целой пачки технологий позволяет городить очень сложные конфигурации.
Задача этой заметки — разобрать средствами самого МХ-80 дважды тегированный траффик, пришедший в общем аплинке вместе с другими одиночно тегированными вланами и нетегированным траффиком, и после снятия верхнего тега сбриджить эти вланы с уже существующими вланами на МХ. Не забыть про native само собой. Если интересно — просим под кат.
(далее…)
В камерах и DVR (IP-видеорегистраторы) hikvision похоже нашли новую багу. Пару лет назад я уже писал очень матерно-ругательную статью про эти железки, но сейчас проблема приобрела серьёзный размах — наблюдались массовые взломы таких систем, сброс настроек (даже при сильных паролях), DDoS-атаки с них (DNS-/NTP-усиление) и использование хакнутого оборудования для атак на другие сети / подбор паролей к сервисам (telnet, ssh, vnc, rdp — точно) и прочему непотребству.
Что интересно, бевардовские камеры и даже длинки, висевшие в тех же сетях, не постарадали, так что проблема чисто хиквижена. Всем срочно патчиться, менять пароли, по возможно выносить IP-камеры в более защищённые сегменты сети.
Если вам нужно повесить камеру на внешний адрес, то НЕ НАДО прифигачивать её сразу внешний адрес напрямую — ни в IPv4, ни в IPv6. Если есть роутер — затащите её за этот роутер и сделайте Port-forward для RTSP вида :
TCP+UDP: xy554 --> 192.168.x.y:554
Для получения видеопотока этого более чем достаточно. Если камера оказалась единственной на объекте (бывает такое) — применить IP-whitelist. Правда если этот вайтлист на камере обслуживает только веб-доступ, но не применяется для доступа по телнет/ссш (да, вам не приглючилось, телнет там живее всех живых и доступен на куче девайсов через интернеты) или иному кривому порту — то может не помочь.
Так что в случае хиквижена — именно big, именно факинг и именно фейл, и именно с секурити.
Всем привет. Технология DPI относится к инструментам двойного назначения, и может применяться как во благо (на домашнем роутере очень круто можно задетектить вредоносную активность или походы виндовс-ВМ по шпионским телеметрическим доменам), так и во зло (йопаная говноцензура).
Технология эта весьма сложна и затратна, а попытка реализовать её аналоги допотопно-пещерными методами легко приводит к былинным отказам.
К сожалению, из-за действий всяких упоротых политиков аббревиатура DPI стала часто ассоциироваться с сетевой цензурой, а вовсе не с умной приоретизацией траффика и детектом опасной сетевой активности.
Если вам интересно — вэлкам, постараюсь рассказать о том, как появились такие системы, какие бывают и что вообще там интересного.
(далее…)
Amin 's Blog 