Чёрт в табакерке: инструмент для диагностики сети на базе ОС FreeBSD

Изложенная в этой статье идея и инструкция по воплощению инструмента диагностики сетевых проблем, для многих сисадминов старой закалки может показаться банальной, но я уверен, что молодое поколение инженеров взросших на сертифицированных и дорогостоящих решениях от именитых производителей (Cisco Systems, Fluke Networks, etc) вряд ли даже догадывается о том, какой мощный инструмент можно получить от операционной системы FreeBSD прямо из коробки. Достаточно установить её на компактное устройство с двумя Ethernet интерфейсами и выполнить ряд манипуляций по настройке вполне стандартных вещей. Идея создания «stand-alone» инструмента для удаленной диагностики Ethernet сетей не покидала мою голову с начала 2000-х годов когда я еще трудился у интернет-провайдеров местного р о злива и постоянно сталкивался с необходимостью анализа сетевого трафика для устранения различных проблем. В те времена мы очень часто использовали стандартное ПК-шное железо с установленной на него ОС FreeBSD для сетевых маршрутизаторов и серверов, так как на что-то более-менее серьезное просто не было средств, такие уж были времена. С тех пор я глубоко проникся сетевыми возможностями предоставляемыми этой операционной системой, как говорят, прямо из коробки — маршрутизатор и сетевой экран поднимаются на ней за считанные минуты на стандартном железе, которого хватало на долгие годы. Да что тут говорить, у меня на фирме уже более 10-ти лет маршрутизатором трудится Фря на старом HP-шном 1U сервере и даже не думает сдаваться. Написать эту статью меня побудила нужда. Я уже давно не являюсь сетевым инженером и порядком отстал от современных тенденций. Но один из моих заказчиков, для которого мы выполняли разработку программно-аппаратного комплекса и сейчас осуществляем его сопровождение, эксплуатирует большой парк разношерстных IP-домофонов и постоянно сталкивается с неразрешимыми проблемами связанными с инфраструктурой. Эти домофоны обычно подключаются к Сети через сторонних интернет-провайдеров, до сервисных служб которых в последнее время достучаться очень сложно. Даже если удается пообщаться с инженером на стороне провайдера, то объяснить ему суть проблемы, и тем более доказать, что причина находится на его стороне, не имея каких-то технических фактов, — просто не реально. С другой стороны, огромное количество дешевых IP-домофонов китайского производства не предоставляют возможности выяснить, что и как там внутри происходит, какие специфические опции SIP протокола они используют и правильно ли используют. Существует масса проблем несовместимости по SIP и нерабочих механизмов «NAT traversal», а каких либо способов их диагностировать сами изделия не предоставляют. В общем, есть острая необходимость «подслушать» трафик создаваемый таким устройством и проанализировав его понять «кто виноват и что делать».

https://habr.com/ru/articles/928424/

So for the #IPv6 #MTU issues we seemed to stumble over at @ffhl, with our asymmetric #BGP routes to/from @FreifunkHamburg / @freifunkMUC I now wrote a small bash script to test a list of websites with varying, asymmetric MTUs: https://github.com/T-X/ipv6-path-mtu-discovery-verifier/. There is a suspicious amount of #Microsoft websites for the failed tests at the bottom.
Next steps would be to add analyzing of #tcpdump captures. But in a few samples it seemed like those sites did not receive / react to our #ICMPv6 Packet Too Big

Network Monitoring with Termux: Practical Approaches to Mobile Security

https://denizhalil.com/2025/06/16/termux-network-monitoring-android-guide/

I just extracted hexadecimal output from the #TRCCNN command used to do packet captures on AS/400 / iSeries / IBM i.

Then I manually decided the IP header, then the TCP header, and ignored application data.

This #yackShave helps diagnose a problem that is causing a CPU spike in an in production system that I’m being asked to help diagnose.

Before Wireshark, originally called Ethereal, packet sniffing was largely the domain of command line tools like tcpdump. Released in 1988, tcpdump gave users a raw, text based way to inspect network traffic. It was powerful, but also opaque and hard to master, especially for newcomers. You had to know exactly what you were looking for, and interpreting the data meant sifting through walls of cryptic output.

Then came Wireshark.

It brought a graphical interface to the world of packet analysis and made deep network inspection far more accessible. Users could visually follow TCP streams, filter by protocol, decode packets in real time, and dissect application level data with ease. Wireshark didn't just make packet sniffing easier, it changed how people learned networking and security. Today it is one of the most widely used tools for education, ethical hacking, malware analysis, and protocol development.

From dorm rooms to data centers, Wireshark made network hacking look good and work better.

Wireshark на службе защитников

Как узнать, что происходит в вашей сети, если внешние защитные рубежи не спасают от внутренних угроз? Анализ сетевого трафика — мощный инструмент, который позволяет выявлять подозрительную активность, расследовать инциденты и настраивать системы защиты так, чтобы злоумышленникам не осталось лазеек. В этой статье мы разберём, как использовать Tcpdump и Wireshark для сбора и анализа трафика, фильтровать лишние данные, выявлять атаки вроде ARP Spoofing и SYN Flood, а также находить уязвимости в сети до того, как ими воспользуются.

https://habr.com/ru/companies/otus/articles/891980/

Spy-Free FuriOS https://furilabs.com/spy-free-furios/

FuriOS Doesn’t Spy on You - Unlike the Others. Read more.

The latest release of the #AirGradient firmware removed the code that phones home to the company servers even when you check the to to explicitly tell it not to do so. This is a big win for #privacy and #SelfHosting!

https://github.com/airgradienthq/arduino/releases/tag/3.2.0

I plan on flashing this onto my device and testing it to verify nothing was missed. #tcpdump and #wireshark are my friends.

Firewall не спасёт

Сгенерировано с помощью GIGA-CHAT Межсетевые экраны издревле применяются для блокирования входящего трафика нежелательных приложений. Обычно для этого создаются правила фильтрации, разрешающие входящий трафик по явно указанным сетевым портам и запрещающие весь остальной. При этом легитимные приложения, монопольно владеющие открытыми портами, работают без проблем, а вот нежелательные остаются без связи, поскольку все доступные им порты блокируются межсетевым экраном. Данный подход давно отработан и стар как мир, казалось бы, что тут может пойти не так? А оказывается, может и вполне идёт. Далее из этой статьи вы узнаете две техники обхода межсетевых экранов, позволяющие нежелательным приложениям преодолевать фильтрацию входящего сетевого трафика и получать команды от удалённых узлов.

https://habr.com/ru/companies/ruvds/articles/874292/

BOLO for #OfficerProxy

#OfficerProxy has been known to hide #IdentityTheftRings & #GangStalkers using #OfficerProxies access to this #CALEA #StateSponsoredMalware access to #GammaGroup's #FinFisher #FinSpy #Finsky #malware by #FacebookGroups organizing their targeted #IdentityTheft using #FakeProfiles of their targets.

Be aware that some #OfficerProxies are getting thousands of dollars of ' kickbacks for access ' for their criminal #Facebook leverage #OrganizedCrimeRings in multiple states and cities.

#InternalAffairs #investigations

#infosec #Fortune1000 #CorporateEspionage #CISO #TCPDUMP #MetaUsers

TIP: If you want to utilize #LLM to analyze and/or troubleshoot your #tcpdump pcap, you can do so by exporting packet dissections as plain text and then selecting only Bytes options. It's helpful for range of basic to medium cases.

У розробників цікавий баг - якщо простий #NodeJS скріпт, який робить GET запит у сторонній API, запускати локально він працює. Якщо усе те саме але в #docker - прилетає 403. Перехопив через #tcpdump пакети у обох випадках та бачу, що запити ідентичні. Як це пояснити - в мене зовсім зкінчились ідеї

And on another good news, got some sign of life from a #tcpdump / #libpcap maintainer. Hopefully the @batadv dissector for libpcap will be merged eventually... It's been more than 4 years already with only eventual feedback from upstream... This would really help with debugging network issues, especially on #embedded devices, and capturing only the data you need with minimal performance overhead.

2024-12-18 (Wednesday): Posted a #pcap with one week of server scans. probes & web traffic hitting my server at www.wiresharkworkshop[.]online.

Window of traffic in the pcap is from 2024-12-13 at 00:00:00 UTC to 2024-12-18 at 23:59:59 UTC

It's an Apache web server (no HTTPS) with a small index page. I have a session of #tcpdump running to capture any traffic over the external interface.

I filter out the internal traffic generated for OS updates, NTP and such, so it should only have the external traffic coming in and the server's response to it.

https://www.malware-traffic-analysis.net/2024/12/18/index.html

Comando tcpdump de Linux: cómo analizar paquetes en tu red https://blog.elhacker.net/2024/12/comando-tcpdump-de-linux-como-analizar-trafico-red.html #tutorial #tcpdump #manual

Also: My pull-request for #tcpdump / #libpcap to add #batman_adv support to it is now four years old. "Happy" birthday! ...
https://github.com/the-tcpdump-group/libpcap/pull/980

It has been zero* days since #tcpdump and #Wireshark have helped solve a problem.

I read a response from an application developer this morning saying that the packet capture I collected on Friday gave them insight into what the problem was.

*zero because of when I read reply / three for when I captured and analyzed traffic

#TIL two new #GamaGroup #FinFisher #FinSpy #Finsky verified attaccc node FQDN & ips!

Here's the verified #GammagRoUp attaccc node list for your #TCPDUMP #Meta list of #CorporateEspionage targets to add to the #watchlists



https://infosec.exchange/@infosec_jcp/111643255388069969