Сетевые технологии *

На вопрос «Зачем?» Ответ простой ради фана и максимальной отказоустойчивости.

Долгое время я сидел на стандартном гигабитном канале от одного провайдера и горя не знал. Но в какой-то момент обычного интернета стало мало. Тогда и родилась безумная идея: а что, если завести в обычную квартиру сразу двух независимых операторов и заставить их работать как единое целое, выжимая максимальную скорость из возможного?

На этом я не остановился и решил проверить, жив ли IPv6 в России в 2026 году.
Спойлер: пациент скорее мертв, и большинство провайдеров застряли в прошлом веке, наглухо игнорируя этот стек.
Однако я нашёл того самого редкого оператора, который не просто дал доступ, а выделил мне полноценный «жирный» префикс /56. Теперь моя домашняя сеть работает на базе пула 2a05::/56, пока весь остальной дом делит остатки IPv4.

Разбираем web-pentest skill в Hermes Agent – встроенный навык, который превращает AI-агента в пентестера с методологией «No Exploit, No Report». Прошли весь kill chain на трёх реальных веб-приложениях, потратили 23,5 млн токенов и собрали выводы о том, где у такого подхода реальная ценность, а где – предел.

Мы в Ideco занимаемся сетевой безопасностью, и нам интересно не только то, как агенты атакуют сети, но и то, как они меняют сам процесс пентеста. Поэтому мы взяли open-source агента Hermes Agent, подключили к нему web-pentest skill и прогнали через него три реальных веб-приложения. В статье – архитектура навыка, разбор пяти фаз, защитные ограничения (guardrails) и попытка понять где у такого подхода предел и какая работа остается людям.

AI-пентест 2026: от обёрток над ChatGPT к автономным агентам

За полтора года после выхода GPT-4 рынок offensive-инструментов на базе LLM вырос с единиц до нескольких десятков. Исследовательская команда Hadrian к марту 2026 насчитала 70 open-source инструментов AI-пентеста; до релиза GPT-4 в апреле 2023 их было меньше пяти. Это автономные end-to-end агенты, генераторы эксплойтов, фреймворки для LLM red-teaming и CTF-агенты.

Подтянулся и коммерческий сегмент. xBow первым из машин возглавил глобальный leaderboard HackerOne и закрыл больше 200 zero-day без ложных срабатываний; в марте 2026 компания подняла раунд, превысивший оценку в 1 млрд долларов. NodeZero от Horizon3.ai первым полностью прошёл бенчмарк Game of Active Directory за 14 минут – задачу, на которой спотыкались GPT-4o, Gemini 2.5 Pro и Claude Sonnet 3.7.

У инженера на промышленном объекте две машины: Контур 1 с интернетом и LLM, Контур 2 — физически изолированный, для реального кода. Между ними асимметричный мост: запрос наверх — через фильтр и бумагу, код вниз — через Gate с подписью и SHA-256, без real-time API. Главное: air-gap — это не «нет провода», а четыре проверяемых условия, и почти каждый громкий инцидент (Stuxnet, Triton, Norsk Hydro) нарушает одно из них.

Привет, Хабр! Меня зовут Данила Трусов, я директор продукта «Инферит ИТМен».

В этой статье расскажу, что изменилось в новой версии 7.1 нашей системы «Инферит ИТМен» и почему эти доработки важны для учета, инвентаризации и контроля ИТ-активов.

Если у вас крупная ИТ-инфраструктура, вы знаете: чем больше людей работают в системе, тем острее встает вопрос, кто что видит и что может сделать. Инженер не должен случайно удалить чужой отчет, ИБ-специалист не должен разбираться в настройках инвентаризации. А администратор не должен каждый раз объяснять новым сотрудникам, куда им можно, а куда нельзя. В версии 7.1 мы закрыли этот вопрос полностью.

Гибкая ролевая модель: финальный этап

В версии 7.0 мы заложили основу — доработали управление пользователями и группами, базовое разграничение административных полномочий, парольные политики. В версии 7.1 завершили начатое. Теперь права доступа применяются ко всем основным разделам системы: сбору данных, анализу данных, активам, администрированию, библиотеке ПО и другим.

Администраторы могут создавать уникальные роли с индивидуальным набором прав, отдельно настраивая доступность каждого раздела и подраздела (на просмотр, редактирование или удаление). Каждый пользователь видит только то, что нужно ему. Для крупных заказчиков, у которых ролевая модель — обязательное условие для соблюдения политик ИБ, это принципиально важно.

Дополнительно реализован механизм применения прав по минимальным или максимальным привилегиям. Если пользователь состоит в нескольких группах с разными правами, система автоматически применит тот уровень доступа, который задан в настройках. Не нужно разбираться вручную, какие права перекрывают друг друга — система сделает это сама.

В этой статье я расскажу, как мы с нуля разработали диагностический инструмент для анализа работы ТСПУ (Технических средств противодействия угрозам) в российских сетях. Скрипт позволяет определить режим блокировок, проверить доступность портов, выявить SNI-фильтрацию и даже диагностировать подмену DNS. Весь код — открытый, под MIT-лицензией.

Чем больше средств защиты вы покупаете, тем сложнее их администрировать: SSO для входа, MFA для подтверждения, IDM для управления правами, PAM для контроля доступа к сетевым ресурсам. Четыре продукта, четыре вендора, четыре консоли. И четыре техподдержки, с которыми приходится взаимодействовать. Интеграции съедают месяцы и могут «отваливаться» или терять данные, обновление одного компонента рушит связку с остальными, а безопасники вместо защиты инфраструктуры укрощают этот зоопарк.

Мы устали смотреть, как заказчики мучаются, и объединили все четыре класса решений в одну экосистему. Ниже — как устроен Magnus ID изнутри, примеры внедрения и конкретные цифры экономии.

Приветствую, коллеги! Это опять @ProstoKirReal. В прошлых статьях я с вами обсуждал работу и историю развития SFP-модулей, их альтернативы в виде DAC и AOC, а также оптические кабели и пассивные компоненты:

В данной статье я бы хотел обсудить вместе с вами SFP-модули с технологиями уплотнения.

Я пилю VantageDNS, privacy-focused recursive DNS-резолвер с фильтрацией. Edge-фронт на Go, 10 нод по миру, миекговский miekg/dns под капотом. На каком-то этапе у меня закончились отговорки, и пришлось писать DNSSEC validator. Своими руками. Ночью. Под кофе восьмой кружки.

Ниже расскажу, как устроен trust chain, что есть в стандартной библиотеке, какие грабли разложены по дороге, и почему алгоритм 14 я до сих пор обхожу как кота во дворе.

В конце мая 2026 рунет накрыло волной отказов MTProto-прокси — сервисы перестали работать почти у всех операторов одновременно. Технические каналы пестрят заголовками “обойти невозможно”. Разбираю это не как новость, а с инженерной стороны: что технически означает “DPI анализирует сигнатуры протокола”, почему Fake-TLS, работавший годами, внезапно перестал спасать, и какие фундаментальные свойства трафика выдают прокси даже при идеально зашифрованной нагрузке. Это разбор теории обнаружения протоколов, не руководство по обходу

В условиях стремительного роста объёмов интернет‑трафика особое значение приобретают высоконагруженные системы. Под этим термином понимают подкласс систем массового обслуживания, предназначенных для обработки большого числа запросов при минимальном времени отклика. Стабильность таких систем определяется их способностью сохранять работоспособность при увеличении нагрузки и обеспечивать предсказуемый рост задержек.

Для достижения требуемого уровня производительности применяется масштабирование. Его принято разделять на два основных подхода: вертикальное масштабирование, при котором увеличиваются вычислительные ресурсы отдельных узлов, и горизонтальное масштабирование, предполагающее добавление в систему дополнительных сервисов, обслуживающих запросы. Однако независимо от выбранного подхода сетевой уровень остаётся критическим фактором, влияющим на производительность. Это связано с тем, что сетевую часть невозможно масштабировать столь же гибко, как остальные компоненты системы.

Так, при вертикальном масштабировании увеличение числа процессоров ускоряет обработку запросов, но количество сетевых интерфейсов остаётся ограниченным: клиенты продолжают взаимодействовать с сетевым адресом, привязанным к конкретной сетевой карте. При горизонтальном масштабировании все запросы проходят через балансировщик нагрузки, который остаётся единственной точкой входа. В результате именно эффективность сетевой обработки может стать узким местом, нивелирующим преимущества масштабирования.

Как следствие, при проектировании высоконагруженных систем необходимо уделять особое внимание организации сетевой обработки. В моей практике эта задача особенно остро проявилась при разработке VPN‑сервиса, который можно рассматривать как типичный пример высоконагруженной системы. В статье будет показано, как применение нестандартных технических решений позволяет существенно повысить скорость сетевой обработки и, как следствие, улучшить общую производительность системы.

Привет!

В статье рассмотрим создание центров сертификации для автономной системы в реалиях 2026 года. Такой системой может выступать ваш дом, небольшой офис или другая локальная сеть, которая предоставляет пользователям сервисы. Простоты ради мы будем использовать пакет EasyRSA. Рассмотрим все шаги от создания корневого и промежуточного ЦС до выпуска клиентских и серверных ключей(и бонусом — пример их использования в моей домашней сети). Интересно? Тогда добро пожаловать под кат.

Приветствую всех!

Не так давно я уже рассказывал про ADSL и всё, что с ним связано. Когда-то давно благодаря этой технологии многие впервые смогли выйти в интернеты на высокой скорости, а кто-то до сих пор пользуется таким подключением из-за дешевизны или за неимением альтернатив.

Но ADSL — технология асимметричная: скорости приёма и отдачи отличаются, а модем подключается только к провайдерскому оборудованию (DSLAM). Сегодня же мы поговорим кое о чём куда менее известном среди простых пользователей: о симметричных системах. Узнаем, как выглядит их оборудование, где оно применялось и как заставить его работать. Как водится, будет много интересного.

Привет, Хабр! Меня зовут Виктор Шумилов, я ведущий сетевой инженер РТК-Сервис. В повседневной практике эксплуатации и технической поддержки телекоммуникационных сетей мы регулярно сталкиваемся с широким спектром инцидентов, напрямую влияющих на доступность сервисов, от единичных сбоев до массовых отказов. В данной статье мы рассмотрим практические подходы к локализации неисправностей в сетях доступа GPON FTTH на примере оборудования Huawei линейки MA58xx.

VK без предупреждения удаляет IP-адреса. Доступ к Telegram блокируют со всех российских VPS. Обход белых списков классическим способом - под угрозой. Это не список проблем — это первые два месяца работы VPN-сервиса в 2026 году.

Все начиналось обычно: без мата, ругани, алкоголя...

Наш сетевой инженер Рене написал статью в двух частях о том, как грамотно запустить небольшую площадку с минимальным количеством железа, а потом организовать её бесшовный переезд между дата-центрами. Часть вторая.

Меня зовут Рене, я сетевой инженер в FirstVDS. В первой части я рассказывал, как мы запускали небольшую европейскую площадку в Амстердаме: один Leaf, один Spine, routed host networking для гипервизоров, EVPN-VXLAN как сервисная плоскость, DDoS в отдельном VRF, OOBM и Flow-коллектор.

Эта часть — уже не про стартовый дизайн, а про его проверку реальностью. Дата-центр euNetworks закрывается, оборудование нужно перевозить, клиентскую нагрузку останавливать нельзя, адресацию менять нельзя, продажи новых услуг останавливать тоже нельзя.

На bare metal внешний доступ к Kubernetes часто становится головной болью: NodePort с рандомными нестандартными портами не для продакшена, а облачного балансировщика нет. MetalLB превращает обычные узлы кластера в полноценный балансировщик с автоматическим failover. Разбираем режимы BGP и L2, а ещё показываем фишку Deckhouse Kubernetes Platform, которая спасает активные соединения при падении узла.

Когда IPS включают «в бой» сразу после установки, он часто начинает защищать инфраструктуру от неё самой: блокирует легитимные скрипты, бэкапы, нестандартные запросы и рабочие процессы.

В статье разбираем, почему отсутствие baseline превращает IDS/IPS из средства защиты в источник инцидентов, как возникают ложные срабатывания и почему перед режимом блокировки системе нужно дать время изучить нормальный трафик вашей сети.

Мы небольшой региональный интернет-провайдер. Недавно случился у нас инцидент.

Первый звоночек прозвенел, когда было зафиксировано резкое уменьшение нагрузки на внешнем интернет‑канале, сопровождавшееся записями в логах KERNEL PERF interrupt took too long, lowering на одном из серверов, обеспечивающих доступ в сеть Интернет. Расследование показало, что нагрузка вернулась к норме в течение 15 минут, и никаких последствий не было выявлено.

В прошлой статье я рассказывал, как мы встроили VLESS + Reality прямо в наше iOS-приложение через sing-box, чтобы обход блокировок был не задачей пользователя, а деталью реализации. Если коротко: TLS-рукопожатие проксируется на посторонний крупный сайт, активный пробинг упирается в этот сайт, IP относимся как к расходнику, конфиг доставляется отдельно от сборки. Подход работает, и для подавляющего большинства соединений из России работает прямо сейчас.

Кроме одного класса сетей, в которых не работал.

Внутри этого класса оказались, в том числе, корпоративные подсети, гостевой Wi-Fi в некоторых аэропортах и часть регионального покрытия одного из операторов. Картина в логах одна и та же. Туннель поднимается, TCP-соединение на relay открывается, TLS-рукопожатие начинается, и через секунду sing-box на сервере пишет в журнал: REALITY: processed invalid connection. Сразу обрыв, нет ретраев которые что-то меняют.

Эта статья про то, что мы увидели в этих сетях, почему Reality в одиночку их не пробивает, и что мы поставили рядом, чтобы пробивал. Если читали предыдущую часть, продолжайте отсюда. Если не читали, важен один тезис: туннель у нас живёт внутри приложения, через sing-box, скомпилированный в нативный фреймворк, без системного VPN.

В 1995 году Тату Илонен написал письмо длиной с пост на Хабре и бесплатно получил номер ssh -p 22 user@host, который теперь знает каждый сисадмин. Но до этого порты были однонаправленными, чётные номера считались ненужными, а половина слотов вообще пустовала. О том, как порты стали «дверями» в сервер и что останется от них через десять лет, рассказал в статье.