Сетевые технологии *

Поднять свой VPN на дешёвом VPS - дело на вечер. А что начинается через месяц-другой, обычно обходят молчанием: на мобильном рвёт, надо обновлять, раздавать доступ семье, кому-то нужен раздельный выход - российские сайты напрямую, остальное за границу. Собрал по своему серверу на AmneziaWG, который держу пару лет: что реально ломается в быту и что я делаю - от тонкой настройки маскировки под мобильных операторов до каскада из двух серверов.

22 июня 2026 года киберагентства альянса Five Eyes заявили: передовые ИИ-модели изменят наступательные возможности в киберпространстве «не за годы, а за месяцы». Рассказываем что именно меняется – и как мы в Ideco отвечаем на эти вызовы: скоростью патчинга, новейшими NGFW-модулями ML IPS и DNS Security на базе ИИ, ZTNA и микросегментацией на производительной архитектуре.

О чём предупредили Five Eyes

22 июня 2026 года агентства по кибербезопасности альянса Five Eyes – США, Великобритании, Канады, Австралии и Новой Зеландии – выпустили совместное заявление «The AI shift in cyber risk: why leaders must act now» (ASD’s ACSC, UK NCSC).

Главный тезис:

«Ожидается, что передовые модели ИИ превзойдут текущие ожидания отрасли и фундаментально трансформируют как наступательные, так и оборонительные кибервозможности. Горизонт – не годы, а месяцы».

Суть не в новых типах угроз, а в скорости: ИИ снижает барьеры для атакующих и сжимает окно между обнаружением уязвимости и её эксплуатацией. Предположения о киберрисках теперь устаревают за месяцы, а не за годы.

Новые модели обладают мощными наступательными кибервозможностями. По данным The Economist, сенатор Марк Уорнер сообщил, что модель Mythos 5 от Anthropic получила доступ почти ко всем засекреченным системам АНБ США «не за недели, а за часы» (The Moscow Times / The Economist). Заголовок, конечно чуть отдает желтизной: единственный источник, официальных подтверждений этому нет. Но факт – Mythos и Fable исключили из свободного доступа.

Класс новых инструментов для быстрого создания эксплойтов – уже не гипотеза. Это меняет требования к защите. И мы подготовились.

Целью этой статьи не является полный пересказ спецификации USB или книгу по USB. Я хочу приоткрыть магию работы USB и представить информацию таким образом, чтобы вы получили быстрый старт для понимания всего стека USB: от интерфейсов и конечных точек до электрических сигналов.

Всем привет! Меня зовут Гриша Дядиченко, я технический директор и основатель White Label Games. Уже больше десяти лет работаю с компьютерной графикой, AR/VR и компьютерным зрением — в основном это заказная разработка, плюс собственные прототипы по вечерам, до которых дотягиваются руки.

Делал я как-то на работе, по вечерам в свободное время, VR-шутер. Стрельбу, понятное дело, заложил себе на выходные: ну а что, raycast из ствола, событие попадания, отнял здоровье — делов-то. К вечеру воскресенья оно даже работало. Только ощущалось так, будто тыкаешь противника палкой: ни веса, ни отдачи, ни чувства, что ты вообще попал. Знакомо, наверное, каждому, кто хоть раз ставил в сцену оружие и жал «выстрел» — механически всё верно, а стрельба вялая и какая-то ненастоящая. Половина лечения тут — чистая полировка: вспышки, звук, тряска камеры, импакт-эффекты. А вот вторая половина — невидимая математика под капотом: та, что решает, ощущается стрельба честной и отзывчивой или кривой и несправедливой. Спред, который мозг считывает как «нечестный». Отдача, которую можно выучить. Попадание, которое по сети то засчитывается, то нет. Вот это всё и разберём.

Сталкивались ли вы с ситуацией, когда в шутере вы точно попали по противнику, а сервер сказал «промах»? Или с тем, что AI-противник стреляет в вас сверхскоростным снарядом и ни разу не попадает в движущуюся цель? Или с тем, что AK-47 в Counter-Strike рисует «семёрку» из пуль вверх и влево — и это, конечно же, никакой не баг, а вполне продуманная механика? Под капотом у всех этих ситуаций — конкретная математика.

Самое странное в этом дрейнере - его не видит ни один антивирус. VirusTotal: 0 из 91, а кошельки пустеют. Размотал всю схему: как жертва подписывает свой слив сама и куда уходят деньги.

Автоматизация балансировщиков давно выглядит логичным следующим шагом для инфраструктурных команд. Но на практике ADC по-прежнему остаются зоной ручных изменений, согласований через тикеты и осторожных ночных окон. Поэтому мы решили не ждать идеального кейса, а самостоятельно спроектировать и протестировать возможности автоматизации ADC в лабораторном контуре. 

Наша задача была достаточно прагматичной: понять, можно ли сократить время доставки конфигураций до минут, сохранив при этом контроль изменений, аудит и предсказуемость откатов. Пилот показал: подход работает. Но отсутствие полноценного dry-run и каскадные зависимости внутренних объектов вендора заставили нас попотеть. Под катом — разбор архитектурного подхода, а не инструкция «как перевести всё на GitOps за выходные». 

В домашней инфраструктуре у меня крутится десяток сервисов: Grafana, Zabbix, n8n, Navidrome, ollama, БД, пара дашбордов и тестовых API. Каждый раз, когда нужно было выставить новый сервис наружу, я открывал дашборд Cloudflare и руками проходил один и тот же путь: создать туннель, прописать ingress‑правило, добавить DNS записи, настроить Zero Trust Access. Минут пятнадцать, если без ошибок. С ошибками — больше, потому что один неверно скопированный tunnel ID ломает всю цепочку и приходится откатывать вручную.

На какой‑то раз стало понятно, что это рутина, которую можно свернуть в одну команду. Так появился cfzt — CLI на Go, который сейчас умеет:

zt up grafana 3000

И через несколько секунд grafana.domain.com смотрит на localhost:3000 через Cloudflare Tunnel, с настроенным Zero Trust Access и systemd сервисом, который переживет ребут.

Когда в сети нет сегментации, компрометация любого узла открывает атакующему прямой путь ко всему остальному. Бухгалтерский сервер, производственная АСУ ТП, веб-приложение и рабочая станция стажёра существуют в одном пространстве — с точки зрения сетевой связности между ними нет разницы.

Сегментация решает эту проблему архитектурно: каждая зона изолирована, трафик между зонами проходит только через точку фильтрации, компрометация одного сегмента не даёт автоматического доступа к другим. В этой статье разбираем, как это реализовано в Ideco NGFW Novum версии 22 — на уровне механизмов, а не маркетинговых описаний.

Третья часть цикла статей по разбору устройства работы IDS/IPS решения Suricata.

Разберём на практике уязвимость CVE‑2025‑66698 – обход аутентификации в Veda (Semantic Machines) v5.4.8. Запишем трафик с вредоносными запросами и составим suricata-правило, которое детектирует эксплуатацию уязвимости. В статье также приводятся объяснения как работают content, pcre и липкие буферы.

На основе этой статьи была составлена и прочитана лекция на одном обучающем мероприятии для телекоммуникационной сферы.

В статье описан практикуемый алгоритм диагностики и траблшутинга сетевых проблем, который поможет внести упорядоченность в расследование аварий, учитывая возможные ограничения и сложности в применении некоторых диагностических мер, но и не ограничивая личные способности уже опытного инженера!

Два месяца назад я решил больше не платить за VPN и сделать свой.

Вас ждёт пошаговый гайд по сборке связки VLESS + REALITY + XHTTP, которая пережила атаку РКН, а также теоретические основы для понимания VPN.

Недавно я написал две статьи про решение проблем с доступом с Claude Code, Antigravity и другими сервисами из России (часть 1, часть 2), но практика показала, что доступ мне к ним нужен не только с домашнего компьютера, но и с телефона, когда я нахожусь на улице. А с этим сложнее. У мобильных операторов какие-то свои, особые правила маршрутизации интернета.

В прошлый раз мы решали проблемы с использованием VPS с заграничным IP, но на улице они не работают, поэтому там, где не помогает 1 VPS, проблему решат 2 VPS.

Привет, меня зовут Борис Хасанов, я сетевой архитектор в MWS Cloud Platform. 

Решил поделиться с вами обзором новой технологии MRC* для создания сетей для AI/ML-кластеров, так называемых backend networks. Технология интересная и перспективная — там есть магия SRv6 :)

На мой взгляд, информация будет полезна сетевым инженерам и архитекторам, которые интересуются этим вопросом. Я проанализировал MRC и сделал подробное техническое описание в этой статье.

* MRC — Multipath Reliable Connection, расширение RoCE-архитектуры, предложенное коллегами из OpenAI, Microsoft, Nvidia, AMD, Broadcom. Недавно вышло несколько англоязычных публикаций с его анонсом. Вот одна из них на сайте OpenAI.

В российском вебе за неделю сломалось две вещи. 13 июня GlobalSign начал массовый отзыв сертификатов у российских компаний — до 20 000 доменов второго уровня под ударом. Let’s Encrypt 4 июня формализовал санкционные ограничения в новой редакции пользовательского соглашения. Я держу около десятка сайтов, все на Let’s Encrypt; сел и прошёл их по списку — какой issuer у каждого, кому грозит и в каком порядке, какие альтернативы реально работают в 2026 году. Внутри: пайплайн инвентаризации через openssl и crt.sh, конфиг Caddy с двумя issuer-ами в fallback, разбор Google Trust Services, НУЦ Минцифры и тех, кто уже выбыл (Buypass) или присоединился к ограничениям (ZeroSSL).

Иногда сетевой инцидент выглядит как проблема маршрутизации, коммутатора или IPTV‑сервиса, но на деле трафик умирает раньше — внутри сетевой карты. В этой истории разберём, как Intel X710 научилась отбрасывать корректный multicast, почему IGMP‑запросы не спасали ситуацию и как одна правка в драйвере превратила редкий баг в массовую головную боль для инженеров.

Привет! Я Лев, системный администратор технической поддержки в Selectel. Мы с вами живем в мире, окутанном «волшебными» тайнами. Как говорится, в интернете все кажется физикой, когда не знаешь магию.

Вот уже много лет слышно про вот‑вот ожидающийся переход на шестую версию IP‑протокола. И все никак этого не происходит. Да и мало кто задумывается, сколько этих версий вообще существует.

В этой статье пристальнее посмотрим на привычную аббревиатуру. Разберем, почему IPv6 никак не заменит предшественника и чего ждать сетевым инженерам, если это все‑таки случится.

Всем доброго дня!

Каждый раз, настраивая на коммутаторах стек/vPC/DFS, невольно ловил себя на мысли: а почему для маршрутизаторов нет чего-то подобного? Чтобы гибко добавлять порты, резервировать подключения, распараллеливать трафик между портами и устройствами…

Понятно, что это упрощение, и куда больший выигрыш был бы для stateful задач – например, DHCP SERVER или NAT.

И, вообще говоря, что-то подобное в природе давно существует – в частности, кластеры для NGFW. Ибо stateful fw – один из способов существенно поднять производительность, но без «горячего» резерва и синхронизации состояния всех сеансов на этом резерве, в случае сбоя понадобится переустановление всех сессий – что не всегда приемлемо в ответственных применениях.

Поскольку сервисные маршрутизаторы Eltex ESR (а рассматривать будем именно их) являются чем-то средним между «классическими» маршрутизаторами и МЭ (как, кстати, и маршрутизаторы многих других вендоров), то наличие функционала кластера является вполне логичным, хотя у остальных поставщиков сетевого оборудования он присутствует только на «совсем-совсем МЭ» типа Cisco ASA (а для классических маршрутизаторов преобладает схема «активный-активный»).

А с учетом того, что Элтекс поддерживает кластер не только на «железных», но и виртуальных маршрутизаторах vESR, освоение этой технологии легко может быть переведено в практическую плоскость.

eBPF часто подают как кнопку «ускорить Kubernetes», но на практике всё сложнее. Он действительно помогает уйти от тяжёлых цепочек iptables, снизить задержки и получить наблюдаемость ближе к ядру Linux. Но стоит перейти от L4 к L7, включить глубокую инспекцию трафика или mTLS — и бесплатная магия заканчивается. Разбираем, где eBPF меняет правила игры, а где всё ещё приходится считать оверхед.

Привет, Хаброжители! Седьмое издание одного из лучших российских учебников по сетевым технологиям, переведенным на английский, португальский, испанский и китайский языки.

Секретом успеха этой книги, которая издается уже на протяжении более 25 лет, является постоянное и существенное изменение ее содержания, при котором материал каждого нового издания обновляется на 25–30 %, отражая новые тенденции и технологии быстро изменяющейся области компьютерных сетей. В то же время во всех изданиях сохраняется ядро, описывающее фундаментальные принципы и базовые механизмы современных сетевых технологий.

Я делаю VantageDNS, recursive DNS-resolver с фильтрацией. То есть прямой конкурент всех, про кого пишу ниже. Это, мягко говоря, неудобный жанр: писать сравнение продуктов, в котором ты сам участвуешь, это как быть судьёй на матче своей же команды.

Поэтому сразу два правила. Первое: свой продукт ставлю в самый конец, после всех. Второе: про себя пишу как сторонний инженер, без украшательства, и где я хуже, там пишу хуже. Если в финале вы почувствуете, что я всё-таки скатился в маркетинг, ругайте в комментариях, это будет справедливо.

Мне реально интересно, как выглядит расклад в 2026 году, потому что юзеры регулярно пишут в саппорт «а почему не NextDNS» или «а что там с AdGuard». Хочу один раз ответить нормально.