Существуют решения для анонимного взаимодействия в интернет пространстве, такие как Tor, I2P и Freenet, но они ориентированы на весь интернет и избыточны для простого общения. Их сложность и архитектура могут быть неудобны в условиях ограниченного доступа к сети. Поэтому возникает идея более простой и специализированной системы. XXCore — это лёгкая p2p-архитектура с доверенными узлами, построенная на PipeNet и модифицированном SSU2.
Разбор HTTP/HTTPS‑трафика, потерянных заголовков и умирающих сессий съедает время, особенно когда всё это приходится делать консольными утилитами или через логи. Под катом я собрал 10 инструментов, которые помогут в дебаге запросов и сэкономят нервы.
Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.
Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.
При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.
Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.
Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.
О неблокируемом протоколе который работает поверх WebRTC в Max/Telemost SFU
бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе бе
Пока мы ждём, что в Telegram наконец раскатится обновлённая реализация Fake-TLS, хочу рассказать о своей реализации MTProto-прокси 2018 года, которая снова становится актуальной, и об одной из её уникальных возможностей.
MTProto-прокси — решение для обхода блокировок Telegram в странах с интернет-цензурой (мы говорим про Иран конечно же 😄). Типичная схема выглядит так: оператор поднимает прокси с одним секретным ключем на всех, публикует одну ссылку, и тысячи людей ей пользуются. Просто, но у этой модели есть реальные ограничения:
Нет контроля доступа. Любой, у кого есть ссылка, может пользоваться вашим сервером бесконечно. Отозвать доступ у конкретного пользователя без смены общего секрета — а значит, без поломки ссылок у всех остальных — невозможно.
Нет аналитики на пользователя. Видно общее число соединений и IP-адреса, но не понять, кто активен, кто раздал свою ссылку полусотне друзей и кто потребляет весь ваш трафик.
Ограниченная монетизация. Да, есть “спонсорские каналы”, но если хотите продавать доступ — не за что зацепиться: секрет один на всех, привязать подписку не к чему.
А что если у каждого пользователя будет свой уникальный секрет, дающий доступ только ему? Тогда можно продавать подписки, отзывать доступ у отдельных пользователей, ограничивать использование и отслеживать уровень активности.
31 марта 2026 года один из самых популярных npm-пакетов в мире превратился в оружие. Разбираем, как устроена атака на цепочку поставок через axios, почему классические средства защиты могут не выручить на этапе заражения – и как DNS-уровень оказался барьером, который предотвратил крупнейший инцидент.
Мгновенная атака
Представьте, что вы едете в отель. Один из больших сетевых - из более чем 5000 отелей по всему миру. Устали после пересадки и с единственной мыслью в голове - как можно скорее добраться до номера и открыть ноутбук, доделать задачи к утреннему релизу.
Все еще хорошо – информационная система сети отелей работает исправно, заселяя больше 500 гостей в минуту.
Вы открываете дверь такси и выходите. До стойки ресепшн рукой подать, идти чуть больше минуты - 89 секунд. Но дойдя до нее вы видите, как меняется лицо администратора. Глядя в экран, она видит сообщение о сбое всех систем.
Именно столько – 89 секунд прошло между публикацией вредоносной версии axios и первым заражением. Горизонтальное же продвижение злоумышленников, вооруженных мощью автономных AI-агентов может быть мгновенным. Получив доступ к переменным окружения, токенам CI/CD, ключам доступа к облакам, БД, API платёжных шлюзов, секретам Kubernetes с компьютеров разработчиков – дальнейшее дело техники.
И это реальное описание того, что могло бы случиться, если бы клиент не использовал сервис DNS-фильтрации.
Меня зовут Григорий Орлов, я руководитель команды разработки сетевых сервисов гибридных облаков в Yandex Cloud. В статье расскажу про детали работы наших сервисов на уровне Config Plane — это уровень, на котором пользователь может задавать целевое состояние системы. А именно речь пойдёт про CIC‑API — сервисе управления железом, которое стоит на наших точках присутствия и участвует в работе Cloud Interconnect, необходимого для создания приватных выделенных сетевых соединений.
Сходил на выставку «Фотоника» (31.03–02.04.2026), взял каталог оборудования Т8 — посмотреть, до чего современная технология доросла. Ради интереса выбрал модель агрегатора и попробовал рассчитать трассу. А потом вспомнил свой опыт строительства и эксплуатации магистральной сети. Правильный расчет — еще не всё. Для конкретной трассы нужно учитывать внешние факторы: логистику, климат, вандализм, доступ к опорам, затраты на эксплуатацию. Не каждый расчет, верный на бумаге, годится для реальной линии в труднодоступном районе. Так родился еще один раздел — разбор практических проблем.
Я всю жизнь писал только бэк и подкапотщину - будь это классический КРУД, хайлоад, CLI, [вставьте свое]... И для любых сетевых взаимодействий чаще всего люди думают именно прикладными вещами - GRPC, REST, Kafka, не задумываясь об этом глубже - супер удобные инструменты с защитами от дураков и прочими радостями
Но тут спохватился я писать фронт - подключать свое же к себе же. И в этот момент я понял, насколько же это сложно, муторно и, главное, НЕУДОБНО взаимодействовать REST'ом
ЗАЧЕМ ОН НУЖЕН?? - У нас нет удобного контракта общения (eg Proto, Avro) кроме Swagger, который нужно поддерживать с обеих сторон. Да и к тому-же, сложность взаимодействия с JSONом с ОБЕИХ СТОРОН - одна постоянно маршаллит, защищается, ищет поля, в то время другая боится резких обновлений, что строчка получения поля может превратиться в что-то в роде
Всем привет, на проводе снова я и опять буду донимать всех своей синхронизацией. В этом цикле статей предлагаю хорошенечко разобраться в фазовой синхронизации на основе протокола PTPv2 G.8275.1 и его верном спутнике технологии частотной синхронизации Synchronous Ethernet. Изучать будем от и до: физический уровень, для интереса заглянем в осциллограммки, посмотрим на сигнальный обмен, расковыряем дампы, посчитаем параметры, проведем пару сеансов разоблачения, узнаем почему QoS’ы стали нафиг не нужны, как линчевание негров и повесточка изменили PTP, поиграемся в хроматическую дисперсию, увидим какие данные можно выжать с Huawei и Juniper, а также узнаем особенности их работы и где можно неудачненько влететь. К концу пьесы выясним, почему PTP без SyncE пиво без водки деньги на ветер. Информации миллиард и на удивление почти вся по делу. Наберитесь терпения, постепенно все станет ясно.
Пока СМИ писали про победу команды Дурова над РКН, анонимные разработчики из опенсорс-комьюнити уже две недели сидели в чатах, реверсили DPI и писали патч, который и использовала команда Дурова. Расскажу, как это было на самом деле.
В Великобритании готовятся отключить сети второго поколения — 2G. Это тот самый стандарт, к которому привязаны старые кнопочные телефоны, различные сигнализации, счетчики, датчики другие девайсы. В ближайшие годы сети начнут поэтапно выводить из эксплуатации, так что однажды часть техники превратится в тыкву. Давайте разберемся, что именно отключат, кого это затронет и почему переход может оказаться сложнее, чем кажется.
В медиаполе снова пошла знакомая волна предупреждений: пользоваться VPN и другими средствами обхода блокировок не только нежелательно, но еще и опасно. Мошенники крадут данные, учетные записи и деньги, а доверчивый пользователь, разумеется, остается крайним.
Рациональное зерно в этом, конечно, есть. Случайные VPN-сервисы - особенно бесплатные, непрозрачные и обещающие «полную анонимность в один клик» - действительно могут оказаться сомнительным выбором. Когда весь ваш трафик идет через неизвестно чью инфраструктуру, вопрос доверия перестает быть теоретическим.
Но дальше обычно начинается привычная подмена. Из тезиса «не стоит пользоваться чем попало» очень быстро пытаются перейти к тезису «не стоит пользоваться ничем вообще». И вот это уже больше похоже не на заботу о безопасности, а на очередную попытку объяснить, что ограниченный интернет - это и есть нормальный интернет.
На практике все работает ровно наоборот. Чем больше ограничений, тем выше спрос на инструменты обхода. И если уж выбирать между случайным коммерческим VPN, бесплатным приложением с мутной моделью монетизации и собственным сервером, то self-hosted-вариант выглядит как минимум достойным внимания.
Поэтому дальше речь пойдет не о том, почему VPN - это страшно, а о том, как сделать его своим: развернуть self-hosted AmneziaWG с помощью install-скрипта и дополнить его веб-интерфейсом для управления пользователями.
Привет, Хабр! На правах пятницы предлагаем вам посмотреть/послушать или прочитать текстовую версию интервью с Никитой Цаплиным (основатель RUVDS), которое он дал Константину Исаакяну на канале «НеПодчинённые» (авторский проект о карьере и смыслах). На своём канале Константин записывает подкасты с интересными людьми, которые, как и он когда‑то, прошли путь из корпораций в собственные проекты — или, наоборот, сделали внутри крупных компаний что‑то по‑настоящему живое.
Константин не совсем классический «айтишник» или «стартапер». 20 лет он проработал на ТОП‑позициях в международных корпорациях (Dell, Samsung), всегда искал в бизнесе свободу, выбор и внутреннюю точку опоры. Поэтому в каждом выпуске он задаёт не только профессиональные, но и человеческие вопросы.
Ему интересно не только «как они это сделали», но и почему. Какие смыслы в этом стояли, какие страхи приходилось преодолевать, и что помогало не потеряться на поворотах.
Sing-box — это программа, которая знает много протоколов проксирования и умеет их очень гибко применять. Работает на разных устройствах (роутеры, телефоны, стационарные компьютеры) и операционных системах (Windows, Linux, iOS, Android и др.). Может быть клиентом (работать на конечном устройстве пользователя), сервером (принимать соединения от клиентов), клиентом и сервером одновременно (промежуточный узел для перенаправления трафика).
В этой статье я познакомлю вас с sing-box и расскажу о его настройке. Покажу базовую конфигурацию sing-box, с которой не нужно постоянно включать и выключать VPN для доступа то к одному, то к другому сайту или приложению. И это будет работать на разных устройствах с минимальными изменениями. Это вводная статья для тех, кто уже пользуется готовыми GUI-клиентами, но хочет перейти на чистый sing-box.
Как работает блокировка Telegram в России, что такое ТСПУ и Deep Packet Inspection, почему MTProxy с Fake TLS — это больше чем прокси, и зачем мониторить прокси-серверы, которые умирают от обновления DPI-фильтров в 3 часа ночи.
Приветствую всех!
Все мы наверняка видели кнопку вызова диспетчера в каждой кабине лифта. Думаю, каждому из нас нет-нет, да хотелось однажды её нажать. А кому-то, возможно, и доводилось это делать по какой-то весомой причине.
Сегодня же мы посмотрим, что стоит за возможностью сообщить о неисправности лифта в любой момент нажатием одной-единственной кнопки. Посмотрим на само оборудование и, конечно, попробуем его запустить. Как оказалось, всё это намного сложнее, чем я думал…
1 апреля начали массово наблюдаться проблемы с MTProto-прокси - как публичными, так и приватными. Причём вне зависимости от конфигурации, хостинга или используемого решения (включая telemt). Сначала это выглядело как очередная волна блокировок, однако характер симптомов быстро показал: дело не в классической фильтрации по IP или доменам.
Я собрал наблюдения пользователей, посмотрел трафик и попытался разобраться, как именно это ломают на уровне сети.
Привет, Хабр! Мы уже разбирали OVN в связке с OpenStack и трассировку пакетов. А сегодня предлагаем почитать перевод документации про Quality of Service (QoS) в Neutron: что это, какие правила поддерживаются, как настроить и как работать с политиками.
Привет, Хабр! Меня зовут Алексей, и я занимаюсь беспроводными технологиями. Недавно я написал две статьи, посвящённые настройке /etc/config/wireless в OpenWrt. В одной я разобрал настройки секции wifi-device, а в другой wifi-iface. Но этого оказалось мало, и в комментариях меня спрашивали о тонкостях настройки mesh-сети. Что ж, спешу выполнить эту просьбу и представляю на ваш суд наиболее полный гайд, посвящённый сборке и настройке Wi-Fi mesh-сетей на базе OpenWrt.
Но прежде чем перейти к повествованию, хочу сделать важные оговорки.
Первое. Из комментариев я заметил, что, говоря о mesh-сети, пользователи имеют в виду несколько разных вещей. Поэтому эта статья будет написана от простого к сложному от самых азов к тонкостям настройки. В начале я немного по‑теоретизирую, расскажу о mesh-сетях и топологии, о том, как их лучше спроектировать и расположить роутеры, и уже дальше перейду к тонкой настройке конфигурационных файлов. Поэтому если вы считаете себя опытным пользователем, смело пропускайте начало статьи и сразу переходите ко второй её половине.
Второе. Статья получилась достаточно большая и может вас утомить. Я долго сомневался, стоит ли делать большую статью или всё же разделить на разные темы. Например, вынести отдельно часть про роуминг и отдельно про настройку конфигов. Но в итоге решил, что полезнее будет иметь полное руководство в одном месте. В конце концов, главная цель этой статьи показать, что при должном уровне настройки беспроводные mesh-сети ничуть не уступают кабелю. Мне по роду занятий часто приходится слышать замечания коллег, которые говорят: «Да всё беспроводное и mesh это фигня, нет ничего лучше кабеля. Вот я купил домой mesh-систему всего из трёх узлов, а она не работает как нужно». Забегая вперёд, хочу сказать, что если всё сделать как надо, можно добиться небывалой производительности. Не без гордости могу заявить, что в моём арсенале есть mesh-сети, состоящие из более чем 50 узлов, построенные исключительно на OpenWrt и без использования внешних контроллеров.
