Сетевые технологии *

Снова привет, Хабр.... добро пожаловать в 2026

О белых списках, Yggdrasil и о том как мы достигли нового уровня блокировок

TL;DR: Поднял VPN-инфраструктуру на VLESS+REALITY с нуля. Telegram-бот + мини-приложение, горячее управление пользователями через gRPC без рестартов XRay, балансировка между серверами, почасовой биллинг. В статье — полный разбор протокола, почему DPI его не видит, как устроена архитектура на 670+ юзеров, и все грабли, на которые я наступил в production.

Предыстория

Полгода назад я решил разобраться, как работают современные VPN-протоколы. Не на уровне «скачал WireGuard, поставил, работает», а глубже — как устроено шифрование, почему одни протоколы детектируются DPI, а другие нет, и можно ли собрать что-то своё.

Начал с OpenVPN. Потом WireGuard. Потом Shadowsocks. И каждый раз натыкался на одну и ту же проблему: DPI-системы провайдеров со временем учатся распознавать любой нестандартный трафик.

А потом я нашёл VLESS+REALITY. И понял, что это принципиально другой подход.

Привет, Хабр! Меня зовут Сергей Бондарев, я старший инженер нагрузочного тестирования в InfoWatch ARMA. В компании я занимаюсь разработкой методик нагрузочного тестирования, разработкой новых сценариев тестирования NGFW и написанием скриптов тестирования под различные нагрузчики.

В последние годы многие компании активно переходят на отечественное оборудование для защиты информационной инфраструктуры. В InfoWatch Arma мы разрабатываем NGFW, подходящий как для промышленных предприятий, так и для корпоративного сегмента.

Чтобы клиент мог оценить возможность внедрения наших решений в свой бизнес, необходимо предоставить максимально приближенную к условиям эксплуатации производительность устройства.

Это одна из основных задач проведения нагрузочного тестирования. 

Сегодня мы рассмотрим, как можно получить основную метрику производительности NGFW, а именно — пропускную способность EMIX-трафика (трафик, состоящий из смеси различных протоколов).

Для проведения тестирования в качестве генератора тестового трафика будет использоваться open-source-проект Cisco Trex

И этот заголовок - не кликбейт. Подвергнув реверс инжинирингу клиент российского мессенджера MAX удалось подтвердить самые худшие предположения.

В сети начали появляться сообщения о странных обращениях мессенджера MAX к Telegram и WhatsApp, из-за чего в сети начали выдвигаться предположения касательно природы и целей этих запросов. Но одно дело предполагать, другое дело знать. Мало ли это какая-то интеграция или случайный аналитический модуль. Поэтому чтобы понять самому и рассказать вам я решил посмотреть внутрь клиента и понять что и зачем он делает.

TL;DR - содержит шпионский модуль, который сделали разработчики MAX для слежки за теми кто использует VPN, они постарались сделать этот модуль неблокируемым и прикрутили удаленное управление.

В этом тексте я попробовал выполнить обзор преобразователя с USB на CAN.

В этот раз у меня на столе особый экземпляр: переходник с USB на CAN от фирмы Marathon. Полное название CAN-bus-USB Версии 4.0. Он же ГКМН.468351.017-03.

В России с 1 марта 2026 года заработали несколько ключевых обновлений в законодательстве, которые усиливают контроль над интернетом. Это не внезапный поворот, а продолжение курса на цифровую автономию, начатого еще в 2019 году. Разберемся, что именно произошло, почему и как это скажется на повседневной жизни пользователей.

18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл приходит уже в ответ на реакцию жертвы.

В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.

Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта.

Схема была довольно прямолинейной: в одном случае использовали PCAPdroid — приложение, которое на Android‑устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root‑прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был «чистый», без установленных других мессенджеров и дополнительного софта.

По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP‑адреса, причём часть из них — зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы.

Существует несколько различных протоколов, предназначенных для обеспечения бесперебойной работы сети на канальном уровне. Сегодня мы рассмотрим Ethernet Ring Protection Switching – технологию, обеспечивающую высокую доступность и отказоустойчивость в кольцевых топологиях.

Продолжаю серию статей про полезные инструменты для сисадминов. Сегодня расскажу про зарубежные сайты, которые точно должны быть в вашем шорт-листе. Читайте под катом и делитесь своими онлайн-сервисами по мониторингу, тестированию и оптимизации. 

Привет, Хабр! Меня зовут Алексей, и я занимаюсь беспроводными технологиями. Исходя из моего опыта, могу сказать, что большинство обладателей OpenWrt-роутеров используют для настройки беспроводных интерфейсов достаточно удобный веб-интерфейс LuCI. И только продвинутые пользователи рискуют править конфиги вручную. Но, как правило, даже они часто ограничиваются лишь указанием основных данных: типа стандарта, канала и, собственно, настроек самой Wi-Fi сети. И совершенно зря, так как wireless-конфиг имеет множество самых разнообразных параметров, позволяющих при правильном использовании увеличить покрытие сети или скорость в несколько раз. В этой статье разберем точную настройку файла /etc/config/wireless в OpenWrt, направленную на создание максимально стабильного покрытия Wi-Fi сети. И посмотрим на предрассудки, которые сложились относительно некоторых параметров. Особенно подчеркну, что мы не будем разбирать все параметры (их действительно очень много), а ограничимся только обозначенной задачей. 

Привет, Хабр.
Меня зовут Данила Трусов, я директор продукта «Инферит ИТМен» — системы учета и контроля ИТ-инфраструктуры. В этой статье хочу разобрать одну из самых устойчивых и при этом недооцененных проблем корпоративных ИТ — несанкционированную установку программного обеспечения, Shadow IT.

Во многих компаниях такие установки до сих пор воспринимаются как частный вопрос дисциплины: кто-то поставил лишнее, кто-то обошел регламент. На практике это не отдельные инциденты, а системное явление, которое напрямую влияет и на безопасность, и на управляемость инфраструктуры.

По нашим наблюдениям, в значительной части организаций сотрудники самостоятельно устанавливают рабочий софт, не проходящий централизованное согласование. Причем речь идет не только о специализированных инструментах, но и о вполне привычных вещах: офисных приложениях, утилитах для обмена файлами, удаленного доступа, аналитики и совместной работы.

Важно понимать: в большинстве случаев здесь нет злого умысла. Причины почти всегда лежат в устройстве процессов. Бизнес развивается быстрее, чем ИТ-регламенты, и людям нужно решать задачи здесь и сейчас. При этом согласование нового ПО может занимать дни или недели. Отдельный фактор — работа с подрядчиками, которые устанавливают их в инфраструктуре заказчика привычные им инструменты.

Еще один распространенный сценарий — передача техники между подразделениями. Устройство меняет владельца, а установленное ранее ПО остается без пересмотра. В результате в инфраструктуре постепенно накапливается слой неучтенного и неавторизованного программного обеспечения.

10 лет назад OpenVPN считался надёжным инструментом. Сегодня он блокируется за секунды. За это время сменилось пять поколений протоколов — каждый новый рождался как ответ на то, чему научился цензор. Это история гонки вооружений между математикой и политикой. И она ещё не закончена.

И где мы сейчас ?

2 марта 2026 года я получил на анализ фишинговое письмо. Отправитель - «M e t a», тема - «[Требуется действие] Завершите проверку, чтобы восстановить показ объявлений». SPF pass, DKIM pass, ARC pass - письмо прошло все проверки и лежало во входящих Gmail. Ключ - цепочка Resend.com → Amazon SES → Gmail, где каждый элемент легитимен. Разбираю, как атакующие этого добились и почему это работает.

ZTNA (Zero Trust Network Access) — это модель управления доступом (не только удаленным!), которая проверяет каждого пользователя и устройство (включая установленное и работающее на нем ПО) и даёт доступ не к сети в целом, а к конкретным приложениям и ресурсам. Преимуществом реализации концепции ZTNA в NGFW-решении являются прежде всего возможности файрвола следующего поколения по фильтрации трафика и публикации ресурсов. При этом администратором удобно управлять доступом в одном решении, не прибегая к многочисленным интеграциям наложенных средств защиты.

Особенно важно управлять доступом в современных условиях, когда значительная часть успешных взломов российских компаний в 2025 году происходило с помощью атаки на удаленных сотрудников или подрядчиков (supply chain attack). Специалисты по безопасности испытывают особенную “боль” в контроле подрядчиков - не имея доступ к их ИТ-инфраструктуре и возможностей по мониторингу безопасности, применения политик, настроек и средств защиты.

В Ideco NGFW работа с моделью ZTNA реализована через NAC‑клиент (Network Access Control - контроль доступа к сети на уровне подключения устройства.) и тесную интеграцию с межсетевым экраном, что позволяет существенно безопаснее и гибче управлять доступом сотрудников и подрядчиков по сравнению с классическими VPN и периметровой защитой.

Три года назад я написал статью “Интернет-цензура и обход блокировок: не время расслабляться”. Перечитывая ее сейчас, спустя три года, не могу избавиться от двоякого чувства: с одной стороны я почти во всем оказался прав касательно того, как будут развиваться события, усиливаться блокировки, и регулироваться законодательство. С другой стороны, кое в чем я тогда серьезно ошибся.

А именно: слишком уж я надеялся на то, что доблестные фильтраторы интернета будут заботиться об уменьшении побочных эффектов и так называемого collateral damage, и поэтому будут вынуждены изобретать более сложные технологии детектирования, продолжая увлекательную игру в кошки-мышки. Реальность же оказалась гораздо прозаичнее: зачем думать, когда в руке кувалда? В результате чего имеем следующее: часть детектирования откровенно тупая (например, блок нескольких параллельных подключений к одному IP, что решается использованием gRPC-транспорта для VLESS или XHTTP-транспорта с правильными настройками мультиплексирования), а часть - еще тупее, а именно, никакого детектирования, а тупо бан популярных хостеров и облачных провайдеров целыми подсетями /16 и даже /8 - в результате чего или нельзя подключиться по TLS вообще, или можно, но соединение фризится после передачи примерно 16 килобайт данных, или же блок срабатывает на целую подсеть после случайного обращения к какому-нибудь “плохому” IP-адресу. За анализ огромное спасибо товарищу @0ka и его статьям “РКН создали белый список для 72 AS, но пострадали 391 AS (>225 млн IP адресов)”  и “РКН создали список подозрительных айпи адресов (динамическая блокировка 47 AS)”.

Сегодня ядром данной статьи будет MCP — как мост между бекендом‑оберткой с LLM и внешними источниками, но при этом я также затрону смежные темы, чтобы картина была полной и не требовалось дополнительно гуглить.

Я постараюсь не давать устоявшиеся термины в контексте MCP, а также в процессе буду пояснять некоторые «базовые» термины, которые все как бы понимают — но нередко нет, чтобы мы все улавливали один и тот же контекст статьи.

Достался по случаю неисправный 5G роутер Askey RTL6310VW, брендированный под сотового оператора Telefonica, с битой прошивкой (вечный ребут). Прошивок в открытом доступе нет (только FOTA), документации по их установке/восстановлению тоже нет, OpenWRT не поддерживается, гарантия кончилась, у оператора лапки. В общем, кирпич, которому дорога только в помойку. Ради интереса я его разобрал, а там сюрприз - сотовый модем не распаян на плате, как это часто встречается в таких провайдерских CPE, а установлен в М.2 слоте.

В управлении каналами и мощностью передатчика точек доступа Wi‑Fi есть один вечный конфликт: чтобы сеть работала хорошо, нужно знать реальную ситуацию в эфире.

Богатые Cisco, Aruba и прочий Ruckus используют «третий глаз» у точки — отдельный радиоприемник, который для передачи данных вообще не используется. Отдельное радио? В мирное время — премиум‑фича. В трудную годину — уже почти статья за растрату бюджетных денег.

Так что же делать нам, простым смертным?

В современном российском информационном пространстве (видео, статьи, посты и прочее) из каждого чайника слышны разговоры о VPN и Proxy, причём контекст начал настолько размываться, что между этими терминами уже негласно ставится знак равно. Недавно я поймал себя на мысли, что сам не могу чётко сказать, чем эти технологии отличаются. В данной статье попробуем разобраться что же такое VPN и Proxy, а также чётко определить границы этих двух понятий.