Сетевые технологии *

Десять устройств дома, и каждому нужен доступ к заблокированным ресурсам. Ставить VPN-клиент на телевизор и колонку — невозможно, на телефон жены — бесполезно.

Я настроил прозрачный VPN на роутере: VLESS+Reality+XTLS-Vision через TPROXY на OpenWrt. Сплит-роутинг по GeoIP и доменам, автообновление серверов из подписки каждые 30 минут, балансировка по задержке, procd с автоперезапуском. В статье — полный путь от коробочного Cudy TR3000 до рабочей системы: nftables, policy routing, base64-декодер на awk и все баги, которые я нашёл по дороге.

Приветствую всех!

Многие сейчас уже и не вспомнят, что такое «тонкий Ethernet», зачем компьютеру кабель, внешне похожий на телевизионный, и какими в своё время были компьютерные сети. И, признаться, те, кто не застал это всё, практически ничего не потеряли.

И вот как-то раз я задумался: а как насчёт попробовать связать пару компьютеров по такой сети уже в наши дни? Что из этого получится, и стоит ли вообще пробовать всё это? Сейчас и узнаем…

Telegram выкатил обновление для iOS — MTProto-прокси снова работают. Обновил, подключил, медиа грузятся. Разбираю, почему прокси ломались именно на iOS, как Fake TLS шифрует MTProto-трафик под обычный HTTPS, и почему прокси на российском VPS работает лучше зарубежного.

Из-за большого количества сетевого оборудования и отсутствия достаточного времени не получается бэкапить всё оборудование.Но надеюсь данная статья поможет вам автоматизировать рутинную работу. Все изменения конфигураций будут версионироваться, и бэкапиться, вы всегда сможете восстановить прошивку на необходимое состояние.

Выделяем ПК или VM, устанавливаем Linux, я предпочитаю Debian (сейчас актуальная версия 12). Устанавливаем Docker и Docker-Compose по оф. инструкции Добавление репозиториев

Wildberries показывает «У вас включен VPN? Отключите», Ozon не грузит карточки товаров, ВкусВилл предупреждает об ошибках. Минцифры дало 20+ компаниям дедлайн до 15 апреля. Разбираю 5 методов, которыми приложение на вашем телефоне определяет VPN — от проверки tun0-интерфейса на Android до рассинхронизации GPS, IP и SIM-карты.

История про сумасшедшую скорость изменений. Пока мы в Ideco создавали задачи в Jira, исследовали технологии и возможность реализации модуля «LLM Firewall» в Ideco NGFW — ландшафт угроз использования AI принципиально изменился и все приходится переделывать заново.

Первое поколение LLM Firewall проектировалось для защиты чат‑интерфейсов: пользователь отправил запрос — модель ответила — файрвол отфильтровал. Похоже на известную нам работу прокси‑сервера или DLP‑решения. Но за 2025–2026 годы индустрия резко перескочила от «чатов» к автономным агентам, которые вызывают инструменты, ходят в базы данных, принимают решения и общаются с другими агентами. Концепция LLM Firewall переродилась раньше, чем полностью оформилась ‑в Agent Runtime Security. Но назвать сегодняшние stateless‑фильтры промптов «решением проблемы безопасности агентов» — значит обманывать всех и продавать «воздух».

Два года назад разговор об LLM‑безопасности сводился к простой формуле: не дать пользователю сломать чатбот (если конечно отбросить «драконовские» и не выполнимые в современных компаниях требования — ЗАПРЕТИТЬ). Prompt injection, jailbreak, утечка персональных данных — вот и весь threat model. Ответ рынка был логичен: поставить прокси между пользователем и моделью, отфильтровать вредоносный или содержащий чувствительные данные промпт на входе, проверить ответ на выходе. Но тут уже можно было столкнуться со сложностью — «фильтрующей» модели нужно было поддерживать контекст в водовороте вопросов и ответов в чате, что не просто и требует большой мощности.

Сделал себе VPN, который:

— работает через VLESS Reality, неотличимый от обычного HTTPS

— пробивает белые списки мобильных операторов через relay на Yandex Cloud

— имеет готовый код для аварийного канала через WebRTC и Яндекс.Телемост (пока не понадобился) — автоматически переключается между 4 уровнями защиты

— пропускает российские сайты (Яндекс, Госуслуги, банки) напрямую, без VPN

Весь код, конфиги, скрипты деплоя — всё написал Claude Code. Я только описал проблему и дал ему почитать несколько статей с Хабра про блокировки. Ну и бил его кнутом, пока всё не заработает.

Расскажу, как это устроено и как повторить.

На рынке видеонаблюдения есть удивительно живучий миф: если на двух IP-камерах написано H.264 или H.265, значит, и вести себя они должны примерно одинаково. Нагрузка на сеть будет похожей, архив займет сопоставимый объем, сервер разницы не заметит, а совместимость окажется чем-то само собой разумеющимся.

Разберем, почему одинаковая надпись H.264 или H.265 не делает IP-камеры одинаковыми, какие параметры действительно влияют на поведение потока и на что стоит смотреть при выборе, тестировании и модернизации системы.

За последние годы NGFW не исчез и не стал второстепенным элементом защиты, но его архитектурная роль заметно изменилась. Безопасность всё меньше строится вокруг единственного сетевого периметра и всё больше — вокруг облаков, идентичностей, распределённого доступа, AI и аналитических контуров. Ниже рассматривается, почему это происходит и какие пять направлений сильнее всего меняют место NGFW в современной архитектуре безопасности.

Существуют решения для анонимного взаимодействия в интернет пространстве, такие как Tor, I2P и Freenet, но они ориентированы на весь интернет и избыточны для простого общения. Их сложность и архитектура могут быть неудобны в условиях ограниченного доступа к сети. Поэтому возникает идея более простой и специализированной системы. XXCore — это лёгкая p2p-архитектура с доверенными узлами, построенная на PipeNet и модифицированном SSU2.

Разбор HTTP/HTTPS‑трафика, потерянных заголовков и умирающих сессий съедает время, особенно когда всё это приходится делать консольными утилитами или через логи. Под катом я собрал 10 инструментов, которые помогут в дебаге запросов и сэкономят нервы.

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.

Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.

При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.

Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.

Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

Привет, Хабр!

Если не читали предыдущие статьи — кратко: в РФ сейчас работают белые списки (а мы не знали) подробнее тут, ТСПУ работает в режиме drop‑all, пропуская только одобренные IP + SNI.

Обходилось это легко — покупаешь VPS у VK/Timeweb/Яндекса, получаешь подсеть которая есть в белых списках, поднимаешь VLESS.

Только вот скоро это перестанет работать.

Пока мы ждём, что в Telegram наконец раскатится обновлённая реализация Fake-TLS, хочу рассказать о своей реализации MTProto-прокси 2018 года, которая снова становится актуальной, и об одной из её уникальных возможностей.

MTProto-прокси — решение для обхода блокировок Telegram в странах с интернет-цензурой (мы говорим про Иран конечно же 😄). Типичная схема выглядит так: оператор поднимает прокси с одним секретным ключем на всех, публикует одну ссылку, и тысячи людей ей пользуются. Просто, но у этой модели есть реальные ограничения:

Нет контроля доступа. Любой, у кого есть ссылка, может пользоваться вашим сервером бесконечно. Отозвать доступ у конкретного пользователя без смены общего секрета — а значит, без поломки ссылок у всех остальных — невозможно.

Нет аналитики на пользователя. Видно общее число соединений и IP-адреса, но не понять, кто активен, кто раздал свою ссылку полусотне друзей и кто потребляет весь ваш трафик.

Ограниченная монетизация. Да, есть “спонсорские каналы”, но если хотите продавать доступ — не за что зацепиться: секрет один на всех, привязать подписку не к чему.

А что если у каждого пользователя будет свой уникальный секрет, дающий доступ только ему? Тогда можно продавать подписки, отзывать доступ у отдельных пользователей, ограничивать использование и отслеживать уровень активности.

31 марта 2026 года один из самых популярных npm-пакетов в мире превратился в оружие. Разбираем, как устроена атака на цепочку поставок через axios, почему классические средства защиты могут не выручить на этапе заражения – и как DNS-уровень оказался барьером, который предотвратил крупнейший инцидент.

Мгновенная атака

Представьте, что вы едете в отель. Один из больших сетевых - из более чем 5000 отелей по всему миру. Устали после пересадки и с единственной мыслью в голове - как можно скорее добраться до номера и открыть ноутбук, доделать задачи к утреннему релизу.

Все еще хорошо – информационная система сети отелей работает исправно, заселяя больше 500 гостей в минуту.

Вы открываете дверь такси и выходите. До стойки ресепшн рукой подать, идти чуть больше минуты - 89 секунд. Но дойдя до нее вы видите, как меняется лицо администратора. Глядя в экран, она видит сообщение о сбое всех систем.

Именно столько – 89 секунд прошло между публикацией вредоносной версии axios и первым заражением. Горизонтальное же продвижение злоумышленников, вооруженных мощью автономных AI-агентов может быть мгновенным. Получив доступ к переменным окружения, токенам CI/CD, ключам доступа к облакам, БД, API платёжных шлюзов, секретам Kubernetes с компьютеров разработчиков – дальнейшее дело техники.

И это реальное описание того, что могло бы случиться, если бы клиент не использовал сервис DNS-фильтрации.

Меня зовут Григорий Орлов, я руководитель команды разработки сетевых сервисов гибридных облаков в Yandex Cloud. В статье расскажу про детали работы наших сервисов на уровне Config Plane — это уровень, на котором пользователь может задавать целевое состояние системы. А именно речь пойдёт про CIC‑API — сервисе управления железом, которое стоит на наших точках присутствия и участвует в работе Cloud Interconnect, необходимого для создания приватных выделенных сетевых соединений.

Сходил на выставку «Фотоника» (31.03–02.04.2026), взял каталог оборудования Т8 — посмотреть, до чего современная технология доросла. Ради интереса выбрал модель агрегатора и попробовал рассчитать трассу. А потом вспомнил свой опыт строительства и эксплуатации магистральной сети. Правильный расчет — еще не всё. Для конкретной трассы нужно учитывать внешние факторы: логистику, климат, вандализм, доступ к опорам, затраты на эксплуатацию. Не каждый расчет, верный на бумаге, годится для реальной линии в труднодоступном районе. Так родился еще один раздел — разбор практических проблем.

Я всю жизнь писал только бэк и подкапотщину - будь это классический КРУД, хайлоад, CLI, [вставьте свое]... И для любых сетевых взаимодействий чаще всего люди думают именно прикладными вещами - GRPC, REST, Kafka, не задумываясь об этом глубже - супер удобные инструменты с защитами от дураков и прочими радостями

Но тут спохватился я писать фронт - подключать свое же к себе же. И в этот момент я понял, насколько же это сложно, муторно и, главное, НЕУДОБНО взаимодействовать REST'ом

ЗАЧЕМ ОН НУЖЕН?? - У нас нет удобного контракта общения (eg Proto, Avro) кроме Swagger, который нужно поддерживать с обеих сторон. Да и к тому-же, сложность взаимодействия с JSONом с ОБЕИХ СТОРОН - одна постоянно маршаллит, защищается, ищет поля, в то время другая боится резких обновлений, что строчка получения поля может превратиться в что-то в роде

Всем привет, на проводе снова я и опять буду донимать всех своей синхронизацией. В этом цикле статей предлагаю хорошенечко разобраться в фазовой синхронизации на основе протокола PTPv2 G.8275.1 и его верном спутнике технологии частотной синхронизации Synchronous Ethernet. Изучать будем от и до: физический уровень, для интереса заглянем в осциллограммки, посмотрим на сигнальный обмен, расковыряем дампы, посчитаем параметры, проведем пару сеансов разоблачения, узнаем почему QoS’ы стали нафиг не нужны, как линчевание негров и повесточка изменили PTP, поиграемся в хроматическую дисперсию, увидим какие данные можно выжать с Huawei и Juniper, а также узнаем особенности их работы и где можно неудачненько влететь. К концу пьесы выясним, почему PTP без SyncE пиво без водки деньги на ветер. Информации миллиард и на удивление почти вся по делу. Наберитесь терпения, постепенно все станет ясно.

Пока СМИ писали про победу команды Дурова над РКН, анонимные разработчики из опенсорс-комьюнити уже две недели сидели в чатах, реверсили DPI и писали патч, который и использовала команда Дурова. Расскажу, как это было на самом деле.