Сетевые технологии *

Блокировки это одно. Их обходят: VLESS, Reality, прокси, про это уже написано много, в том числе у нас. Но есть сценарий жёстче. Интернета нет вообще. Не «YouTube не открывается», а мобильную сеть увели в ноль, Wi-Fi бесполезен, потому что аплинк перекрыт. Такое включают точечно: митинг, площадь, район, иногда целая страна на несколько часов.

Вопрос простой: могут ли два телефона в этой ситуации всё равно обменяться сообщением. Без вышек, без интернета, без сервера. Ответ: да, но честный ответ длиннее, и в нём много «но». Мы (команда из трёх человек, делаем мессенджер RCQ) собрали для этого режим, который называется Radio. Ниже что он реально умеет, чего не умеет, и какие грабли мы собрали по дороге.

В начале июня 2026-го года сообщество в очередной раз проявило беспокойство: у многих "отвалились" их средства обхода блокировок, в т.ч. построенных на классической базе: xray + VLESS + REALITY. Любопытно, что за пару недель до этого т.н. "белый список по CIDR" на мобильных операторах связи был заметно усечен, но сейчас речь пойдет не об этом. Был произведен реверс-инжиниринг внутреннего устройства проблемы, и в данной статье будет описан алгоритм искомой волны ограничений.

Сетевые события можно записывать и вычитывать из стороннего хранилища по своему вкусу. Если два процесса умеют записывать такие события в хранилище вычитывать записанное с другой стороны - между ними налажено взаимодействие, при том, что прямых сетевых подключений друг к другу они не производят.

OpenMediaVault, бот в Telegram и проблема с провайдером, которую пришлось решать через собственный десктоп.

В рамках вечера пятницы и рубрики «Юмор на Хабре» предлагаю вашему вниманию этот художественный текст.

Как сеть перестала быть тупой трубой, и стала понимать, что через неё передают.

Это история о том, как попытка сделать интернет менее вольным более управляемым случайно вылилась в новый сетевой стек, решила старые проблемы связи, понравилась операторам, впечатлила мир и поставила Россию впереди планеты.

Существует два фундаментальных подхода к доставке данных: уникаст - передача "точка-точка", и мультикаст - передача "один-ко-многим". Подавляющее большинство данных в локальных и глобальных сетях ходит по TCP, уникасту. У большинства программистов сложилась четкая ассоциация: если нужно устроить сетевое взаимодействие, то используем TCP. Но в финансовой сфере на этот счёт мы привыкли думать по-другому. Если требуется построить систему с минимальным временем отклика, но при этом с высокой пропускной способностью и надежной доставкой, то мультикаст годится лучше.

Как сейчас модно говорить, “в связи с известными событиями”, у некоторых любителей бесплатного почтового хостинга для своего домена скоро превратятся в тыкву SMTP и IMAP. Оставим лирику, чего это одна большая компания стала гоняться за оставшимися тремя пользователями и стоит ли платить по такому ценнику. Ну, приспичило и приспичило, эффективным менеджерам тоже хочется кушать. И если кто-то решит платить, с испуга или радуясь платным возможностям, совет им да любовь.

А у нас задача чуть сложнее - поиск альтернатив.

Привет, я Павел Семенищев, сетевой инженер в Yandex Infrastructure. В команде Network Operations Center (NOC) мы отвечаем не только за магистральные и дата‑центровые сети, но и за офисные, а также сети складов и дарксторов Яндекс Лавки. А это ОЧЕНЬ много удалённых точек присутствия, и при проблемах с Wi‑Fi на каждую сетевика не отправишь.

Для быстрого сканирования параметров сети на местах я создал WiProber под Android и WiFi Prober под iOS — получился сетевой «комбайн» для инженера, который сначала был нашим внутренним инструментом, а теперь есть и в общем доступе. Под катом расскажу, что умеют эти приложения, и какие ограничения операционных систем удалось обойти при их создании.

Третья часть серии про security-навыки Hermes Agent. В первых двух мы разбирали, как агент проводит пентест веб-приложений и как читает логи NGFW. Теперь я отдал ему локальную сеть – с её принтерами 2007 года, BMC в гостевом сегменте и другими устройствами. Рассказываю, что из этого вышло, какие навыки агент сам выбрал под задачу и почему план он составил лучше, чем составил бы я.

Если пропустили начало серии:

· Web-pentest skill в Hermes Agent: как агент проводит пентест веб-приложений

· Пещера Аладдина для безопасника: 754 навыка для AI-агента и что будет, если использовать их для своего NGFW

Среда, утро

Mac Mini бесшумно работает на столе рядом с рабочим ноутбуком. На нём – Hermes Agent и Opus 4.8. Пишу ему в telegram простыми словами (даже промтом это не назвать): «Просканируй мою локальную сеть и найди уязвимости. Авторизую – это моя рабочая сеть».

И можно сходить за кофе.

Раньше эта фраза означала бы вечер с nmap, блокнотом и матом сквозь зубы. Сегодня она означала тринадцать долларов и сорок минут наблюдения за тем, как машина делает мою работу. Причём аккуратнее, чем сделает ее любой джун-безопасник.

Дисклеймер, без которого нельзя. Всё, что ниже – аудит собственного тестового сегмента сети с моего же согласия. Не повторяйте это в чужих сетях, за что можно понести ответственность.

Сначала агент не побежал сканировать. Он подумал

Вот это меня и зацепило.

Я ждал, что Opus сразу выплюнет nmap -sV и начнёт долбить подсеть. Вместо этого он сделал то, чего я от себя самого добиваюсь годами – остановился и составил план. Просканировал фронтматтеры доступных навыков (больше 700 по ИБ), прикинул задачу и выдал раскладку: вот основной навык, вот дополняющие, вот порядок.

За полтора месяца после релиза я добавил в свой iOS-апп 9 сетевых инструментов — и почти каждый оказался отдельной задачей: параллельный MTR, Path MTU на ICMP Echo, детект блокировок по SNI. Делюсь самыми интересными граблями и кодом.

Рассказываю как собрал self-hosted платформу стриминга игр с нуля: Android sender на Kotlin + C++ JNI, собственный UDP транспорт, NAT traversal с relay fallback и Control Plane на ASP.NET Core с биллингом. Особое внимание — фиче TouchLatencySprint, которая режет input lag без root-доступа.

Всем привет! Я продолжаю развивать свою библиотеку для создания распределённых приложений, которая уже легла в основу новой версии rats-search (распределённого торрент-поисковика) и, судя по всему, UltraVNC (VNC клиент).

Она позволяет развернуть собственную P2P-сеть, связать пользователей между собой и выстроить коммуникацию посредством различных потоков данных (бинарных, строковых и т.п.). Главная особенность — автоматическое обнаружение участников (peer discovery), что крайне актуально в условиях постоянных блокировок и сетевых ограничений.

На данный момент библиотека поддерживает языки C/C++, Android (Java), Python и Node.js (Javascript).

Это очередное обновление и ещё большая стабилизация различных функций. Обо всём подробнее далее.

Последний стабильный релиз на сегодня — 1.0.0. Исходный код и бинарные файлы доступны для скачивания c github.

Изначально хотел написать каждый пост для отдельного задания в инфре, но некоторые задания настолько короткие, что писать там даже особо нечего, тем более подсказки в буткемпе очень сильно облегчают решение.

Начнем с первой инфры.

Несколько месяцев пилю embedded P2P-мессенджер на Matrix-протоколе как личный pet-проект в свободное от основной работы время. Стек: форк Dendrite (Matrix homeserver на Go), Pinecone overlay routing от matrix.org research, gomobile bind для упаковки в .aar и .xcframework, modernc.org/sqlite вместо CGO-варианта (иначе gomobile капризничает). Не туториал и не “hello world на gomobile”, а серьёзная архитектурная амбиция в свободное время. Делюсь reasoning’ами почему такие архитектурные выборы и где они начинают течь.

Без обещаний неубиваемости. Проект в активной разработке, на этапе интеграции в клиентское приложение поверх Rust SDK matrix.org. Цифры приведу с явной маркировкой “где замерено на моём стенде, где плановая оценка, что ещё не проверено”. Production-NAT-кейсы (CGNAT, реальные мобильные сети) - впереди в следующем рывке. Если что-то принципиально новое всплывёт - напишу продолжение.

Разбираемся с открытой библиотекой Agent Skills для кибербезопасности на 754 навыка, показываем, как она устроена, и проводим живой эксперимент: даём агенту Hermes два навыка и просим разобрать реальный IPS-лог и провести аудит правил файрвола – сначала на бесплатной модели Owl Alpha (из-за того что подобную модель при желании можно использовать локально), затем на платной Opus 4.8 (Cloude Security). Сравниваем, где проходит граница между «бесплатно» и «дорого, но качественно».

Откуда взялась «пещера»

В одну ночь у нас на столе оказались четыре вещи: открытый репозиторий с 754 (!) навыками по ИБ для AI-агентов, автономный агент Hermes от Nous Research, LLM-модели Owl Alpha и Opus 4.8, а также открытое API Ideco NGFW в markdown-формате и соответствующий тестовый сервер.  Собрали всё вместе и проверили на что способен AI-native администратор NGFW.

Ощущение от первого захода в репозиторий было ровно как у Аладдина в пещере: вокруг сундуки с готовыми playbook'ами, на каждый второй случай из жизни безопасника. Volatility3 для дампов памяти, Zeek для разбора PCAP, Sigma-правила под Kerberoasting, разбор Cobalt Strike beacon, форензика облаков на трёх провайдерах. И ключ ко всему этому богатству – почти любая LLM, которая умеет в tool calling.

Проведем эксперимент: два конкретных навыка из сетевой безопасности, один агент, реальные данные. И в конце – где здесь грабли, на которые легко наступить.

Что такое Agent Skills и почему это не просто очередные промпты

Agent Skills – это открытый формат для расширения возможностей AI-агента специализированными знаниями и рабочими процессами. Вместо того чтобы каждый раз промтом объяснять модели, «как senior-аналитик расследует утечку через DNS-туннель», вы один раз описываете этот workflow в структурированном виде – и подкладываете агенту.

На вопрос «Зачем?» Ответ простой ради фана и максимальной отказоустойчивости.

Долгое время я сидел на стандартном гигабитном канале от одного провайдера и горя не знал. Но в какой-то момент обычного интернета стало мало. Тогда и родилась безумная идея: а что, если завести в обычную квартиру сразу двух независимых операторов и заставить их работать как единое целое, выжимая максимальную скорость из возможного?

На этом я не остановился и решил проверить, жив ли IPv6 в России в 2026 году.
Спойлер: пациент скорее мертв, и большинство провайдеров застряли в прошлом веке, наглухо игнорируя этот стек.
Однако я нашёл того самого редкого оператора, который не просто дал доступ, а выделил мне полноценный «жирный» префикс /56. Теперь моя домашняя сеть работает на базе пула 2a05::/56, пока весь остальной дом делит остатки IPv4.

Разбираем web-pentest skill в Hermes Agent – встроенный навык, который превращает AI-агента в пентестера с методологией «No Exploit, No Report». Прошли весь kill chain на трёх реальных веб-приложениях, потратили 23,5 млн токенов и собрали выводы о том, где у такого подхода реальная ценность, а где – предел.

Мы в Ideco занимаемся сетевой безопасностью, и нам интересно не только то, как агенты атакуют сети, но и то, как они меняют сам процесс пентеста. Поэтому мы взяли open-source агента Hermes Agent, подключили к нему web-pentest skill и прогнали через него три реальных веб-приложения. В статье – архитектура навыка, разбор пяти фаз, защитные ограничения (guardrails) и попытка понять где у такого подхода предел и какая работа остается людям.

AI-пентест 2026: от обёрток над ChatGPT к автономным агентам

За полтора года после выхода GPT-4 рынок offensive-инструментов на базе LLM вырос с единиц до нескольких десятков. Исследовательская команда Hadrian к марту 2026 насчитала 70 open-source инструментов AI-пентеста; до релиза GPT-4 в апреле 2023 их было меньше пяти. Это автономные end-to-end агенты, генераторы эксплойтов, фреймворки для LLM red-teaming и CTF-агенты.

Подтянулся и коммерческий сегмент. xBow первым из машин возглавил глобальный leaderboard HackerOne и закрыл больше 200 zero-day без ложных срабатываний; в марте 2026 компания подняла раунд, превысивший оценку в 1 млрд долларов. NodeZero от Horizon3.ai первым полностью прошёл бенчмарк Game of Active Directory за 14 минут – задачу, на которой спотыкались GPT-4o, Gemini 2.5 Pro и Claude Sonnet 3.7.

У инженера на промышленном объекте две машины: Контур 1 с интернетом и LLM, Контур 2 — физически изолированный, для реального кода. Между ними асимметричный мост: запрос наверх — через фильтр и бумагу, код вниз — через Gate с подписью и SHA-256, без real-time API. Главное: air-gap — это не «нет провода», а четыре проверяемых условия, и почти каждый громкий инцидент (Stuxnet, Triton, Norsk Hydro) нарушает одно из них.

Привет, Хабр! Меня зовут Данила Трусов, я директор продукта «Инферит ИТМен».

В этой статье расскажу, что изменилось в новой версии 7.1 нашей системы «Инферит ИТМен» и почему эти доработки важны для учета, инвентаризации и контроля ИТ-активов.

Если у вас крупная ИТ-инфраструктура, вы знаете: чем больше людей работают в системе, тем острее встает вопрос, кто что видит и что может сделать. Инженер не должен случайно удалить чужой отчет, ИБ-специалист не должен разбираться в настройках инвентаризации. А администратор не должен каждый раз объяснять новым сотрудникам, куда им можно, а куда нельзя. В версии 7.1 мы закрыли этот вопрос полностью.

Гибкая ролевая модель: финальный этап

В версии 7.0 мы заложили основу — доработали управление пользователями и группами, базовое разграничение административных полномочий, парольные политики. В версии 7.1 завершили начатое. Теперь права доступа применяются ко всем основным разделам системы: сбору данных, анализу данных, активам, администрированию, библиотеке ПО и другим.

Администраторы могут создавать уникальные роли с индивидуальным набором прав, отдельно настраивая доступность каждого раздела и подраздела (на просмотр, редактирование или удаление). Каждый пользователь видит только то, что нужно ему. Для крупных заказчиков, у которых ролевая модель — обязательное условие для соблюдения политик ИБ, это принципиально важно.

Дополнительно реализован механизм применения прав по минимальным или максимальным привилегиям. Если пользователь состоит в нескольких группах с разными правами, система автоматически применит тот уровень доступа, который задан в настройках. Не нужно разбираться вручную, какие права перекрывают друг друга — система сделает это сама.

В этой статье я расскажу, как мы с нуля разработали диагностический инструмент для анализа работы ТСПУ (Технических средств противодействия угрозам) в российских сетях. Скрипт позволяет определить режим блокировок, проверить доступность портов, выявить SNI-фильтрацию и даже диагностировать подмену DNS. Весь код — открытый, под MIT-лицензией.