Сетевые технологии *

Глава Минцифры Максут Шадаев в профильном сообществе «МИТ — Мы ИТ» заявил, что ведомству поставили конкретную задачу — снизить использование VPN в России.

VPN шифрует ваш трафик, но не скрывает сам факт использования VPN. Провайдер знает — и вот как именно. Разбираю четыре уровня обнаружения: от проверки IP по базам до DPI-анализа TLS fingerprint’ов и российских ТСПУ с пропускной способностью 132 Тбит/с, которые в марте 2026-го ушли в bypass из-за перегрузки.

Когда мы слышим об очередной крупной утечке данных — клиентских баз, исходных кодов или коммерческой тайны — в отчетах часто фигурируют формулировки «злоумышленник получил доступ» или «был скомпрометирован сервер». Но за этими общими фразами скрывается принципиально важная деталь: утечка редко является разовым событием. Да, не стоит забывать об инсайдерах, выносящих данные на флешках, но как правило это носит разовый характер.

А в подавляющем большинстве случаев системные утечки — это процесс, управляемый извне. И ключ к расследованию, минимизации ущерба и построению защиты лежит в детектировании инфраструктуры Command & Control (C2). Без понимания того, как работает C2, SOC превращается в пожарную команду, тушащую искры, но не видящую самого пожара.

В этой статье мы разберем, почему C2 — это не просто «вирус», а архитектурный принцип современных атак, и как выстроить расследование вокруг этого понятия.

Некоторое время назад, Роскомнадзор, в очередной раз, решил усложнить мне жизнь, а именно - стал блокировать и разрывать VPN-соединения по протоколу SSTP (Secure Socket Tunneling Protocol), при помощи которого я подключался к устройствам в своей домашней сети. Протокол SSTP относительно медленный, но к числу его преимуществ можно отнести то что он не требует наличия "белого" IP-адреса, т.к. он использует SSL / TLS канал и способен работать через Keenetic Cloud с использованием доменного имени, зарегистрированного в облачной службе KeenDNS.

Блокировки и разрывы SSTP-подключений продолжались примерно 2 или 3 недели и потом прекратились, однако невозможность всё это время нормально использовать свою домашнюю сети (где у меня, например, находится экспериментальный стенд) побудила меня искать альтернативные способы подключения к себе домой.

В этой статье будет рассказано о том, как развернуть на выделенном виртуальном сервере (VPS / VDS) свой личный VPN-сервер, работающий по протоколу AmneziaWG, а затем сконфигурировать развернутый VPN-сервер и домашний роутер фирмы Keenetic таким образом, чтобы внешние клиенты, подключившись к VPN-серверу получали доступ к устройствам в домашней сети.

Иными словами - расскажу как сделать подключение к себе домой через VPN-сервер в другом городе или даже в другой стране.

Привет, Хабр! На связи команда SoftStore. В последнее время информационное поле бурлит: СМИ открыто заявляют о финальной блокировке Telegram уже в первых числах апреля 2026 года, WhatsApp давно находится под жесткими ограничениями и регулярно сбоит, а мобильные операторы вовсю обкатывают пресловутые «Белые списки» (White Lists). Панические настроения множатся каждый день, обрастая мифами и неработающими советами.

Давайте остановимся, выдохнем и посмотрим на ситуацию через призму инженерии. Эмоции в IT не работают, работают протоколы и физика сетей.

Реальность такова: механизмы белых списков появились не сегодня. Это планомерное развитие систем ТСПУ (Технические средства противодействия угрозам). На данный момент эти ограничения наиболее агрессивно применяются на сетях мобильного интернета. В моменты активации такого режима логика DPI (Deep Packet Inspection) меняется на противоположную: вместо того чтобы блокировать запрещенное (Black List), система начинает отбрасывать (drop) все пакеты, кроме тех, что идут к явно разрешенным ресурсам.

Анатомия мобильного White List: Трафик ходит только до инфраструктуры экосистем: Яндекс, VK, Сбер, личные кабинеты операторов связи, маркетплейсы (WB, Ozon) и ограниченный пул банков. Если вы попытаетесь отправить TCP-пакет на любой другой IP-адрес — он просто исчезнет. ТСПУ не будет ждать передачи 16 КБ данных для анализа сессии, пакет дропнется на этапе хендшейка.

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз.

Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.

Привет, Хабр!

Февраль 2026 года. За один месяц вышли: Gemini 3.1 Pro от Google, Claude Sonnet 4.6 и Opus 4.6 от Anthropic, GPT-5.3 и GPT-5.4 от OpenAI (5.4 — через два дня после 5.3, без каких-либо объяснений), Grok 4.20 от xAI, Qwen 3.5 от Alibaba, DeepSeek V4, GLM-5 от Zhipu, Seed 2.0 от ByteDance. Семь крупных лабораторий, десятки моделей, один месяц. И это только верхушка — LLM Stats отслеживает больше 500 языковых моделей от 30+ организаций.

Происходит что-то странное.

Если вы работаете с Telegram-ботами и внезапно начали ловить таймауты и нестабильные ответы — пора ставить прокси.

Для API и ботов достаточно обычного HTTP/SOCKS-прокси.

В статье покажу, как за пару команд поднять прокси на VDS и сразу использовать его в коде в том числе с помощью CLI, который я написал, чтобы не возиться с конфигами вручную.

Продолжаю пилить на Go утилиту для работы с TUN-интерфейсами. В предыдущей версии пакеты проходили путь system <-> tun10 <-> go app <-> tun11 <-> inet. Основная цель тогда была одна — разобраться с TUN-интерфейсами и сетевыми настройками. В текущей версии я добавил простейший udp relay, вынес сложность в конфиг и в целом переработал проект.

Представьте ситуацию: вы тщательно подготовились к работе с мультиаккаунтингом - настроили окружение, для каждого потока прописали уникальный резидентный прокси, уверены в чистоте ваших IP-адресов. Но после старта все ваши аккаунты один за другим улетают в бан, хотя каждый поток работал со своего уникального IP-адреса. Как говорится - ситуация патовая, в чем может быть дело? 

Restoring Internet Freedom (Правила восстановления свободы интернета) были приняты 14 декабря 2017 года во время первого президентского срока Дональда Трампа. Утвердив их, Федеральная комиссия по связи (FCC) отменила Open Internet Order (Правила открытого интернета) 2015 года и вернулась к схеме мягкого регулирования. Этот документ стал символом дерегулирования и «возвращения свободы интернету», хотя критики называли его капитуляцией перед крупными провайдерами.

Меня зовут Ольга Макарова, я директор департамента коммерческого управления ресурсами технического блока МТС. Вы читаете пятый материал из цикла «Сетевой нейтралитет: не совсем то, что так называют». В нем я покажу, как технические детали (DNS, кэширование, pole attachments) стали точкой преткновения между Вашингтоном, штатами, судами и провайдерами.

В последние месяцы многие уже сталкивались с ограничениями мобильного интернета — иногда в отдельных районах города, иногда сразу в целых регионах. В такие моменты становится ясно, насколько мы привыкли к интернету и зависим от него. В нынешнее время интернет — не просто развлечение, а критическая инфраструктура уровня электричества или водопровода, и, когда он исчезает, это затрагивает практически все аспекты повседневной жизни.

Сегодня мы рассмотрим инструменты, которые позволят иметь хоть какую‑то связь во время полного шатдауна (когда нет ни мобильного, ни проводного интернета, сотовая связь не работает, а домашний телефон был отключен еще в 2010‑м) или частичного (когда связь работает с перебоями: появляется на короткое время и снова исчезает). Основное внимание уделим технологиям, на которых эти инструменты базируются, и тому, как использовать возможности своего смартфона или ноутбука без покупки дополнительного оборудования.

Телеграм уже довольно давно из нишевого игрока превратился в обязательный инструмент коммуникации. Он везде - рабочие и общедомовые чаты, личная переписка, взаимобействия бизнеса и клиентов. Картину дополняет его разноплановая инфраструктура - телеграм-боты, каналы по интересам, кошелек, биржа ценных бумаг и куча скама -ну куда же без него, правда?

Но по какой-то неведомой нам причине (тут должна быть реальная причина, но ее не будет, вы и так все знаете) - телеграм объявлен вне закона, и вообще дел с ним иметь не стоит…

Что ж... Недавно я увлекся C++, поэтому давайте разберемся в какой-нибудь технологии и напишем по ней статью. Мой выбор пал на WebRTC и клиент на Qt.

В статье расскажем, как мы командой Yandex Infrastructure внедрили QoS в сетях InfiniBand при ограниченной вендорской поддержке и скудной практической документации. Обсудим мотивацию: рост смешанных нагрузок во внутреннем облаке и необходимость предсказуемых SLO для различных обучений. Отдельно рассмотрим как могут быть связаны QoS и топология сети DragonFly+.

Эта статья представляет собой дальнейшее развитие нашей предыдущей статьи, только здесь всё будет на 20 % круче. Мы полностью вынесем функциональность базовой станции на отдельный ПК, возьмём более мощное железо для ядра сети, а также развернём другой open source-стек для радиочасти. В общем, сделаем шаг вперёд и попробуем перейти от демонстратора идеи к тестовому стенду 5G. В этой статье вас ждут:

Установка ядра с низкой задержкой.

Установка DataPlane Development Kit (DPDK).

Установка драйвера UHD из исходных кодов.

Подключение USRP X310 к CU/DU с применением DPDK.

Развёртывание OpenAirInterface и подключение gNodeB к ядру сети.

В этом тексте я написал как реализовать CLI на CAN шине.

В разработке электроники часто делают электронные плату без UART, но с CAN .

Как же отлаживать софт и железо в таких случаях?

Привет, Хабр!

Я работаю сетевым инженером в компании, которая занимается разработкой софта. В этой статье расскажу о том, как мы собираем статистику сетевого трафика, и о трудностях, с которыми столкнулись и успешно справились.

Когда речь идёт о расследовании инцидентов, связанных с безопасностью своих ресурсов, «приблизительной» статистики недостаточно — нужны подробности. Однако, встроенные в сетевое оборудование решения (вроде sFlow/NetFlow) с этим, как правило, не справляются:

Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

Привет, Хабр.

Почти в любой компании есть момент, когда кто-то говорит: «У нас какой-то зоопарк систем». Все кивают, кто-то даже предлагает навести порядок. Но на этом обычно все и заканчивается.

Потому что дальше возникает неприятный вопрос: а что именно у нас вообще есть? И вот тут внезапно выясняется, что часть систем никто не трогал годами, но отключить страшно, какие-то сервисы дублируют друг друга и используются параллельно, интеграции есть, но как они работают знает один человек (и он в отпуске), а часть инфраструктуры вообще существует сама по себе и живет своей жизнью.

Меня зовут Данила Трусов, я директор продукта «Инферит ИТМен». И за последние годы я ни разу не видел компанию, где бы «зоопарк» был исключением. Это скорее норма.