Третья часть цикла статей по разбору устройства работы IDS/IPS решения Suricata.
Разберём на практике уязвимость CVE‑2025‑66698 – обход аутентификации в Veda (Semantic Machines) v5.4.8. Запишем трафик с вредоносными запросами и составим suricata-правило, которое детектирует эксплуатацию уязвимости. В статье также приводятся объяснения как работают content, pcre и липкие буферы.
На основе этой статьи была составлена и прочитана лекция на одном обучающем мероприятии для телекоммуникационной сферы.
В статье описан практикуемый алгоритм диагностики и траблшутинга сетевых проблем, который поможет внести упорядоченность в расследование аварий, учитывая возможные ограничения и сложности в применении некоторых диагностических мер, но и не ограничивая личные способности уже опытного инженера!
Два месяца назад я решил больше не платить за VPN и сделать свой.
Вас ждёт пошаговый гайд по сборке связки VLESS + REALITY + XHTTP, которая пережила атаку РКН, а также теоретические основы для понимания VPN.
Недавно я написал две статьи про решение проблем с доступом с Claude Code, Antigravity и другими сервисами из России (часть 1, часть 2), но практика показала, что доступ мне к ним нужен не только с домашнего компьютера, но и с телефона, когда я нахожусь на улице. А с этим сложнее. У мобильных операторов какие-то свои, особые правила маршрутизации интернета.
В прошлый раз мы решали проблемы с использованием VPS с заграничным IP, но на улице они не работают, поэтому там, где не помогает 1 VPS, проблему решат 2 VPS.
Привет, меня зовут Борис Хасанов, я сетевой архитектор в MWS Cloud Platform.
Решил поделиться с вами обзором новой технологии MRC* для создания сетей для AI/ML-кластеров, так называемых backend networks. Технология интересная и перспективная — там есть магия SRv6 :)
На мой взгляд, информация будет полезна сетевым инженерам и архитекторам, которые интересуются этим вопросом. Я проанализировал MRC и сделал подробное техническое описание в этой статье.
* MRC — Multipath Reliable Connection, расширение RoCE-архитектуры, предложенное коллегами из OpenAI, Microsoft, Nvidia, AMD, Broadcom. Недавно вышло несколько англоязычных публикаций с его анонсом. Вот одна из них на сайте OpenAI.
В российском вебе за неделю сломалось две вещи. 13 июня GlobalSign начал массовый отзыв сертификатов у российских компаний — до 20 000 доменов второго уровня под ударом. Let’s Encrypt 4 июня формализовал санкционные ограничения в новой редакции пользовательского соглашения. Я держу около десятка сайтов, все на Let’s Encrypt; сел и прошёл их по списку — какой issuer у каждого, кому грозит и в каком порядке, какие альтернативы реально работают в 2026 году. Внутри: пайплайн инвентаризации через openssl и crt.sh, конфиг Caddy с двумя issuer-ами в fallback, разбор Google Trust Services, НУЦ Минцифры и тех, кто уже выбыл (Buypass) или присоединился к ограничениям (ZeroSSL).
Иногда сетевой инцидент выглядит как проблема маршрутизации, коммутатора или IPTV‑сервиса, но на деле трафик умирает раньше — внутри сетевой карты. В этой истории разберём, как Intel X710 научилась отбрасывать корректный multicast, почему IGMP‑запросы не спасали ситуацию и как одна правка в драйвере превратила редкий баг в массовую головную боль для инженеров.
Привет! Я Лев, системный администратор технической поддержки в Selectel. Мы с вами живем в мире, окутанном «волшебными» тайнами. Как говорится, в интернете все кажется физикой, когда не знаешь магию.
Вот уже много лет слышно про вот‑вот ожидающийся переход на шестую версию IP‑протокола. И все никак этого не происходит. Да и мало кто задумывается, сколько этих версий вообще существует.
В этой статье пристальнее посмотрим на привычную аббревиатуру. Разберем, почему IPv6 никак не заменит предшественника и чего ждать сетевым инженерам, если это все‑таки случится.
Всем доброго дня!
Каждый раз, настраивая на коммутаторах стек/vPC/DFS, невольно ловил себя на мысли: а почему для маршрутизаторов нет чего-то подобного? Чтобы гибко добавлять порты, резервировать подключения, распараллеливать трафик между портами и устройствами…
Понятно, что это упрощение, и куда больший выигрыш был бы для stateful задач – например, DHCP SERVER или NAT.
И, вообще говоря, что-то подобное в природе давно существует – в частности, кластеры для NGFW. Ибо stateful fw – один из способов существенно поднять производительность, но без «горячего» резерва и синхронизации состояния всех сеансов на этом резерве, в случае сбоя понадобится переустановление всех сессий – что не всегда приемлемо в ответственных применениях.
Поскольку сервисные маршрутизаторы Eltex ESR (а рассматривать будем именно их) являются чем-то средним между «классическими» маршрутизаторами и МЭ (как, кстати, и маршрутизаторы многих других вендоров), то наличие функционала кластера является вполне логичным, хотя у остальных поставщиков сетевого оборудования он присутствует только на «совсем-совсем МЭ» типа Cisco ASA (а для классических маршрутизаторов преобладает схема «активный-активный»).
А с учетом того, что Элтекс поддерживает кластер не только на «железных», но и виртуальных маршрутизаторах vESR, освоение этой технологии легко может быть переведено в практическую плоскость.
eBPF часто подают как кнопку «ускорить Kubernetes», но на практике всё сложнее. Он действительно помогает уйти от тяжёлых цепочек iptables, снизить задержки и получить наблюдаемость ближе к ядру Linux. Но стоит перейти от L4 к L7, включить глубокую инспекцию трафика или mTLS — и бесплатная магия заканчивается. Разбираем, где eBPF меняет правила игры, а где всё ещё приходится считать оверхед.
Привет, Хаброжители! Седьмое издание одного из лучших российских учебников по сетевым технологиям, переведенным на английский, португальский, испанский и китайский языки.
Секретом успеха этой книги, которая издается уже на протяжении более 25 лет, является постоянное и существенное изменение ее содержания, при котором материал каждого нового издания обновляется на 25–30 %, отражая новые тенденции и технологии быстро изменяющейся области компьютерных сетей. В то же время во всех изданиях сохраняется ядро, описывающее фундаментальные принципы и базовые механизмы современных сетевых технологий.
Я делаю VantageDNS, recursive DNS-resolver с фильтрацией. То есть прямой конкурент всех, про кого пишу ниже. Это, мягко говоря, неудобный жанр: писать сравнение продуктов, в котором ты сам участвуешь, это как быть судьёй на матче своей же команды.
Поэтому сразу два правила. Первое: свой продукт ставлю в самый конец, после всех. Второе: про себя пишу как сторонний инженер, без украшательства, и где я хуже, там пишу хуже. Если в финале вы почувствуете, что я всё-таки скатился в маркетинг, ругайте в комментариях, это будет справедливо.
Мне реально интересно, как выглядит расклад в 2026 году, потому что юзеры регулярно пишут в саппорт «а почему не NextDNS» или «а что там с AdGuard». Хочу один раз ответить нормально.
Поначалу некоторые из этих «вымыслов» могут показаться очевидными или неважными. Откровенно говоря, это не так уж далеко от истины. Однако позвольте мне нарисовать подробную забавную картину, демонстрирующую, что даже скучная электронная почта может неожиданным образом противоречить нашим ожиданиям.
Мы рассмотрим множество пограничных случаев, споткнёмся об маленькие препятствия и обнаружим, что некоторые технически корректные детали не всегда поддерживаются даже в больших системах наподобие Gmail (и, честно говоря, на то есть веские причины).
Не каждый пример будет полезным пограничным случаем, который вам обязательно нужно правильно обрабатывать. Но в конечном итоге я подведу вас к одному основному выводу: адреса электронной почты погрязли в легаси, а определения валидных и невалидных компонентов системы постепенно незаметно меняются.
Мы можем легко принять, казалось бы, здравое решение, которое неожиданно вызовет проблемы. Кроме того, многоопытные разработчики (и старые системы) могут иметь ожидания, ранее бывшие корректными, но больше не работающие. Итак, без лишних предисловий, перейдём к вымыслам…
Большинство материалов по Cisco, Linux и GNS3 до сих пор ориентированы на VMware Workstation.
В последнее время возникли две проблемы.
Во-первых, официальный сайт GNS3 недоступен напрямую с территории РФ, из-за чего скачивание необходимых компонентов превращается в отдельную задачу.
Во-вторых, GNS3 рекомендует использовать VMware Workstation, который также недоступен с территории России.
В этой статье покажу, как собрать полноценный стенд на компьютере под управлением Windows 11. Мы установим GNS3 и создадим виртуальные машины GNS3 VM и Ubuntu 26.04 LTS в гипервизоре Hyper-V.
В результате получим готовую площадку для изучения компьютерных сетей и Linux.
Пространство вокруг нас заполнено радиоволнами: телефоны, роутеры и тысячи других устройств непрерывно обмениваются данными по воздуху. Каждый раз, когда телефон получает сообщение, загружает видео или картинку, где-то рядом базовая станция раскладывает поток бит по времени и частотам, превращая данные в радиосигнал.
Спецификации LTE и 5G обычно написаны «для своих». Чтобы разобраться в них, приходится глубоко погружаться в физику, математику и обработку сигналов. Но мир телекома слишком красив, чтобы прятать его за этой сложностью. В этой статье попробуем шаг за шагом разобраться, как современные сети превращают данные в радиосигнал и передают их через пространство и время.
Привет, Хабр! На связи Станислав Канареев, руководитель лаборатории сетевого тестирования РТК-Сервис.
Второй год подряд мы проводим конкурс профессионального мастерства для сетевых инженеров по профилю «Монтаж». В этот раз конкурс прошел с важным отличием — все работы выполнялись исключительно на российском оборудовании.
В прошлые разы я разбирал, как мы встроили обход блокировок прямо в iOS-приложение: sing-box внутри бинарника, VLESS + Reality, relay как расходник, конфиг отдельно от сборки. Та статья закрывала ровно одну задачу: довести трафик мессенджера до сервера там, где прямое соединение режется.
Но в самом конце был честный абзац, который мне не давал покоя. Я написал тогда: туннель меняет то, как соединение выглядит для цензора по дороге, и не меняет того, кто стоит на концах. Оператор relay (в нашем случае мы сами) видит ваш трафик ровно так же, как его видел бы провайдер при прямом подключении.
Вот про эту дыру и будет текст. Она называется красиво: метаданные. На практике это означает, что один relay видит больше, чем должен. И мы её закрыли, не трогая боевой парк relay вообще. Без маркетинга, по делу.
Telegram запускает Digital Freedom Contest — конкурс для контент-креаторов с призовым фондом $200 000 (!). Задача: сделать вирусное видео про цифровую свободу, использовать идеи и кадры из речи Павла Дурова, выложить ролик в TikTok, Instagram, YouTube, Snapchat Spotlight или X и набрать минимум 10 000 органических просмотров.
Дедлайн — 15 июля, 23:59 по Дубаю. Результаты — в августе 2026 года.
Но у меня, как у человека из сообщества Telemt, есть один неприятный вопрос: ребята, а может сначала инфру пофиксите, на которой эта цифровая свобода вообще держится??
Вторая часть цикла статей о практическом применении Suricata IDS/IPS.
Рассмотрим базовые модификаторы Suricata на примерах DNS-запросов и на сетевых атаках. Уделим внимание механизму threshold для предотвращения флуда алертов.
Взяли один агент, один навык и одну выгрузку правил Ideco NGFW – и прогнали её через GigaChat Max и Claude Opus 4.8. Рассказываем, что из этого получилось, почему «настоящего» агентского теста не вышло и сколько всё это стоило в токенах и рублях.
Зачем мы это затеяли
В прошлой статье – «Пещера Аладдина для безопасника» – мы показывали, как автономный агент Hermes с открытой библиотекой Agent Skills разбирает IPS-логи и проводит аудит правил межсетевого экрана Ideco NGFW. Тогда мы сравнивали бесплатную фронтир-модель и платную Claude Opus и сделали осторожный вывод: для первичного triage хватает дешёвой модели, а для глубокого расследования лучше брать сильную.
Тот эксперимент оставил открытым один очевидный вопрос. Все «сильные» модели в нём были западными. А что покажет российская LLM на той же задаче?
Вопрос не праздный. Если вы – банк, госкомпания или объект КИИ, отправлять выгрузку правил вашего боевого файрвола в облако Anthropic – это в лучшем случае разговор с юристами, в худшем – прямое нарушение. GigaChat от Сбера работает в российском контуре, и если он справляется с аудитом конфигураций на приемлемом уровне, это меняет картину для целого класса заказчиков.
Поэтому мы взяли один и тот же агент (Hermes), один и тот же навык аудита и одинаковые входные данные – и подставили под него две модели: GigaChat Max и Claude Opus 4.8 (задумку с тестированием Claude Fable 5 для этой же задачи реализовать не удалось, со всеми нашими ИБ-скиллами он работать отказался, даже когда был доступен).
