Сетевые технологии *

Жили‑были несколько серверов, в разных локациях. Сколько именно — это непринципиально, поэтому упростим, пусть будет два: A и B.

Каждый занимался своими задачами, а между собой они были соединены виртуальной приватной сетью (ну, то, что теперь нельзя называть).
Причем сеть эта использовалась по своему прямому назначению — просто обеспечить передачу локального трафика через публичные сети, дабы посторонние не совали в него свой любопытный клюв.

Однако, с некоторых пор начались проблемы: одна известная организация начала ломать рунет, блокируя соединения то там, то тут.
Сначала заблокировали один протокол — пришлось переходить на другой. Потом заблокировали другой — пришлось переходить на третий.
Третий периодически рвался, потому что начали портить уже соединения между сетями: через одного провайдера канал есть, через другого нет, потом меняются.

Как вы понимаете, нормальной работе это отнюдь не способствовало, пришлось искать какое‑то решение. А ведь оно давно известно — динамическая маршрутизация!
Просто до поры она, казалось бы, совсем тут не нужна — не те масштабы, да и работало всё прекрасно...

Независимая лаборатория CloudBridge Research открывает инструменты и результаты исследований QUIC, MASQUE, BBRv3 и FEC. В статье — практический опыт измерения задержек и джиттера на межрегиональных трассах, ссылки на открытые стенды и приглашение университетов, компаний и open-source проектов к совместным экспериментам.

Перед вами детальный разбор TCP — движущей силы интернета, в котором мы шаг за шагом рассмотрим принципы этой технологии на подробных примерах.

Интернет — невероятное изобретение. Людей от него за уши не оттащишь. Вот только есть у этого изобретения проблемы с надёжностью — пакеты теряются, каналы перегружаются, биты путаются, а данные повреждаются. Ох, какой же опасный мир! (Буду писать в духе Крамера).

Хорошо, почему же тогда наши приложения вот так просто работают? Если вы выводили своё приложение в сеть, то процесс вам знаком: socket()/bind() здесь, accept() там, возможно, connect() вон там и, вуаля — данные надёжно текут в обе стороны упорядоченным и целостным потоком.

Сайты (HTTP), сервисы e-mail (SMTP) или удалённый доступ (SSH) — всё это построено на основе TCP и просто работает.

Я уже писал, что всестороннее тестирование является критической необходимостью для обеспечения киберустойчивости. Сейчас хотел бы показать, как этот принцип применяется в условиях, когда ИТ-системы развиваются с беспрецедентной скоростью, а изменения вносятся постоянно. Возникает парадокс: чем быстрее мы внедряем новое, тем выше риск сбоев. Аналитики отмечают, что общее количество инцидентов в критически важных сервисах неуклонно растет. Как же управлять этим "хаосом изменений" и обеспечить стабильность 24/7?

Сцепка Родичкина: Концепция бестопливного удержания спутниковых группировок на сверхнизких орбитах (VLEO)

Привет, Хабр. Это дайджест по сетям и кибербезопасности: от DevSecOps и защиты Kubernetes до пентеста, SOC, SIEM и дизайна сетей ЦОД. Мы собрали открытые уроки и курсы, которые помогают не просто «держать инфраструктуру в зелёном», а проектировать её с учётом современных угроз, требований регуляторов и реальных атак. Если вы отвечаете за устойчивость сервисов, безопасность данных или развитие корпоративной инфраструктуры — здесь можно точечно закрыть пробелы в навыках или выстроить для себя системный маршрут обучения.

Quake, выпущенный в июне 1996 года, за срок своей жизни был вынужден оседлать три технологические волны. Наряду с появлением карт аппаратного 3D-ускорения и развитием Интернета, сложности у разработчиков игры вызвала и смена поколений операционных систем.

Стремясь к распространению Windows 95 и Windows NT, Microsoft начала процесс замены своей старой операционной системы MS-DOS. С 1996 по 1997 год доля DOS на рынке упала на 50%. Некоторые разработчики, например, Blizzard North, делали рискованный шаг и создавали игры наподобие Diablo только для Windows 95. Компания id Software же пошла на подвиг по созданию единого двоичного файла quake.exe, способного работать и в DOS, и в Windows.

Ещё более впечатляет то, что разработчикам удалось реализовать стек TCP/IP Quake лучше, чем у Windows 95. Давайте разберёмся, как им это удалось.

«Запад тоже следит!» - главный аргумент сторонников установки отечественных сертификатов

Сегодня я на пальцах докажу, почему это сравнение некорректно. Сравним два вектора MITM-атаки:

Глобальный (АНБ): Требует взлома математики или сговора с публичным CA, который тут же спалится через логи CT

Локальный (Минцифры): Требует... просто вашего согласия на установку сертификата.

Как браузеры (Chromium-based) молча отключают строгие проверки для «ручных» сертификатов и почему Саша из Минска не нужен Трампу, но очень интересен товарищу майору.

Сетевой протокол канального уровня Spanning Tree достаточно широко распространен в современных сетях. Его используют для борьбы с закольцовыванием сетевой топологии. Однако, STP не позволяет полностью использовать каналы, к которым подключены несколько линков. Плюс к этому у STP относительно большое время сходимости и необходимость передавать трафик через корневой коммутатор, то есть единая точка отказа.

В качестве одной из альтернатив Spanning Tree можно воспользоваться MLAG. Multi-Chassis Link Aggregation (MLAG) — технология, обеспечивающая балансировку нагрузки и надежность каналов. В этой статье рассматриваются значение, важность и потенциальные варианты использования MC-LAG на различных уровнях сети.

А вот кстати еще один способ подключить IPv6, без регистрации у туннельных брокеров, даже если хостер не выдает адресов:

Для обычных IPv4-адресов выделена специальная сеть в формате IPv6, адреса в ней имеют вид 2002:XXXX:XXXX::/48.
То есть, если у вас есть выделенный 1 IP-адрес - считайте, что вам выделена и вот такая сеть IPv6, или 65536 подсетей /64 - просто вам об этом забыли рассказать.

Всем привет! На связи Сергей Баширов, ведущий разработчик из R&D-команды Cloud.ru. Сегодня поговорим о фильтрах чтения и отображения в TShark. Поделюсь лайфхаком: как быстро и просто посмотреть доступные поля для любого протокола без AI-ассистентов и поиска. Но сначала пара слов о том, как я докатился до такой жизни.

Статья будет интересна тем, кто хочет анализировать сетевой трафик в командной строке или в скрипте. Этот навык может пригодиться как в процессе разработки и отладки, так и в процессе тестирования программ. Ведь современные приложения и сервисы сложно представить без сетевых функций.

Всем привет! Меня зовут Николай Губин, являюсь Backend-разработчиком в Авито уже четыре года. Я тот, кто за пятнадцать лет пережил несколько революций в индустрии, каждая из которых выглядела как конец безбедной и счастливой жизни каждого разработчика. В этой статье поделюсь своим субъективным мнением на самый холиварный вопрос: с развитием ИИ что ждет IT- специалистов? Закат или новое начало?

Привет! 

Это снова IT Elements. Надеемся, вы скучали. 

3,5 тыс. участников офлайн, 110 тыс. онлайн-зрителей, 200 спикеров, 6 залов и 108 часов экспертного контента — это если кратко об итогах конфы, масштабы в этом году были нешуточные 🙂  

На мероприятии своим опытом делились все — от топ-менеджеров крупных банков и промышленных предприятий до опытных инженеров, имеющих занимательные кейсы. Кстати, если вы хотите стать спикером в следующем году, следите за обновлениями в нашем TG-сообществе, мы заранее откроем Call For Papers.

Под катом — записи докладов и круглых столов из двух главных залов, а также презентации спикеров. Позже соберем подборки и из тематических павильонов, в которых не велось онлайн-трансляций, но было лампово. 

На сегодняшний день Active Direvtory является неотъемлемой частью функционирования любой корпоративной сети под управлением Windows. Протокол Kerberos используется в инфраструктуре Active Directory (AD) для аутентификации пользователей и сервисов. В этой статье мы поговорим о том, как работает этот протокол, и рассмотрим типовые атаки на него.

В этой статье рассказано как подружить pppd и dumbproxy, получив в итоге PPP-тоннель внутри HTTP/2. Её можно одновременно рассматривать как руководство по настройке, журнал эксперимента, демо возможностей dumbproxy и просто пищу для удовлетворения любопытства.

Недавно в ходе рутинной разведки угроз я наткнулся на необычную фишинговую страницу, которая комбинирует социальную инженерию и коварный payload под видом обычной JPEG-картинки, убеждая пользователя самостоятельно выполнить вредоносный код. 

В типичных сценариях злоумышленники пытаются заставить жертву скачать исполняемый файл из сети — но тут всё хитрее. Страница прячет в кэше браузера вредоносный файл, замаскированный под изображение, а затем просит жертву выполнить «безобидную» команду, которая извлекает payload из кэша. В результате получаем локальный запуск кода, который не фиксируется средствами сетевого мониторинга. 

По сути, атака умело сочетает две техники: принуждение к локальному исполнению (ClickFix/FileFix) и контрабанду кэша (Cache Smuggling). В статье я подробно разберу каждый из этих приемов и покажу, как можно сделать доставку полезной нагрузки еще более незаметной.

Привет, Хабр! Меня зовут Егор Карамышев, в YADRO я разрабатываю ПО для коммутаторов семейства KORNFELD. В статье расскажу о реализованной нами С++ обертке для управления сетевой подсистемой Linux на основе протокола Netlink и библиотеки libnl3. В некоторых случаях она позволила  на порядок ускорить работу функций конфигурирования. Разберемся, почему мы решили отказаться от подхода с системными вызовами, а также посмотрим на результаты временных тестов.

Всем привет, меня зовут Володя. Я работаю в Yandex Infrastructure и занимаюсь развитием систем балансировки нагрузки. В статье расскажу, как развивалась наша новая система управления конфигураций с момента её создания в 2018 году, а ещё о том, как мы переходили на новый Data Plane балансировки и какие новые интересные вызовы это породило с точки зрения массовости задач и управления ресурсами. 

Опишу новые проблемы и особенности, в том числе планирование ресурсов для большого динамичного парка клиентов. Также обсудим, какие бывают долговременные негативные последствия у слишком удобных систем балансировки нагрузки и что мы планируем с этим делать.

Продолжаем нашу серию статей с разбором работы Китайского Firewall'а (GFW). В этой статье углубимся в техническую часть этой системы

В 2022 году финансовый сектор, в частности банки, столкнулся с волной продолжительных и достаточно мощных DDoS-атак разных векторов. Среди них были и банальные L7 HTTP-флуды, не представлявшие собой ничего сложного в техническом плане, но для организаций с несколькими сотнями пользовательских сервисов и защитой от L7-атак только критичных из них, это стало серьезным вызовом.

Типичная L4-защита не давала необходимой эффективности, а количество атакующих устройств было достаточно, чтобы забить каналы пропускной способностью в десятки гигабит. Тогда на помощь пришла фильтрация трафика по географическому признаку, поскольку основная часть атакующего трафика шла из-за границы. Применение гео-фильтрации оказалось достаточным, чтобы в критический момент восстановить доступность сервисов и выиграть время для настройки более точной защиты на основе детального анализа трафика.

Этот опыт наглядно показал, что иногда простые решения оказываются наиболее эффективными в критических ситуациях. Гео-фильтрация, будучи грубым инструментом, в условиях DDoS-атаки может стать тем самым «спасательным кругом», который позволяет локализовать проблему и выиграть время для более тонкой настройки.

Технология XDP (eXpress Data Path) идеально подходит для таких сценариев — она позволяет обрабатывать пакеты на самом раннем этапе, еще до того, как они попадут в сетевой стек ядра, что обеспечивает беспрецедентную производительность.

Данной статьей хочется продемонстрировать, как с помощью XDP можно достаточно легко реализовать собственный гео-фильтр. Эту защиту можно реализовать, например, модулями nginx, но в таком случае все нежелательные запросы будут проходить полный сетевой стек операционной системы и потреблять ресурсы веб-сервера, прежде чем быть отклоненными. В нашем же случае защита отрабатывает до того, как пакеты поступят в сетевой стек ядра.