Каждый маршрут ведет себя по-разному в зависимости от времени суток, загрузки сети, погоды (да, это влияет на спутниковые каналы) и других факторов. Традиционная маршрутизация выбирает путь на основе метрик BGP (AS Path, MED), но эти метрики не учитывают реальную задержку и джиттер.
Для рядового пользователя ЦОД — это место, где хранятся фотографии и обрабатываются запросы ИИ-помощников. Однако это сложнейший инженерный организм, функционирующий на стыке термодинамики, электротехники, гидравлики и цифровой логики. Под катом попробую за одну статью объяснить вам логику работы дата-центров и рассказать, что вообще означают магические Tier.
Привет! Меня зовут Виталий Шишкин, я эксперт продукта PT Container Security. За годы работы над продуктом MaxPatrol 10 мы строили аудит Linux на базе подсистемы auditd, которая решала свою задачу и достаточно просто настраивалась, но ситуация поменялась с появлением контейнеров, которые auditd корректно поддерживать не умеет. Поэтому эта задача потребовала не просто смену решения для аудита системы, но и создание целого продукта, который сможет учитывать особенности Kubernetes и используемые им технологии ядра Linux.
Можно использовать iperf3, но он про TCP и базовый UDP. Можно взять отдельные QUIC-библиотеки, но без визуализации и нагрузки. Можно написать кастомные симуляторы, но они не отражают реального поведения каналов. Хочешь проверить, как BBRv3 ведет себя на трассе Москва — Новосибирск? Пожалуйста, найди три сервера в разных дата-центрах, настрой netem, собери метрики вручную и надейся, что результаты будут воспроизводимы.
В этом тексте я бы хотел рассказать про простой бинарный протокол, который я сам придумал для всяческих нужд при разработке приборов на микроконтроллерах. Называется он TBFP (Trivial Binary Frame Protocol)
У мошенников нет ничего святого! Хакеры взялись за Google: подделка подписей теперь не обязательна, ведь можно заставить Google подписывать фишинговые письма валидным DKIM самостоятельно. Если раньше опытный ИБ-специалист мог сходу разобраться, где фишинговое письмо, а где — нет, сейчас это сделать в разы сложнее. И дело вовсе не в популярных нейронках, изощренном социальном инжиниринге или слитых базах.
Несем вам горячий кейс о том, как мошенники научились злоупотреблять настройкой OAuth-приложений, используя официальные инструменты Google для отправки поддельных писем от no-reply@accounts.google.com.
Спойлер: хотя Google уже устранил возможность вставлять произвольный текст в название OAuth-приложений, сама техника повторного использования легитимной DKIM-подписи никуда не делась. На её основе по-прежнему можно реализовать сценарии, позволяющие обходить DKIM-аутентификацию.
Такая вот незатейливая формула. Спрут 1 – это Test Access Point и Data Diode в одном флаконе. КДПВ перед Вами.
Привет Хабр! Меня зовут Алексей и я занимаюсь беспроводными технологиями. Не так давно я рассказывал, как собрать прошивку OpenWRT без image builder. В этой статье мы повысим планку и попробуем собрать и прошивку, и image builder для модели роутера с частичной поддержкой OpenWRT. Под частичной поддержкой я понимаю то, что для данной конкретной модели роутера поддержки нет, но она есть для платформы. Экспериментировать я буду с реальным устройством - это Wi-Fi 7 роутер, полученный от китайского производителя. Вместе с роутером производитель предоставил нам необходимую документацию и DTS файл. Заранее хочу предупредить, что производитель просил не раскрывать название модели и не тиражировать его DTS файл. Поэтому часть информации на скриншотах я заблюрирую.
Эти выходные прошли под эгидой Connection Reset. Пока новостные каналы писали расплывчатое «пользователи жалуются на сбои», мы в чатах и на тестовых стендах пытались понять физику процесса.
Жили‑были несколько серверов, в разных локациях. Сколько именно — это непринципиально, поэтому упростим, пусть будет два: A и B.
Каждый занимался своими задачами, а между собой они были соединены виртуальной приватной сетью (ну, то, что теперь нельзя называть).
Причем сеть эта использовалась по своему прямому назначению — просто обеспечить передачу локального трафика через публичные сети, дабы посторонние не совали в него свой любопытный клюв.
Однако, с некоторых пор начались проблемы: одна известная организация начала ломать рунет, блокируя соединения то там, то тут.
Сначала заблокировали один протокол — пришлось переходить на другой. Потом заблокировали другой — пришлось переходить на третий.
Третий периодически рвался, потому что начали портить уже соединения между сетями: через одного провайдера канал есть, через другого нет, потом меняются.
Как вы понимаете, нормальной работе это отнюдь не способствовало, пришлось искать какое‑то решение. А ведь оно давно известно — динамическая маршрутизация!
Просто до поры она, казалось бы, совсем тут не нужна — не те масштабы, да и работало всё прекрасно...
Независимая лаборатория CloudBridge Research открывает инструменты и результаты исследований QUIC, MASQUE, BBRv3 и FEC. В статье — практический опыт измерения задержек и джиттера на межрегиональных трассах, ссылки на открытые стенды и приглашение университетов, компаний и open-source проектов к совместным экспериментам.
Перед вами детальный разбор TCP — движущей силы интернета, в котором мы шаг за шагом рассмотрим принципы этой технологии на подробных примерах.
Интернет — невероятное изобретение. Людей от него за уши не оттащишь. Вот только есть у этого изобретения проблемы с надёжностью — пакеты теряются, каналы перегружаются, биты путаются, а данные повреждаются. Ох, какой же опасный мир! (Буду писать в духе Крамера).
Хорошо, почему же тогда наши приложения вот так просто работают? Если вы выводили своё приложение в сеть, то процесс вам знаком: socket()/bind() здесь, accept() там, возможно, connect() вон там и, вуаля — данные надёжно текут в обе стороны упорядоченным и целостным потоком.
Сайты (HTTP), сервисы e-mail (SMTP) или удалённый доступ (SSH) — всё это построено на основе TCP и просто работает.
Я уже писал, что всестороннее тестирование является критической необходимостью для обеспечения киберустойчивости. Сейчас хотел бы показать, как этот принцип применяется в условиях, когда ИТ-системы развиваются с беспрецедентной скоростью, а изменения вносятся постоянно. Возникает парадокс: чем быстрее мы внедряем новое, тем выше риск сбоев. Аналитики отмечают, что общее количество инцидентов в критически важных сервисах неуклонно растет. Как же управлять этим "хаосом изменений" и обеспечить стабильность 24/7?
Сцепка Родичкина: Концепция бестопливного удержания спутниковых группировок на сверхнизких орбитах (VLEO)
Привет, Хабр. Это дайджест по сетям и кибербезопасности: от DevSecOps и защиты Kubernetes до пентеста, SOC, SIEM и дизайна сетей ЦОД. Мы собрали открытые уроки и курсы, которые помогают не просто «держать инфраструктуру в зелёном», а проектировать её с учётом современных угроз, требований регуляторов и реальных атак. Если вы отвечаете за устойчивость сервисов, безопасность данных или развитие корпоративной инфраструктуры — здесь можно точечно закрыть пробелы в навыках или выстроить для себя системный маршрут обучения.
Quake, выпущенный в июне 1996 года, за срок своей жизни был вынужден оседлать три технологические волны. Наряду с появлением карт аппаратного 3D-ускорения и развитием Интернета, сложности у разработчиков игры вызвала и смена поколений операционных систем.
Стремясь к распространению Windows 95 и Windows NT, Microsoft начала процесс замены своей старой операционной системы MS-DOS. С 1996 по 1997 год доля DOS на рынке упала на 50%. Некоторые разработчики, например, Blizzard North, делали рискованный шаг и создавали игры наподобие Diablo только для Windows 95. Компания id Software же пошла на подвиг по созданию единого двоичного файла quake.exe, способного работать и в DOS, и в Windows.
Ещё более впечатляет то, что разработчикам удалось реализовать стек TCP/IP Quake лучше, чем у Windows 95. Давайте разберёмся, как им это удалось.
«Запад тоже следит!» - главный аргумент сторонников установки отечественных сертификатов
Сегодня я на пальцах докажу, почему это сравнение некорректно. Сравним два вектора MITM-атаки:
Глобальный (АНБ): Требует взлома математики или сговора с публичным CA, который тут же спалится через логи CT
Локальный (Минцифры): Требует... просто вашего согласия на установку сертификата.
Как браузеры (Chromium-based) молча отключают строгие проверки для «ручных» сертификатов и почему Саша из Минска не нужен Трампу, но очень интересен товарищу майору.
Сетевой протокол канального уровня Spanning Tree достаточно широко распространен в современных сетях. Его используют для борьбы с закольцовыванием сетевой топологии. Однако, STP не позволяет полностью использовать каналы, к которым подключены несколько линков. Плюс к этому у STP относительно большое время сходимости и необходимость передавать трафик через корневой коммутатор, то есть единая точка отказа.
В качестве одной из альтернатив Spanning Tree можно воспользоваться MLAG. Multi-Chassis Link Aggregation (MLAG) — технология, обеспечивающая балансировку нагрузки и надежность каналов. В этой статье рассматриваются значение, важность и потенциальные варианты использования MC-LAG на различных уровнях сети.
А вот кстати еще один способ подключить IPv6, без регистрации у туннельных брокеров, даже если хостер не выдает адресов:
Для обычных IPv4-адресов выделена специальная сеть в формате IPv6, адреса в ней имеют вид 2002:XXXX:XXXX::/48.
То есть, если у вас есть выделенный 1 IP-адрес - считайте, что вам выделена и вот такая сеть IPv6, или 65536 подсетей /64 - просто вам об этом забыли рассказать.
Всем привет! На связи Сергей Баширов, ведущий разработчик из R&D-команды Cloud.ru. Сегодня поговорим о фильтрах чтения и отображения в TShark. Поделюсь лайфхаком: как быстро и просто посмотреть доступные поля для любого протокола без AI-ассистентов и поиска. Но сначала пара слов о том, как я докатился до такой жизни.
Статья будет интересна тем, кто хочет анализировать сетевой трафик в командной строке или в скрипте. Этот навык может пригодиться как в процессе разработки и отладки, так и в процессе тестирования программ. Ведь современные приложения и сервисы сложно представить без сетевых функций.
