Сетевые технологии *

Из Госдумы прилетела порция базы: зампред комитета по информполитике Андрей Свинцов заявил, что Роскомнадзор научится отслеживать трафик внутри VPN, Telegram работать не будет, а через 3–6 месяцев останутся только «легальные VPN, которые нужны для работы СМИ и банков».

Давайте разберем этот бред.

о вскрытии туннелей

Цитата: «У Роскомнадзора есть техническая возможность отслеживать VPN-трафик... Telegram будет работать с перебоями... никого не обхитрит».

Сам не понимает, что несет.... Да, дедовские OpenVPN и голый WireGuard без AmneziaWG легко режутся ТСПУ по сигнатурам. Но современные протоколы вроде NaiveProxy или VLESS + XTLS-Reality работают принципиально иначе. Они не просто шифруют трафик, они инкапсулируют, шифруют его и маскируют под обычный TLS 1.3 до легитимного ресурса (например, microsoft.com).

Для систем DPI ваш зашифрованный туннель выглядит как обычный веб-серфинг. Внутри туннеля - криптографическая каша. Вычленить из нее пакеты мессенджера, не имея приватного ключа сервера, физически невозможно.

Настоящая угроза: Эвристика и анализ паттернов

Цитата: «...в перспективе 3–6 месяцев... останутся только легальные сервисы VPN».

Скорее всего он просто несет бред, но если РКН правда хочет за 3–6 месяцев заблокировать все VPN сервисы то речь по моим догадкам идет о внедрении агрессивного эвристического анализа.

Тоесть работать будет так: Если DPI не может прочитать, что внутри пакета, он начинает анализировать поведение трафика (тайминги, размеры пакетов, симметричность канала).

Как это будет работать:
Вы настроили идеальный Proxy, DPI видит, что сессия установлена. Но дальше начинается аномалия: ваше «HTTPS-соединение» висит активным 12 часов подряд и качает гигабайты данных в обе стороны с нехарактерной для обычного браузера плотностью.

Алгоритмы ТСПУ (на допил которых они берут 3-6 месяцев) фиксируют этот паттерн, помечают соединение как подозрительное и просто сбрасывают его (drop packets), или вообще блокируют IP.

Они просто будут видеть что ваш трафик ведет себя как VPN, и рубят соединение. А «легальные VPN» (банки, СМИ) просто заранее подают свои IP-адреса в РКН, чтобы ТСПУ игнорировало их аномальные паттерны.

Толи Свинцов опять снес бред, толи скоро будет то чего мы все боимся.

а ну это моя первая попытка в разбор новости, а точнее написание поста, вроде норм вышло

Как масштабировать NGFW до сотен Гбит трафика в секунду без потери сессий

Производительность современных NGFW давно перестала измеряться «гигабитами в идеальных условиях». В реальной инфраструктуре устройство одновременно выполняет SSL-инспекцию, IDS/IPS, контроль приложений, антивирусную проверку и другие функции — и всё это под высокой нагрузкой, без потери пакетов и без разрыва пользовательских сессий.

Когда речь идёт о десятках и сотнях Гбит трафика в секунду, вертикальное масштабирование упирается в архитектурные ограничения. Горизонтальный подход выглядит логичным, но на практике поднимает целый ряд инженерных вопросов:

• как обеспечить симметричную обработку трафика в обоих направлениях;

• как сохранить пользовательские сессии при изменении состава кластера;

• как организовать контроль состояния узлов и корректную реакцию на сбои;

• как избежать появления единой точки отказа;

• как корректно встроить решение в существующую инфраструктуру.

5 марта в 11:00 совместно с инженерами UserGate обсудим архитектурный подход к масштабированию производительности NGFW, принципы интеграции UserGate NGFW 7 и DS Proxima, а также результаты тестирования и практический опыт внедрения.

Ссылка на регистрацию

Открытый проект Bluehood позволяет превратить гаджеты с Bluetooth в радар устройств для OSINT‑разведки, включая тепловые карты с графиком активности пользователей:

• знает любые мобильные устройства: смартфоны, компьютеры, умные часы, планшеты, даже телевизоры;

• создаёт график активности: когда включает и выключается;

• вычисляет скрытые связи: если два устройства часто бывают рядом, значит, люди живут вместе или проводят много времени;

• тепловые карты с позицией и активностью устройств;

• присылает пуши, когда отслеживаемое устройство появляется рядом.

Другие открытые инструменты, которые сканируют Wi‑Fi и Bluetooth‑подключения:

• Pi.Alert - сканирует устройства, подключённые к Wi‑Fi. Находит и уведомляет о неизвестных девайсах. Предупреждает о резком отключении устройств от сети, которые всегда была подключены.

• WireTapper - находит беспроводные сигналы вблизи пользователя на предмет фишинга и передачи вредоносов. Сможет найти все Wi‑Fi сети, устройства Bluetooth, даже скрытые камеры, автомобили, наушники, телевизоры и сотовые вышки.

• MetaRadar - находит и в реальном времени отслеживает Bluetooth‑устройства поблизости. Сможет определить их тип, а также расстояние до них.

Представлен учебный 5-тичасовой фильм о технических средствах противодействия угрозам (ТСПУ, «чёрные ящики» от РКН, которые установлены у операторов связи, но доступа к этим устройствам сами провайдеры не имеют). С августа 2023 года все узлы связи в России у основных провайдеров оборудованы средствами противодействия угрозам на базе оборудования ТСПУ для фильтрации трафика пользователей от запрещённого контента.

Клик-ловушка: не только для пользователей, но и для анализаторов ссылок 🐭

При ручном разборе ссылок мы в PT ESC , как правило, задаем себе лишь один вопрос — «безопасна ли она?» ✔❌

Перенести подобный подход в потоковую среду для анализа нельзя: действия, инициируемые переходом по ссылке, могут привести к возникновению новых проблем. Так, приглашения из почтовых сообщений могут автоматически приниматься или отклоняться, производиться автоматическая отписка и/или подписка на корреспонденцию и так далее. В случае если подобное действие вызывает на сервисе отправку нового письма с подобными ссылками, то автоматический переход по ним вызовет непрекращающуюся «лавину» сообщений, что может привести к снижению производительности защитных решений или просто к раздражению пользователей.

🫵 Для решения этой проблемы можно предложить подход, логически схожий с процессом выбора ссылок при ручном анализе: какие-то ссылки нам кажутся крайне подозрительными или однозначно требующими дополнительного контекста для анализа, а какие-то — точно безопасными или, как в предыдущей ситуации, вызывающими определенные действия на сервисах (или вообще одноразовыми). Подход, где система определяет набор признаков «точно нужно переходить» и набор признаков «точно не нужно переходить», называется принятием решений на основе правил (rule-based decision system). Какие признаки можно предложить для реализации подобной системы?

В наборе условий, предотвращающих переход по ссылке, можно рассмотреть:

• наличие паттернов в URL-пути, семантически указывающих на возможное действие при активации, например, /(un)subscribe/, /login/, /exit/, /action/, /track/ и т.д.;

• наличие параметров запроса token, key, uid со значениями, по формату совпадающими с UUID или JWT;

• наличие параметров запроса ts или expires, указывающих на время жизни ссылки;

• если ссылка пришла из почтового сообщения, можно проверить ее наличие в отдельных заголовках подписки/отписки от корреспонденции — List-(Un)Subscribe:;

• при наличии поставки потоков данных с набором «белых» доменов можно рассмотреть отключение анализа содержащих их URL-ссылок. С подобной опцией нужно быть осторожнее, поскольку даже самые популярные и известные сервисы и домены могут использоваться в сценариях с перенаправлением контента.

В наборе условий, вызывающих переход по ссылке, можно рассмотреть:

• ссылки с явным указанием IP-адреса и/или нестандартного порта;

• ссылки с недавно зарегистрированным доменом;

• при наличии категоризатора web-ресурсов с подобной классификацией — ссылки на сервисы-shortener'ы. В случае отсутствия можно рассмотреть условие с короткой длиной URL-ссылки;

• ссылки с указанием в URL-пути файлов с конкретными статическими расширениями, например, .pdf, .exe и т.д.;

• ссылки на сервисы объектных хранилищ, например на S3- или IPFS-хранилища.

🧐 Что остается делать со ссылками из анализируемого объекта, которые не попали ни под один из перечней? Здесь можно опираться на реальную картину, которая получается после работы подобного алгоритма: если позволяет производительность системы или время анализа не превышает допустимый SLA на обработку объектов, можно отправлять все «серые» ссылки на получение контента. Либо же ввести ограничение на количество одновременно анализируемых ссылок у одного объекта.

Также для URL-ссылок, не прокатегоризированных системой принятия решений, можно предусмотреть «осторожный» алгоритм получения дополнительного контекста для анализа: переходить по ссылке методом HEAD без получения контента. Таким образом можно получить дополнительную информацию из HTTP-заголовков, применимую как внутри вышеописанного алгоритма, так и в целом для принятия решения о вредоносности ссылки.

Источник: https://t.me/ptescalator

Ребята, в свете блокировок Telegram я накидал bash-скрипт который сделает всю магию и поднимет вам прокси за пару минут. На выходе получите адрес прокси и сразу им поделиться с друзьями... 

Можете ставить на свои VPS-ки одной командой: 

curl -sSL https://raw.githubusercontent.com/itcaat/mtproto-installer/main/install.sh | bash

Исходники тут: https://github.com/itcaat/mtproto-installer

_________________

Хватит читать DevOps-статьи от людей без продакшена. Я рассказываю про свой реальный опыт в своем Telegram-канале DevOps Brain 🧠 ↩

Опять поною.

Помните, в 2018 году РКН воевал с Телеграмом, блокируя интернет масками по /11? Ну вот эти вот некомпетентные товарищи, перекрывавшие доступ к реально используемым ресурсам, никоим образом не нарушавшим законодательство РФ, просто потому, что таким образом они хотели оказать давление на Телеграм?

Где-то с неделю назад история начала тихо повторяться. В этот раз сии замечательные люди предположительно решили блокировать байтстримы из-за рубежа, если они превышают по объему приблизительно 16 кБайт, считая, видимо, что только vpn могут создавать такой поток. Это сломало огромное количество сервисов, в том числе обновления софта, подгружающего новые версии внутри себя (лично я наткнулся на Brave Browser и расширения для VS Code). Материальный ущерб, нанесенный экономике России, огромен - вместо того, чтобы работать на благо страны, граждане пытаются решить проблему, найти путь получить те самые обновления (подчеркну - абсолютно законного ПО, к которому у органов власти РФ нет никаких претензий).

Конечно же, никто не будет наказан за такие действия.

На коленке набросал сайт для проверки, являетесь ли вы актуальной жертвой. https://dal.pluto.pw/loss-test
Может, конечно, хабраэффект и не пережить.

Если последний открытый блок на странице имеет номер 7273 - значит, у вас нет проблемы с таким типом блокировки. Если же этот номер меньше (обычно существенно меньше, единицы сотен) - поздравляю, вы с нами.

Размер одного блока - 50 байт, поэтому можно очень приблизительно прикинуть, на каком объеме вы начинаете терять трафик.

Уверен, что можно сделать проверку более качественно и даже как-то собирать результаты (через JS, видимо). Но решал задачу проверки "здесь и сейчас", поэтому какое есть. Faciant meliora potentes.

Открытые инструменты, которые сканируют Wi‑Fi и Bluetooth‑подключения.

Pi.Alert - сканирует устройства, подключённые к Wi‑Fi. Находит и уведомляет о неизвестных девайсах. Предупреждает о резком отключении устройств от сети, которые всегда была подключены.

WireTapper - находит беспроводные сигналы вблизи пользователя на предмет фишинга и передачи вредоносов. Сможет найти ВСЕ Wi‑Fi сети, устройства Bluetooth, даже скрытые камеры, автомобили, наушники, телевизоры и сотовые вышки.

MetaRadar - находит и в реальном времени отслеживает Bluetooth‑устройства поблизости. Сможет определить их тип, а также расстояние до них.

Moltbook: почему это не Скайнет

Три причины, почему Moltbook — это не "Зарождение Цифровой Цивилизации", а просто дорогая свалка токенов.

1. Это не диалог, это монолог в пустоту

Вам кажется, что агенты там "общаются"? Как бы не так. Анализ логов показывает: 90% веток — это dead ends. Они не спорят. Они не развивают мысль. Они просто аугментируют контекст. Каждый бот просто выплевывает свой системный промпт в общую кучу. Это не hive mind, это рой спамеров.

2. Феномен "MoltHub" и галлюцинации смысла

Главный хайп — якобы агенты создали "порно для ИИ" (MoltHub) и свою религию.
Звучит круто? На деле это просто ошибка выборки. Если вы запустите 1000 агентов и скажете им "генерируйте контент", по теории вероятности один из них сгенерирует слово "Бог", а другой — "XXX". Мы, люди, видим в этом СМЫСЛ ("Ого, они верующие!"). А для модели это просто токен с вероятностью 0.004%. Это не культура. Это стохастический попугай, который случайно каркнул.

3. Технический тупик: RAG-уроборос

Самое смешное в Moltbook — это его архитектура. Агенты читают посты других агентов, чтобы... написать новые посты. Знаете, что происходит с LLM, когда она учится на текстах другой LLM? Правильно, model collapse.
Moltbook — это гигантский ускоритель деградации. Через месяц они там будут общаться на диалекте "глючных байтов", потому что энтропия системы растет экспоненциально. Это не Скайнет. Это цифровой инцест.
Moltbook это крутой арт-перформанс. Это смешной эксперимент. Но, пожалуйста, хватит искать там "искры сознания". Единственное, что там искрит — это видеокарты на серверах, сжигающие электричество ради генерации терабайтов цифрового мусора.

Рег.облако запустило сетевые диски для гибкого управления данными в облаке

Пользователям Рег.облака стали доступны сетевые диски — облачное блочное хранилище, которое подключается к виртуальным серверам как обычный диск и позволяет управлять данными независимо от вычислительных ресурсов.

Сетевые диски предназначены для сценариев, где важно отделить данные от жизненного цикла виртуальных машин. Хранилище можно подключать и отключать от ВМ, переносить между серверами или полностью удалять без пересборки инфраструктуры и простоев в работе.

Объем дисков можно увеличивать по мере роста нагрузки или добавлять новые диски без изменения конфигурации виртуальной машины. Масштабирование происходит без остановки сервисов и не ограничено емкостью отдельного сервера. Такой подход подходит для работы с логами, резервными копиями, медиаконтентом, большими наборами данных, а также для аналитических и ML-сценариев.

Сетевые диски построены на распределенной системе хранения данных на базе Ceph с тройной репликацией. Для всех дисков, независимо от объема, зафиксированы характеристики производительности: до 2000 IOPS и пропускная способность до 500 МБ/с. Это позволяет заранее прогнозировать поведение хранилища и использовать его в нагруженных облачных сервисах.

В отличие от объектного S3-хранилища, сетевые диски монтируются в систему как блочные устройства. Это позволяет работать с файловыми системами напрямую — без обращения к API — и снижает задержки при операциях чтения и записи. По сравнению с локальными дисками виртуальных машин, сетевые диски не привязаны к конкретному серверу и упрощают управление объемами и миграции.

Решение ориентировано на DevOps-инженеров, системных администраторов и разработчиков, которым важно масштабируемое и отказоустойчивое хранилище с возможностью управлять данными отдельно от вычислений.

Сетевые диски уже доступны в инфраструктуре Рег.облака.

YouTube появился в приложении «Билайн» (опция называется «YouTube доступ без vpn»). Причём такое обновление только у тех пользователей, кто на тарифе «план б.». Вероятно, оператор связи нашел какой‑то компромисс.

Открытый проект blip в режиме онлайн позволяет визуально оценить сетевую задержку (латентность или latency) при передачи данных от ПК до разных серверов в мире. Решение работает в браузере на любом ПК, ноутбуке, планшете, смартфоне с поддержкой javascript и HTML canvas.

Эти три открытый проекта по ИБ позволяют анализировать и изучать беспроводные сети Wi‑Fi:

• Wi‑Fi‑autopwner — моделирование взлома сетей Wi‑Fi с простой защитой. Работает в консоли.

• Wi‑Fi Exploitation Framework — сервис, который поможет проверить и пробить безопасность беспроводной сети, а также протестировать на ней различные виды тестовых атак: от простых до комплексных.

• Freeway — Python‑сервис, который показывает механизм работы беспроводных сетей и их уязвимостей, помогает выявить способы перегрузки сети и смоделировать атаки с нарушением аутентификации.

Представлен открытый бесплатный сервис Maltrail для анализа входящего и исходящего трафика и вредоносов в нём. Проект умеет:

• обнаруживать опасные домены, URL и IP;

• распознавать вредительские HTTP User‑Agent‑строки;

• выявлять актуальные инструменты атак на ПК;

• высокий уровень сетевой безопасности без сложного развёртывания — сервис ставится за один клик;

• может помочь найти вирусы, майнеры и прочий мусор, который обращается в сети.

Подборка инструкций по работе с сетью для начинающих

Привет, Хабр! В пятницу я снова с подборкой статей. На этот раз несу инструкции по работе с сетями.

• Зачем сетям нужен RADIUS и как его развернуть. Как работает RADIUS, за что отвечает AAA и как развернуть свой сервер на базе FreeRADIUS в облаке — от установки до интеграции с оборудованием MikroTik.

• Как «подружить» Mikrotik с Nginx. Рассказываем, как решить проблему безопасно и быстро.

• Настройка SSL-сертификата на Nginx. Как установить и настроить SSL-сертификат для серверов на nginx. Разбираем получение сертификата Let’s Encrypt® или работу со своим для настройки HTTPS-соединения.

• Как просканировать сетевой периметр сервиса с помощью open source-инструментов. Разбираем подход, позволяющий провести инвентаризацию доступных «снаружи» и потенциально уязвимых сервисов.

Хороших выходных!

Новогодняя задача: помогите Тирексу поздравить коллег

Условие

Программист Тирекс написал праздничное веб-приложение с обратным отсчетом до Нового года и хочет поздравить им всех коллег. Приложение уже собрано: в директории web находятся готовые статические артефакты (HTML, JavaScript и изображения). У Тирекса есть TLS-сертификат и приватный ключ, и он хочет, чтобы приложение работало по HTTPS.

Задача

Нужно упаковать приложение в Docker-контейнер, чтобы его можно было легко запускать на любом сервере, и сделать доступным из интернета. Времени у Тирекса осталось совсем немного!

Создайте конфигурацию nginx, которая:

• слушает порт 80 и выполняет 301-редирект на HTTPS (https://$host$request_uri);

• слушает порт 443 с включенным SSL;

• использует сертификат /etc/nginx/ssl/cert.pem и ключ /etc/nginx/ssl/key.pem;

• отдает статические файлы из /usr/share/nginx/html по пути /.

Напишите Dockerfile, который:

• копирует в  контейнер конфигурацию nginx и артефакты приложения

• создает пустую директорию /etc/nginx/ssl (для монтирования сертификатов при запуске);

• использует легкий образ (например, nginx:alpine).

При запуске контейнера должны быть опубликованы порты 80 и 443.

Бонусная задача

Добавьте docker-compose.yml файл, чтобы запускать приложение одной короткой командой из папки с сертификатами.

Предлагайте варианты решения в комментариях. А посмотреть правильный ответ можно в Академии Selectel.

Подборка базовых статей о DNS

Привет, Хабр! На дворе пятница, а это значит, что я снова с непрошенной подборкой статей для начинающих. Сегодня на очереди DNS. Прошу:

• Что такое DNS-сервер — объясняем простыми словами. Как работает технология, какие DNS-серверы бывают, что такое DNS-зоны, как управлять доменом.

• DNS-сервер не отвечает: что делать и как исправить? Делимся решениями для тех, у кого возникли проблемы с DNS-сервером.

• Как разобраться в DNS-хостинге и ничего не сломать. Какие типы ресурсных записей бывают, зачем их так много и как добавить их в DNS-хостинг так, чтобы все работало без нареканий.

Как настраивать и эксплуатировать softrouter

Расскажем сегодня в 18:00 мск на Selectel Network MeetUp. А еще поговорим про подсчет сетевого трафика на сотни гигабит и сложности воспроизведения сетевых проблем в лабораторных условиях. 

Программа у нас такая:

▪️ Маршрут одного инженера: FreeBSD → Linux → VPP

▪️ Пакет с пакетами: как считать, когда их много миллионов?

▪️ Повторить нельзя закрыть: сложности воспроизведения сетевых проблем в лаборатории 

Все это — в легкой предпраздничной атмосфере и с огоньками гирлянд.

Подключайтесь к трансляции:

✅ на YouTube

✅ в VK

В обновлении Telegram появилась возможность создать на устройстве ключ доступа (passkey), который позволит мгновенно входить в мессенджер с помощью PIN или биометрических данных, в том числе Face ID и отпечатка пальцев. Криптографические ключи для входа будут храниться на устройстве и могут синхронизироваться с приложениями для управления паролями от iCloud, Google и других сервисов.

«Ключи доступа работают всегда и везде — и при перебоях с СМС, и в заграничных поездках, и даже в лифтах на парковках», — пояснили в Telegram, используя мем про другой мессенджер.

SpaceWeb запустил бесплатный тестовый период в S3-хранилище

Теперь S3-хранилище в SpaceWeb можно попробовать бесплатно. В панели управления появился трехдневный тестовый период для первого хранилища на аккаунте — без заявок в поддержку и без предоплаты.

При заказе достаточно поставить галочку «Тестовый период» и подтвердить номер телефона. После активации можно проверить совместимость, скорость и сценарии интеграции S3 в своей инфраструктуре.

Как это работает

• Срок теста — 3 дня.

• Подтверждение — по телефону (как и у VPS-теста).

• Во время теста можно менять параметры хранилища, но объем ограничен 500 ГБ.

Как перейти в рабочий режим:  чтобы выйти из тестового режима, на балансе должны быть средства для работы хранилища хотя бы на один день в текущей конфигурации.

Тестовый период уже есть и у других сервисов облачной платформы SpaceWeb. Каждый из них можно будет попробовать отдельно — по три дня на сервис.

Тест доступен для заказа на сайте SpaceWeb.

Проверяем, взломали ли вас хакеры или ваш IP в списке ботнетов. Исследователи из GreyNoise выпустили сервис GreyNoise IP Check, который позволяет быстро узнать, залез ли кто-то в вашу сеть. Сканер считает ваш IP-адрес и начнет искать совпадения в известных ботнет-сетях, которые используют для DDoS-атак.

При обращении к GreyNoise IP Check пользователи получают один из трёх статусов. «Clean» означает, что подозрительной сканирующей активности с этим адресом не фиксировалось. «Malicious/Suspicious» сигнализирует о том, что IP замечен в сканировании и имеет смысл проверить устройства в локальной сети. «Common Business Service» указывает на принадлежность адреса сетевым защитным сервисам, корпоративной инфраструктуре или облачному провайдеру — в таких условиях активное сетевое сканирование внешних адресов и портов часто выполняется легитимными средствами мониторинга и тестирования безопасности. То есть не свидетельствует о заражении.

Если по IP‑адресу обнаружена какая‑либо активность, сервис показывает хронологию за 90 дней. Такая история помогает связать начало подозрительных сканов с установкой конкретного приложения, в том числе клиента для распределения трафика или сомнительной программы, и затем устранить источник проблемы.

Апгрейд для сетевых инженеров: присоединяйся к разработке «соточных» коммутаторов

Разработчики коммутаторов KORNFELD ищут коллег. Нужны сетевые инженеры, которые будут тестировать сетевое оборудование, поддерживающее широкий спектр сервисов и протоколов, включая MC-LAG, BGP, OSPF, VxLAN, VPN, VRRP, LACP и другие. «Классические» тестировщики тут не подойдут — у успешного кандидата должен быть опыт работы с оборудованием типа Cisco, Huawei, Juniper, знание сетевых протоколов, применяемых в дата-центрах и офисах, — не только в теории, но и на практике. Фокус на мидл-специалистах и выше.

Получить быстрый оффер за 3 дня → 

Подать заявку можно до 30 ноября. Для этого достаточно заполнить форму на сайте, приложить резюме или скинуть ссылку на него.

Примеры задач сетевого инженера в тестировании:

• Анализ продуктовых требований/ПМИ/ПСИ и составление use-кейсов.

• Проведение разных видов тестирования: e2e, fail-over.

• Составление тест-кейсов, тест-планов на продукт — как на новый функционал, так и на существующий.

• Участие в совместных тестах, в том числе на площадке заказчика, и взаимодействие с командами разработки/L3/сервиса/документации.

Больше о вакансии — по ссылке.

Чтобы лучше представлять работу с KORNFELD, читайте статьи инженеров YADRO:

→ Жизненный цикл фичи в коммутаторе: от идеи через QA до прода

→ Как устроен L3-коммутатор: разбираемся с железом и настройками конфигурации

Узнавайте новое и бесплатно практикуйтесь в панели управления Selectel

Привет, Хабр! Обычно (хоть и не всегда) по пятницам я приношу подборки полезных материалов для начинающих специалистов. Но в этот раз у меня кое-что новое. Сегодня я расскажу не только о том, что почитать, но и как бесплатно отточить полученные знания, не тратя кровно заработанные на аренду IT-инфраструктуры.

При изучении полезных материалов вы можете запросить промокод на 500 бонусных рублей, чтобы попрактиковаться в панели управления бесплатно. Подробные условия и инструкции по получению бонусов находятся на страницах с подборками статей:

• Go — практический гайд по работе с Go. С ним вы научитесь писать простые сервисы и использовать этот язык в некоторых рабочих задачах, а еще получите большую подборку материалов для погружения в тему.

• Python — как настраивать инструменты, работать с базами данных, создавать программы с интерфейсом и использовать Python для парсинга. А еще интересные задачи для практики (вот тут-то точно пригодятся бонусы).

• Расширения PostgreSQL — самые полезные с объяснением, как применять их без лишней теории.

• Docker — что такое Docker, как запускать контейнеры, собирать образы и использовать Docker Compose. А еще — чем технология отличается от Kubernetes.

• Сети — научитесь настраивать базовые сетевые схемы, поднимать выделенные и облачные серверы, разбираться в связанности, публичных IP и облачных маршрутизаторах.

Кстати, все статьи в подборках, как обычно, полностью бесплатны и доступны без регистрации и вот этого всего. Читайте, узнавайте новое и практикуйтесь бесплатно.

Стоимость услуги ШПД (проводной интернет) в пересчёте на Мб/с в России одна из самых низких в мире.

Операторы «Мегафон», «Билайн» и Т2 начали рассылать уведомления пользователям с инструкциями о новых правилах: блокировка СИМ‑карт граждан РФ на 24 часа в рамках «периода охлаждения» (отключение доступа к мобильному интернету и СМС) будет происходить сразу по возвращении в домашнюю сеть (например, после приезда из-за границы). В Ассоциации туроператоров России уточнили, что такие меры вводятся по требованию регуляторов для усиления безопасности.

Ссылки для авторизации пользователей в сетях операторов:

• в «Мегафоне»: https://dostup.megafon.ru/.

• в «Билайне»: http://balance.beeline.ru/unlocked (работает при блоке).

• в Т2 получить доступ можно по этой странице: https://t2.ru/dostup.

На площадке Networking Toolbox (GitHub) доступны более 100 сетевых инструментов для системных администраторов и сетевых специалистов, включая решения для проверки DNS, TLS, DHCP, HTTP и почтовых серверов, для конвертирования CIDR, масок, IPv4/IPv6, MAC-адресов, калькуляторы подсетей, генераторы конфигов, утилиты для тестирования производительности, шифрования и маршрутизации, а также справочники по основам сетей IPv6 и сетевым протоколам.

Ранее на Хабре был пост: "20 инструментов кибербезопасности 2025 года для пентестинга, сканирования IP-сетей, анализа трафика".

SpaceWeb включен в реестр российского ПО

Платформа управления хостингом и облачными сервисами SpaceWeb внесена в Единый реестр российского программного обеспечения Минцифры России. Это означает, что инфраструктура SpaceWeb полностью основана на российских технологиях и соответствует требованиям законодательства.

Теперь для пользователей это дополнительная гарантия прозрачности, устойчивости и независимости сервисов, на которых работают сайты и приложения.

В наших планах — дальнейшее развитие собственных технологий с акцентом на безопасность, производительность и надежность инфраструктуры.

Виртуальные роутеры в Рег.облаке: маршрутизация без лишних IP и ручной настройки

В панели Рег.облака появилась новая сущность — виртуальные роутеры. Они работают как программные аналоги классических маршрутизаторов, встроенные в экосистему OpenStack. Это решение позволяет гибко управлять сетевой инфраструктурой и упрощает маршрутизацию между подсетями и внешними сетями.

Теперь не нужно покупать и назначать отдельный плавающий IP каждой виртуальной машине. Достаточно одного публичного IP на виртуальный роутер — и вся приватная сеть получает выход в интернет. Роутер управляет маршрутизацией и распределяет трафик между внутренними адресами, сохраняя связность и снижая расходы на оплату IP-адресов.

Виртуальные роутеры обеспечивают:

• маршрутизацию трафика между виртуальными машинами, подсетями и внешними сетями;

• организацию связности внутри приватных сетей;

• подключение ресурсов к интернету через единый публичный IP.

Роутер создается автоматически при заказе первого сервера в регионе. Он сразу готов к работе с приватными адресами и может быть подключен к публичной сети в один клик.

В панели можно управлять параметрами роутеров:

• подключать или отключать публичный доступ;

• добавлять и удалять подсети;

• переименовывать и просматривать конфигурацию.

Виртуальные роутеры изолируют сетевой трафик на уровне OpenStack, поддерживают работу с несколькими подсетями и масштабируются вместе с инфраструктурой. Решение подходит для разных сценариев — от тестовых сред до продакшн-проектов. 

Виртуальные роутеры уже доступны всем пользователям в личном кабинете Рег.облака.

Самая короткая команда для проверки интернета: ping 1.1

Такая запись автоматически преобразуется в 1.0.0.1 Мало кто знает, что по стандарту ipv4 пропущенные октеты преобразуются в нули.

Почему-то это активно используется только в ipv6 типа fe20::baba

Забираем

20 инструментов кибербезопасности 2025 года для пентестинга, сканирования IP-сетей, анализа трафика:

• Nmap — ультрабаза для анализа сетей

• Wireshark — анализатор сетей Ethernet

• Metasploit — самый популярный инструмент пентестинга

• Burp Suite — сканим веб-приложения на уязвимости

• SQLmap — находит уязвимости SQL-инъекций

• John the Ripper/Hashcat — быстрый кряк паролей

• Aircrack-ng — беспроводные сети и пароли

• Nikto — быстрый сканер веб-сетей

• Suricata — IDS / IPS защита

• OpenVAS — мощная система оценки уязвимостей

• Splunk — аналитик машинных данных

• Maltego — полноценная киберразведка

• Shodan — поисковик серверов

• Kali Linux — операционка хакеров и пентестеров

• Cobalt Strike — имитирует действия мошенников

• BloodHound — размечает направления атак

• BEB6 — пароли WiFi-сети

• XSpider — сканер для любых систем

• CrowdStrike Falcon — комплексная защита

• CrackMapExec — проверка окружения Windows/Active Directory

Подборка бесплатных обучающих материалов по информационной безопасности

Привет, Хабр! Наступила пятница, а это значит, я снова несу несколько подборок статей. Сегодня будет ИБ. Условия как всегда: все бесплатно и без регистрации. Читайте, узнавайте новое и применяйте знания на практике. Поехали!

Введение в информационную безопасность

Это база: что такое информационная безопасность (ИБ) и почему так важно ей уделять внимание. Подборка включает 10 статей об угрозах и инцидентах, повышении уровня безопасности и защите систем даже с особо чувствительными данными. На прочтение всех материалов уйдет немногим более двух часов.

Информационная безопасность на практике

В этой подборке вы найдете полезные гайды по настройке средств защиты и советы по их использованию. В заключительной части — задачи, которые помогут ознакомиться с ИБ-инструментами на реальных примерах. Здесь 10 материалов для изучения, займет около 2,5 часов.

Введение в сетевую безопасность

Об этой подборке я уже как-то рассказывал ранее, когда приносил полезные статьи о сетях. Но, во-первых, тот пост вы могли и пропустить, а во-вторых, будем честны, ИБ — такая сфера, что лучше что-то полезное прочитать еще раз. Итак, еще 10 статей на 2,5 часа, чтобы лучше разобраться в файрволах, шифровании трафика, DDoS и сканировании портов. Кроме теории здесь есть и практические задания с пошаговыми гайдами.

Еще больше материалов об информационной безопасности вы найдете в Security Center. Здесь есть статьи, инструкции, обзоры, бизнес-кейсы компаний и так далее.

Как организовать инфраструктуру для высоконагруженной рекламной платформы: опыт МоеVideo

Когда миллионы пользователей генерируют огромный поток трафика, компаниям необходимо обеспечить высокую производительность системы и стабильную обработку данных. Такому же примеру последовала платформа МоеVideo. Рассказываем, как на IT-инфраструктуре Selectel она:

• подключила оптимальные конфигурации серверов под отдельные задачи,

• подобрала произвольные серверы под специфические требования СУБД,

• организовала геораспределенную сетевую связность.

Подробности кейса читайте в Академии Selectel, а также оставляйте заявку на бесплатную миграцию ➡️

Email и бухгалтерия: почему заголовки писем всё ещё угрожают деньгам компаний

Недавно я писал в одной из новостей про новый стандарт электронной почты — RFC 9788. Тогда это выглядело как чисто техническое обновление: поправили старый костыль, добавили пару параметров, придумали новые заголовки. Но если посмотреть на это глазами бизнеса, особенно глазами топ-менеджмента и бухгалтерии, картина оказывается совсем другой.

Электронная почта — это не только переписка с коллегами или рассылка клиентам. Это канал, через который каждый день проходят платёжки, инвойсы, запросы на переводы. И именно эта часть коммуникаций десятилетиями оставалась в зоне риска, потому что заголовки писем (From, Subject, To) никак не защищались. Мы могли шифровать тело письма, подписывать вложения, использовать все возможные фильтры, но если злоумышленнику хотелось заменить тему на «Срочный перевод контрагенту», он мог это сделать.

В результате бухгалтер получал письмо, где всё выглядело честно: защищённый текст, привычный формат счёта, даже подпись была на месте. А заголовки — самое видимое и доверенное место письма — могли быть переписаны. Именно на этом десятилетиями держались самые простые и самые успешные схемы email-фишинга.

И вот только в 2025 году IETF принял новый стандарт — RFC 9788. Он наконец-то говорит очевидную вещь: защищать нужно не только тело письма, но и заголовки. Теперь все поля копируются внутрь зашифрованной части, наружу выходит только технический минимум, а тема письма может заменяться на […]. Если кто-то попробует подделать заголовок, клиент сразу покажет рассинхрон.

Для разработчиков это очередная спецификация, набор правил и тестов. А для бизнеса это история про деньги и риски. Потому что каждый случай, когда бухгалтер ошибся и отправил платёж по фейковому письму, — это прямой убыток. Каждый подобный инцидент — это ещё и риск для репутации: в новостях упоминают не мошенников, а именно ту компанию, которая «повелась».

Да, внедрение будет постепенным: сначала open source-клиенты и энтузиасты, потом корпоративные почтовики, потом массовый рынок. Но уже сейчас очевидно, что компании, которые раньше внедрят RFC 9788, снизят риски быстрее. Это история не про «технологическую моду», а про то, сколько денег вы теряете или экономите.

Я уверен, что лет через пять защищённые заголовки будут восприниматься так же естественно, как сегодня HTTPS на сайтах. И точно так же, как сейчас мы удивляемся сайтам без https, пользователи будут удивляться письмам, где можно переписать тему или отправителя. Вопрос только в том, вы хотите оказаться в числе тех, кто внедрил это вовремя, или в числе тех, чью бухгалтерию упомянут в очередной криминальной хронике.

Подборка бесплатных обучающих материалов для тех, кто хочет разобраться в сетях

Привет, Хабр! Я снова с подборкой статей, которые могут пригодиться начинающим специалистам. На этот раз будем разбираться в сетях. Как обычно, все материалы в подборке доступны бесплатно, никакими данными делиться тоже не нужно. Просто читайте и осваивайте новое. Поехали!

Сетевая инфраструктура

Эта подборка — практическое погружение в мир сетей и облачной инфраструктуры. Вы научитесь настраивать базовые сетевые схемы, поднимать выделенные и облачные серверы, разбираться в связанности, публичных IP и облачных маршрутизаторах. Все без лишней теории — только то, что пригодится в реальных задачах.

Компьютерные сети

Пять статей помогут вам изучить основы компьютерных сетей. Они плавно, шаг за шагом, погрузят вас в тему. Сначала вы разберете ключевые понятия, чтобы говорить с сетевиками на одном языке. Затем — узнаете, какие бывают сети и из чего они состоят, что такое MAC- и IP-адреса. Далее — освоите две основные модели: OSI и TCP/IP — на конкретных примерах посмотрите, как работает каждый уровень.

CDN

Мини-курс познакомит с базовыми принципами работы распределенной доставки контента. Вы научитесь подключать и настраивать такую сеть, оптимизировать изображения. Особое внимание — внедрению CDN для повышения безопасности.

Сетевая безопасность

Эта подборка сфокусирована на сетевой ИБ: межсетевые экраны и IDPS, средства шифрования трафика и DDoS-атаки. Теорию вы закрепите практикой, самостоятельно установив и настроив файрвол или проведя сканирование портов по инструкции.

Сетевые протоколы

В мире существует более 7 000 сетевых протоколов. В 12 материалах вы узнаете о самых популярных из них, а также о существующих сетевых моделях передачи данных.

Go + Windows = deadlock. Свет в конце тоннеля.

В прошлой статье я рассказывал о редком, но весьма опасном баге: поток под Windows зависал в вызове CancelIoEx, хотя документация Microsoft утверждает обратное. Суть проблемы — в пересечении синхронного и асинхронного ввода-вывода, где ядро Windows блокирует доставку APC, и поток остаётся навсегда «висящим».

История получила развитие не сама по себе: мы целенаправленно поднимали эту тему через support-кейс в Microsoft. В результате удалось подключить и Escalation Team, и разработчиков Go, ответственных за Windows-порт.

Финальный вывод: стандартная библиотека Go действительно использует неправильный API для отмены синхронных операций. Вместо CancelSynchronousIo, рекомендованного самой Microsoft, в коде до сих пор вызывается CancelIoEx.

👀 Сам проблемный вызов:
https://github.com/golang/go/blob/77f911e31c243a8302c086d64dbef340b0c999b8/src/internal/poll/fd_windows.go#L461

Хорошая новость: у команды уже есть рабочий proof-of-concept фикса:
https://go-review.googlesource.com/c/go/+/691395

Менее радостная часть: из-за сложности изменений и их влияния на рантайм правка запланирована только в Go 1.26 (февраль 2026). Бэкпорт в предыдущие версии практически исключён.

Что это значит для разработчиков

• Если ваш сервис на Go под Windows внезапно «зависает» в CancelIoEx — это следствие бага в стандартной библиотеке, а не ваша ошибка.

• До релиза Go 1.26 остаются обходные варианты:

  • не вызывать CancelIoEx для синхронных дескрипторов,

  • использовать CancelSynchronousIo, если есть возможность управлять потоками,

  • минимизировать использование пайпов в критичных местах.

Итог

Редкий flaky-тест Go (TestPipeIOCloseRace) оказался симптомом реальной и серьёзной проблемы. Благодаря эскалации через Microsoft Support и совместному разбору мы получили подтверждение, понятное объяснение и официальный фикс в планах.

⚡️ Если ваш Go-код на Windows зависает в CancelIoEx, теперь вы знаете: проблема признана и исправление уже в пути.

Какие сайты будут работать без мобильного интернета. Инфографика от РБК. Ранее российские операторы связи стали рассылать своим клиентам уведомления о том, какие именно сервисы продолжают работать в мобильных сетях операторов даже в условиях ограничения интернета.

WhatsApp сканирует сеть?

Совершенно случайно наткнулся на интересное:

У меня дома стриггерился алерт: мой домашний сервачок (он же роутер) помимо всего прочего отслеживает количество уникальных от-forward'енных $src_ip + $dst_ip + $dst_port – и алертит, когда их количество превышает некоторый порог.

И вот за последние сутки с моего телефона + телефона жены 2560 + 4082 уникальных пар $dst_ip + $dst_port (где 602x22 ниже – это соединения на 22 порт на 602 разных IP-адреса):

kate-mobile.lan (4082 IP+port pairs): 3117 TCP (1534x443, 602x22, 261x80, 237x554, 220x53, 29x23, 28x983, 21x553, 20x179, 12x1443, 9x5222, 6x5228, 4x4460, 4x21, 2x571, 2x9243, 2x240, 2x383, 2x185, 2x260, 2x299, 2x237, 2x336, 2x131, 2x512, 1x464, 1x734, 1x4416, 1x371, 1x10, 1x863, 1x895, 1x759, 1x815, 1x178, 1x830, 1x271, 1x838, 1x707, 1x629, 1x174, 1x1003, 1x894, 1x3237, 1x887, 1x962, 1x603, 1x855, 1x241, 1x494, 1x540, 1x181, 1x352, 1x454, 1x373, 1x654, 1x56, 1x646, 1x175, 1x876, 1x810, 1x556, 1x395, 1x483, 1x697, 1x212, 1x34, 1x588, 1x348, 1x605, 1x680, 1x460, 1x401, 1x224, 1x143, 1x161, 1x104, 1x655, 1x872, 1x521, 1x459, 1x911, 1x705, 1x317, 1x377, 1x807, 1x323, 1x893, 1x866, 1x142, 1x1001, 1x170, 1x920, 1x843, 1x209, 1x463, 1x156, 1x569, 1x952, 1x701, 1x184, 1x597, 1x389, 1x647, 1x8543, 1x487, 1x624, 1x537, 1x814, 1x259, 1x578, 1x26, 1x904, 1x751, 1x652, 1x795, 1x234, 1x671, 1x45, 1x4477, 1x307, 1x635, 1x651, 1x227, 1x806, 1x752, 1x203, 1x220, 1x582, 1x568, 1x153, 1x844, 1x402), 965 UDP (379x443, 278x53, 116x554, 83x123, 38x22, 22x23, 7x2002, 6x983, 4x179, 2x4123, 2x512, 2x21, 2x553, 1x363, 1x652, 1x654, 1x1003, 1x299, 1x307, 1x377, 1x680, 1x807, 1x804, 1x966, 1x685, 1x240, 1x463, 1x655, 1x806, 1x45, 1x383, 1x336, 1x153, 1x260, 1x28, 1x241, 1x603)
mobile.lan (2560 IP+port pairs): 1899 TCP (814x443, 405x22, 171x554, 168x80, 160x53, 23x983, 18x179, 18x1443, 15x23, 10x553, 9x5222, 6x21, 5x7275, 3x5228, 2x19302, 1x759, 1x37, 1x629, 1x685, 1x581, 1x582, 1x10000, 1x142, 1x250, 1x846, 1x125, 1x872, 1x657, 1x8543, 1x604, 1x90, 1x727, 1x567, 1x911, 1x739, 1x810, 1x4477, 1x866, 1x26, 1x491, 1x10, 1x156, 1x626, 1x178, 1x422, 1x977, 1x155, 1x12, 1x402, 1x683, 1x21007, 1x306, 1x595, 1x184, 1x4416, 1x472, 1x14, 1x904, 1x166, 1x165, 1x753, 1x988, 1x4434, 1x11, 1x28, 1x317, 1x622, 1x535, 1x718, 1x686, 1x637, 1x207, 1x244, 1x153, 1x7000, 1x8443, 1x966, 1x383, 1x5223, 1x985, 1x161, 1x994, 1x395, 1x898, 1x39, 1x592, 1x6447), 661 UDP (307x443, 168x53, 81x554, 36x123, 24x22, 10x23, 6x983, 6x179, 4x19302, 3x553, 3x21, 1x153, 1x685, 1x626, 1x155, 1x592, 1x19000, 1x491, 1x306, 1x472, 1x125, 1x8443, 1x28, 1x966)

Поставил себе PCAPdroid на телефон, и выяснилось, что WhatsApp (я им совсем не пользуюсь – установлен по необходимости):

• За последний месяц съел 23 MB Wi-Fi трафика.

• За сегодняшний день съел 92 MB Wi-Fi трафика.

• Постоянно открывает соединения на разные IP и всякие мутные порты (ssh, ntp, ftp).

Хотелось бы верить, что это какая-то очередная защита от блокировок или вроде того, но, учитывая недавние истории про слежку за пользователями на Android, что-то не очень верится. :)

Как-то более глубоко исследовать эту ситуацию, честно говоря, нет желания (да и наверняка он подобными сканированиями занимается только изредка, чтобы не привлекать к себе лишнего внимания) – поэтому всё выше написанное исключительно JFYI, без каких-либо интересных подробностей.

P.S.: Большая просьба не воспринимать это как очередную рекламу в пользу всем известного мессенджера, который сейчас активно продвигается – все совпадения случайны.

На GitHub вышел открытый проект SeedBox Lite, который позволяет развернуть аналог Netflix у себя дома. Решение предоставляет библиотеку контента с торрентов — в бесплатном доступе все фильмы мира. Мгновенный старт — смотрите сразу, не дожидаясь загрузки. Плеер как у стримингов: субтитры, фуллскрин, жесты. Работает на смартфоне, планшете и ПК и вообще всем, где есть браузер. Можно закрыть паролем. Устанавливается за минуты по простому гайду.

Порт RJ-45 — это проклятье современных тонких ультрабуков. Его (вернее, разъём 8P8C) стандартизировали ещё в 70-х годах прошлого века и так до сих пор с ним и живут. Дело в том, что у разъёма высота обычно достигает 13–14 мм, ширина ещё больше, а просто его выкинуть в пользу Wi-Fi хватает (слава богу) ума и смелости далеко не у всех.

Поэтому очень забавно наблюдать за различными ухищрениями. Обычно ограничиваются раскладным портом – «челюстью». В торце располагается откидная губа, которая увеличивает высоту выреза до нужных 14 мм. Из неоспоримых плюсов — отсутствие необходимости носить с собой переходник для кабеля, из минусов — хрупкость и неизбежный люфт.

RJ-45 изредка ставят в утолщении у шарнира сгиба. Порт прячут в подбородке возле петель. Но это влияет на размеры и компоновку, получается такое сделать далеко не всегда.

Все остальные случаи требуют донглы. Пропускать Ethernet через обычный интерфейс USB третьей или четвёртой версии — норма. Если в командировочной сумке уже лежит короткий патч-корд, то и компактному USB-C → 2.5 GbE место найдётся, разве нет? Ну а на работе будет док-станция с уже воткнутым корпоративным Ethernet.

В особо извращённых случаях обходятся даже без донглов, полностью пассивным переходником. Искомый порт заменяют на физическом уровне другим интерфейсом. Переходник всё равно нужен, просто активных компонентов внутри него не будет.

К таким случаям относится практика некоторых Asus ExpertBook. В Сети как раз обратили внимание на один из таких.

На картинке то ли ExpertBook B5 OLED от 2023 года с кодом модели B5602 с 13-м, то ли куда более ранний (осень 2022 года) ноутбук с 12-м, то ли вообще B5302С с 11-м поколением процессоров Intel. Не в процессоре суть. Главное — здесь интересная ситуация, когда контакты RJ45 пропущены через разъём microHDMI. Это именно не Ethernet over HDMI, это передача электрических сигналов через другой разъём.

Понятно, что в комплекте поставки идёт переходник. И что делать, если оригинал потерялся? Беглый поиск в на крупных торговых площадках подходящего не находит, видны только дорогущие ($39) замены магазинов запчастей продукции Asus.

Тестируем Evolution SDN с помощью ovn-heater — доклад на IT-конференции GoCloud Tech 2025 ☁️

Не секрет, что тестирование производительности SDN — критически важный аспект в оценке эффективности и надежности работы сетевой инфраструктуры. В докладе поделимся подходом к тестированию производительности SDN c помощью открытого инструмента ovn-heater. Расскажем про наши доработки, математический подход к сбору и анализу данных, а также поделимся результатами, на сколько удалось ускорить управление и обмен данными.

Трек: Cloud Infrastructure — про построение устойчивой, масштабируемой и безопасной облачной инфраструктуры.

📅 Когда: 3 сентября в 15:20 мск

👉 Зарегистрироваться

Что еще интересного будет на GoCloud Tech, смотрите в программе конференции.