Сетевые технологии *

Email и бухгалтерия: почему заголовки писем всё ещё угрожают деньгам компаний

Недавно я писал в одной из новостей про новый стандарт электронной почты — RFC 9788. Тогда это выглядело как чисто техническое обновление: поправили старый костыль, добавили пару параметров, придумали новые заголовки. Но если посмотреть на это глазами бизнеса, особенно глазами топ-менеджмента и бухгалтерии, картина оказывается совсем другой.

Электронная почта — это не только переписка с коллегами или рассылка клиентам. Это канал, через который каждый день проходят платёжки, инвойсы, запросы на переводы. И именно эта часть коммуникаций десятилетиями оставалась в зоне риска, потому что заголовки писем (From, Subject, To) никак не защищались. Мы могли шифровать тело письма, подписывать вложения, использовать все возможные фильтры, но если злоумышленнику хотелось заменить тему на «Срочный перевод контрагенту», он мог это сделать.

В результате бухгалтер получал письмо, где всё выглядело честно: защищённый текст, привычный формат счёта, даже подпись была на месте. А заголовки — самое видимое и доверенное место письма — могли быть переписаны. Именно на этом десятилетиями держались самые простые и самые успешные схемы email-фишинга.

И вот только в 2025 году IETF принял новый стандарт — RFC 9788. Он наконец-то говорит очевидную вещь: защищать нужно не только тело письма, но и заголовки. Теперь все поля копируются внутрь зашифрованной части, наружу выходит только технический минимум, а тема письма может заменяться на […]. Если кто-то попробует подделать заголовок, клиент сразу покажет рассинхрон.

Для разработчиков это очередная спецификация, набор правил и тестов. А для бизнеса это история про деньги и риски. Потому что каждый случай, когда бухгалтер ошибся и отправил платёж по фейковому письму, — это прямой убыток. Каждый подобный инцидент — это ещё и риск для репутации: в новостях упоминают не мошенников, а именно ту компанию, которая «повелась».

Да, внедрение будет постепенным: сначала open source-клиенты и энтузиасты, потом корпоративные почтовики, потом массовый рынок. Но уже сейчас очевидно, что компании, которые раньше внедрят RFC 9788, снизят риски быстрее. Это история не про «технологическую моду», а про то, сколько денег вы теряете или экономите.

Я уверен, что лет через пять защищённые заголовки будут восприниматься так же естественно, как сегодня HTTPS на сайтах. И точно так же, как сейчас мы удивляемся сайтам без https, пользователи будут удивляться письмам, где можно переписать тему или отправителя. Вопрос только в том, вы хотите оказаться в числе тех, кто внедрил это вовремя, или в числе тех, чью бухгалтерию упомянут в очередной криминальной хронике.

Подборка бесплатных обучающих материалов для тех, кто хочет разобраться в сетях

Привет, Хабр! Я снова с подборкой статей, которые могут пригодиться начинающим специалистам. На этот раз будем разбираться в сетях. Как обычно, все материалы в подборке доступны бесплатно, никакими данными делиться тоже не нужно. Просто читайте и осваивайте новое. Поехали!

Сетевая инфраструктура

Эта подборка — практическое погружение в мир сетей и облачной инфраструктуры. Вы научитесь настраивать базовые сетевые схемы, поднимать выделенные и облачные серверы, разбираться в связанности, публичных IP и облачных маршрутизаторах. Все без лишней теории — только то, что пригодится в реальных задачах.

Компьютерные сети

Пять статей помогут вам изучить основы компьютерных сетей. Они плавно, шаг за шагом, погрузят вас в тему. Сначала вы разберете ключевые понятия, чтобы говорить с сетевиками на одном языке. Затем — узнаете, какие бывают сети и из чего они состоят, что такое MAC- и IP-адреса. Далее — освоите две основные модели: OSI и TCP/IP — на конкретных примерах посмотрите, как работает каждый уровень.

CDN

Мини-курс познакомит с базовыми принципами работы распределенной доставки контента. Вы научитесь подключать и настраивать такую сеть, оптимизировать изображения. Особое внимание — внедрению CDN для повышения безопасности.

Сетевая безопасность

Эта подборка сфокусирована на сетевой ИБ: межсетевые экраны и IDPS, средства шифрования трафика и DDoS-атаки. Теорию вы закрепите практикой, самостоятельно установив и настроив файрвол или проведя сканирование портов по инструкции.

Сетевые протоколы

В мире существует более 7 000 сетевых протоколов. В 12 материалах вы узнаете о самых популярных из них, а также о существующих сетевых моделях передачи данных.

Go + Windows = deadlock. Свет в конце тоннеля.

В прошлой статье я рассказывал о редком, но весьма опасном баге: поток под Windows зависал в вызове CancelIoEx, хотя документация Microsoft утверждает обратное. Суть проблемы — в пересечении синхронного и асинхронного ввода-вывода, где ядро Windows блокирует доставку APC, и поток остаётся навсегда «висящим».

История получила развитие не сама по себе: мы целенаправленно поднимали эту тему через support-кейс в Microsoft. В результате удалось подключить и Escalation Team, и разработчиков Go, ответственных за Windows-порт.

Финальный вывод: стандартная библиотека Go действительно использует неправильный API для отмены синхронных операций. Вместо CancelSynchronousIo, рекомендованного самой Microsoft, в коде до сих пор вызывается CancelIoEx.

👀 Сам проблемный вызов:
https://github.com/golang/go/blob/77f911e31c243a8302c086d64dbef340b0c999b8/src/internal/poll/fd_windows.go#L461

Хорошая новость: у команды уже есть рабочий proof-of-concept фикса:
https://go-review.googlesource.com/c/go/+/691395

Менее радостная часть: из-за сложности изменений и их влияния на рантайм правка запланирована только в Go 1.26 (февраль 2026). Бэкпорт в предыдущие версии практически исключён.

Что это значит для разработчиков

• Если ваш сервис на Go под Windows внезапно «зависает» в CancelIoEx — это следствие бага в стандартной библиотеке, а не ваша ошибка.

• До релиза Go 1.26 остаются обходные варианты:

  • не вызывать CancelIoEx для синхронных дескрипторов,

  • использовать CancelSynchronousIo, если есть возможность управлять потоками,

  • минимизировать использование пайпов в критичных местах.

Итог

Редкий flaky-тест Go (TestPipeIOCloseRace) оказался симптомом реальной и серьёзной проблемы. Благодаря эскалации через Microsoft Support и совместному разбору мы получили подтверждение, понятное объяснение и официальный фикс в планах.

⚡️ Если ваш Go-код на Windows зависает в CancelIoEx, теперь вы знаете: проблема признана и исправление уже в пути.

Какие сайты будут работать без мобильного интернета. Инфографика от РБК. Ранее российские операторы связи стали рассылать своим клиентам уведомления о том, какие именно сервисы продолжают работать в мобильных сетях операторов даже в условиях ограничения интернета.

WhatsApp сканирует сеть?

Совершенно случайно наткнулся на интересное:

У меня дома стриггерился алерт: мой домашний сервачок (он же роутер) помимо всего прочего отслеживает количество уникальных от-forward'енных $src_ip + $dst_ip + $dst_port – и алертит, когда их количество превышает некоторый порог.

И вот за последние сутки с моего телефона + телефона жены 2560 + 4082 уникальных пар $dst_ip + $dst_port (где 602x22 ниже – это соединения на 22 порт на 602 разных IP-адреса):

kate-mobile.lan (4082 IP+port pairs): 3117 TCP (1534x443, 602x22, 261x80, 237x554, 220x53, 29x23, 28x983, 21x553, 20x179, 12x1443, 9x5222, 6x5228, 4x4460, 4x21, 2x571, 2x9243, 2x240, 2x383, 2x185, 2x260, 2x299, 2x237, 2x336, 2x131, 2x512, 1x464, 1x734, 1x4416, 1x371, 1x10, 1x863, 1x895, 1x759, 1x815, 1x178, 1x830, 1x271, 1x838, 1x707, 1x629, 1x174, 1x1003, 1x894, 1x3237, 1x887, 1x962, 1x603, 1x855, 1x241, 1x494, 1x540, 1x181, 1x352, 1x454, 1x373, 1x654, 1x56, 1x646, 1x175, 1x876, 1x810, 1x556, 1x395, 1x483, 1x697, 1x212, 1x34, 1x588, 1x348, 1x605, 1x680, 1x460, 1x401, 1x224, 1x143, 1x161, 1x104, 1x655, 1x872, 1x521, 1x459, 1x911, 1x705, 1x317, 1x377, 1x807, 1x323, 1x893, 1x866, 1x142, 1x1001, 1x170, 1x920, 1x843, 1x209, 1x463, 1x156, 1x569, 1x952, 1x701, 1x184, 1x597, 1x389, 1x647, 1x8543, 1x487, 1x624, 1x537, 1x814, 1x259, 1x578, 1x26, 1x904, 1x751, 1x652, 1x795, 1x234, 1x671, 1x45, 1x4477, 1x307, 1x635, 1x651, 1x227, 1x806, 1x752, 1x203, 1x220, 1x582, 1x568, 1x153, 1x844, 1x402), 965 UDP (379x443, 278x53, 116x554, 83x123, 38x22, 22x23, 7x2002, 6x983, 4x179, 2x4123, 2x512, 2x21, 2x553, 1x363, 1x652, 1x654, 1x1003, 1x299, 1x307, 1x377, 1x680, 1x807, 1x804, 1x966, 1x685, 1x240, 1x463, 1x655, 1x806, 1x45, 1x383, 1x336, 1x153, 1x260, 1x28, 1x241, 1x603)
mobile.lan (2560 IP+port pairs): 1899 TCP (814x443, 405x22, 171x554, 168x80, 160x53, 23x983, 18x179, 18x1443, 15x23, 10x553, 9x5222, 6x21, 5x7275, 3x5228, 2x19302, 1x759, 1x37, 1x629, 1x685, 1x581, 1x582, 1x10000, 1x142, 1x250, 1x846, 1x125, 1x872, 1x657, 1x8543, 1x604, 1x90, 1x727, 1x567, 1x911, 1x739, 1x810, 1x4477, 1x866, 1x26, 1x491, 1x10, 1x156, 1x626, 1x178, 1x422, 1x977, 1x155, 1x12, 1x402, 1x683, 1x21007, 1x306, 1x595, 1x184, 1x4416, 1x472, 1x14, 1x904, 1x166, 1x165, 1x753, 1x988, 1x4434, 1x11, 1x28, 1x317, 1x622, 1x535, 1x718, 1x686, 1x637, 1x207, 1x244, 1x153, 1x7000, 1x8443, 1x966, 1x383, 1x5223, 1x985, 1x161, 1x994, 1x395, 1x898, 1x39, 1x592, 1x6447), 661 UDP (307x443, 168x53, 81x554, 36x123, 24x22, 10x23, 6x983, 6x179, 4x19302, 3x553, 3x21, 1x153, 1x685, 1x626, 1x155, 1x592, 1x19000, 1x491, 1x306, 1x472, 1x125, 1x8443, 1x28, 1x966)

Поставил себе PCAPdroid на телефон, и выяснилось, что WhatsApp (я им совсем не пользуюсь – установлен по необходимости):

• За последний месяц съел 23 MB Wi-Fi трафика.

• За сегодняшний день съел 92 MB Wi-Fi трафика.

• Постоянно открывает соединения на разные IP и всякие мутные порты (ssh, ntp, ftp).

Хотелось бы верить, что это какая-то очередная защита от блокировок или вроде того, но, учитывая недавние истории про слежку за пользователями на Android, что-то не очень верится. :)

Как-то более глубоко исследовать эту ситуацию, честно говоря, нет желания (да и наверняка он подобными сканированиями занимается только изредка, чтобы не привлекать к себе лишнего внимания) – поэтому всё выше написанное исключительно JFYI, без каких-либо интересных подробностей.

P.S.: Большая просьба не воспринимать это как очередную рекламу в пользу всем известного мессенджера, который сейчас активно продвигается – все совпадения случайны.

На GitHub вышел открытый проект SeedBox Lite, который позволяет развернуть аналог Netflix у себя дома. Решение предоставляет библиотеку контента с торрентов — в бесплатном доступе все фильмы мира. Мгновенный старт — смотрите сразу, не дожидаясь загрузки. Плеер как у стримингов: субтитры, фуллскрин, жесты. Работает на смартфоне, планшете и ПК и вообще всем, где есть браузер. Можно закрыть паролем. Устанавливается за минуты по простому гайду.

Порт RJ-45 — это проклятье современных тонких ультрабуков. Его (вернее, разъём 8P8C) стандартизировали ещё в 70-х годах прошлого века и так до сих пор с ним и живут. Дело в том, что у разъёма высота обычно достигает 13–14 мм, ширина ещё больше, а просто его выкинуть в пользу Wi-Fi хватает (слава богу) ума и смелости далеко не у всех.

Поэтому очень забавно наблюдать за различными ухищрениями. Обычно ограничиваются раскладным портом – «челюстью». В торце располагается откидная губа, которая увеличивает высоту выреза до нужных 14 мм. Из неоспоримых плюсов — отсутствие необходимости носить с собой переходник для кабеля, из минусов — хрупкость и неизбежный люфт.

RJ-45 изредка ставят в утолщении у шарнира сгиба. Порт прячут в подбородке возле петель. Но это влияет на размеры и компоновку, получается такое сделать далеко не всегда.

Все остальные случаи требуют донглы. Пропускать Ethernet через обычный интерфейс USB третьей или четвёртой версии — норма. Если в командировочной сумке уже лежит короткий патч-корд, то и компактному USB-C → 2.5 GbE место найдётся, разве нет? Ну а на работе будет док-станция с уже воткнутым корпоративным Ethernet.

В особо извращённых случаях обходятся даже без донглов, полностью пассивным переходником. Искомый порт заменяют на физическом уровне другим интерфейсом. Переходник всё равно нужен, просто активных компонентов внутри него не будет.

К таким случаям относится практика некоторых Asus ExpertBook. В Сети как раз обратили внимание на один из таких.

На картинке то ли ExpertBook B5 OLED от 2023 года с кодом модели B5602 с 13-м, то ли куда более ранний (осень 2022 года) ноутбук с 12-м, то ли вообще B5302С с 11-м поколением процессоров Intel. Не в процессоре суть. Главное — здесь интересная ситуация, когда контакты RJ45 пропущены через разъём microHDMI. Это именно не Ethernet over HDMI, это передача электрических сигналов через другой разъём.

Понятно, что в комплекте поставки идёт переходник. И что делать, если оригинал потерялся? Беглый поиск в на крупных торговых площадках подходящего не находит, видны только дорогущие ($39) замены магазинов запчастей продукции Asus.

Тестируем Evolution SDN с помощью ovn-heater — доклад на IT-конференции GoCloud Tech 2025 ☁️

Не секрет, что тестирование производительности SDN — критически важный аспект в оценке эффективности и надежности работы сетевой инфраструктуры. В докладе поделимся подходом к тестированию производительности SDN c помощью открытого инструмента ovn-heater. Расскажем про наши доработки, математический подход к сбору и анализу данных, а также поделимся результатами, на сколько удалось ускорить управление и обмен данными.

Трек: Cloud Infrastructure — про построение устойчивой, масштабируемой и безопасной облачной инфраструктуры.

📅 Когда: 3 сентября в 15:20 мск

👉 Зарегистрироваться

Что еще интересного будет на GoCloud Tech, смотрите в программе конференции.

Мой обход блокировок Telegram и WhatsApp (колхозный?)

Живу в за пределами России и часто общаюсь с родственниками и друзьями из России.
Основное общение всегда было через Скайп, Telegram и WhatsApp.

Скайп помер в Мае, а когда звонки начали глючить в Telegram и WhatsApp, сначала подумал, что у мамы Wi-Fi тупит.
Просил перезагрузить роутер, попробовать выйти на улицу. Затем спросил знакомых, почитал новости и прозрел - звонки глючат у всех.
MAX.

Что попробовал:

• VPN на телефоне → тяжело для пожилых родственников, NordVPN - два года подписки в топку.

• Viber → работает, но нестабильно.

• Zoom → громоздкий для простых звонков.

Нужен более простой и независимый способ.

Решение

После поиска остановился на Jitsi Meet — системе для видеозвонков с открытым кодом. Её можно развернуть на своём сервере и не зависеть от блокировок.

Настройка

1. Поднял виртуалку на Ubuntu.

2. Настроил pfSense с NAT и SSL.

3. Установил Jitsi Meet в Docker.

Мои проблемы по пути:

• DNS не резолвился → сделал Split DNS на pfSense.

• SSL лучше сразу через Let’s Encrypt, без self-signed.

• Компоненты Jitsi не стыковались → поправил конфиги.

• Медиа не шло → открыл UDP 10000.

• Пользователи за NAT всё равно не могли подключиться → добавил TURN-сервер.

Результат

Теперь у каждого есть ссылка вида https://calls.ДОМЕН/room1. Родственники открывают её в браузере или приложении, подключаются по линку, разговор без ограничений.

Решение получилось достаточно простым в использовании и устойчивым к блокировкам.

Скрипты и инструкции:
http://softcreator.com/static/temp/jitsi_deployment.tar.gz

Notes:
1. В инструкциях я выделил переменные, которые нужно заменить на свое окружение (экономит время).
2. Уверен, вокруг масса инструкций по установке Jitsi, но я ориентировался на простоту установки и селф-хостинг на домашнем бесполезном ноуте.
Такие инструкции не нашел, поэтому наколхозил для себя сам.
3. Первый пост на Хабре за 10+ лет чтения. Сильно не пинайте.

Как изменить SSH-пароль для Amnezia VPN

Amnezia - достаточно удобное приложение, которое позволяет в пару кликов (или тапов смартфона) развернуть VPN-сервер на вашем VPS.

Работает это следующим образом: при старте приложения на смартфоне/ПК вы вводите адрес сервера и данные SSH-подключения: user + password/privatekey (лично у меня подключение по ключу не взлетело). После этого приложение подключается к серверу по SSH и скачивает/настраивает VPN.

Приложение запоминает данные SSH-подключения и в дальнейшем они используются для упрощенного администрирования: добавления/удаления VPN-пользователей, установки/удаления дополнительных компонентов и прочего.

Проблемы начинаются тогда, когда вам по какой-то причине нужно поменять реквизиты SSH-подключения: изменить юзера, заменить пароль/ключ, изменить порт. Приложение Amnezia не предосталяет такой возможности (есть даже открытый feature request). Если вы попробуйте поискать информацию по данной теме, то единственным найденным вариантом будет что-то вроде "удалите сервер и разверните заново", что естественно приведет к тому, что ключи всех VPN-пользователей придется генерировать заново.

Итак, как же изменить пароль (или другой атрибут) без редеплоя VPN-сервера?

Инструкция:

1. В приложении заходим ⚙️ -> Backup -> Make a backup. Получаем JSON-файл.

2. JSON-файл содержит все параметры в открытом виде, в т.ч. пароль. Меняем пароль на новый и сохраняем файл.

3. Заходим ⚙️ -> Backup -> Restore from backup, это действие затирает текущую конфигурацию и устанавливает конфигурацию из файла.

4. Меняем пароль на самом сервере.

ТестНаСпид.РФ — и нет, мы не про болезни

С чего все началось?

Недавняя блокировка Speedtest.net в России застала многих любителей помериться… скоростями врасплох и заставила искать альтернативы, которые могут помочь им утвердиться.

Not anymore, ladies and gentlemen — представляем вашему вниманию инновационный отечественный сайт для замера скорости интернета — ТестНаСпид.РФ

Преимущества:

Данное решение является полностью отечественным и не имеет аналогов на рынке. Замер скорости можно осуществить к любому серверу из сотен различных стран на выбор пользователю.

UI поражает своим новшеством в мире дизайна сайтов. Начиная с мелочей и до overall experience все сделано для максимального удобства пользователя.

AD-Free — мы ценим и уважаем наших пользователей, которые в столь тяжёлые времена остались без своих любимых замеров. Именно поэтому мы не добавляем никакой монетизации сервиса в виде навязчивой рекламы.

Наша команда всерьез взялась за проблему замещения данного сервиса и в самые кратчайшие сроки подготовила этот сервис, чтобы вы могли и дальше радовать своих жен — скоростью своего интернета.

На данный момент сервис находится в открытом Beta-тестировании и в планах реализовать ещё много дополнительного функционала по нашему (закрытому) Roadmap-у.

Как устроено тестирование телеком-продуктов

Есть множество видов тестирования, их классифицируют по различным признакам: уровню, целям, степени автоматизации, знаниям о системе, а также типу проверяемых сценариев (функциональные и нефункциональные). Расскажем подробнее о реализации разных видов тестов, которые проводятся в лабораторных условиях: 

• Модульные (unit) и компонентные (component) тесты реализуют сами разработчики. Они позволяют проверить корректность работы отдельных модулей и компонентов на ранней стадии.

• Бокс-тестирование предполагает интеграцию нескольких компонентов базовой станции в рамках единой среды. В этом режиме используются симуляторы пользовательских устройств и ядра сети. 

• Системное тестирование охватывает проверку сквозных (end-to-end) сценариев на реальной аппаратной платформе. В отличие от бокс-тестов, здесь задействуются реальные пользовательские терминалы и максимально приближенная к коммерческой опорная сеть.

• Нагрузочное тестирование и тестирование стабильности позволяют оценить работу системы под высокой нагрузкой в течение длительного времени. Это важно для подтверждения отказоустойчивости и стабильной производительности.

Выделим полевое тестирование. Оно позволяет в реальных радиоусловиях с реальными абонентскими терминалами протестировать описанные выше процедуры. Для такого тестирования используется специальный автомобиль, в котором установлено оборудование для проведения drive-тестов.

Во время drive-тестов используются разные модели пользовательских устройств. Это важно для нормализации результатов и получения объективной оценки поведения системы при работе с многообразием смартфонов.

В статье Ивана Политова и Антон Васина, инженеров из департамента разработки и проектирования опорной 5G-сети в YADRO, читайте подробнее, как в компании тестируют телеком-продукты.

Мы зарелизили виртуальные роутеры

Они позволяют создавать маршрутизируемые сети — когда один или несколько компонентов вашей инфраструктуры ходит в интернет. Пример 👇

У вас 4 виртуалки и 1 база под корп портал, объединенные в приватную сеть. Одна из виртуалок должна раз в месяц скачивать обновления для Битрикса. Вот тут-то и пригодится роутер, который пропустит ее в сеть за обновлением. Безопасно и без переплаты за внешние IP.

В наличии: роутеры с резервированием (High Availability, aka HA) и без. Если вы проектируете полностью отказоустойчивую инфру, то HA — это мастхев, и за него стоит переплатить. Если отказоустойчивость роутера не важна, рекомендуем выбрать самый доступный по цене тариф.

🦐 Минималка без HA: 1 нода, 1 CPU, 1 RAM + IP — 300 руб/мес
🦑 Максималка с HA: 2 ноды, 6 CPU, 8 RAM + IP — 3 150 руб/мес

Ищите в панели → «Сети» → «Роутеры» и выбирайте нужный регион и конфиги.

Потестить роутер на своей сети →

Измеряйте качество интернет-соединения с помощью сервиса Selectel Speedtest ⚡

Selectel уже более семи лет поддерживает собственный инструмент для измерения качества интернет-соединения — Selectel Speedtest. 

С помощью сервиса вы можете отслеживать скорость скачивания и загрузки, а также пинг и задержки при передаче данных (джиттер). Ежемесячно Selectel Speedtest помогает более 20 000 пользователей. 

На странице Selectel Speedtest представлены тестовые файлы разного объема, с помощью которых можно легко проверить качество интернет-соединения. При этом сервис не сохраняет данные о результатах.

Измерить качество интернет-соединения →

В процессе подготовки статьи "Как я зарегистрировал CVE и разозлил вендора" я искал статьи с практическими результатами по подмене локального времени жертвы (при синхронизации через NTP). Это оказалось нелегко: чаще всего статьи были теоретическими. Но, я нашёл и довольно интересную статью от 07.11.2024: Quantitative Risk Analysis of Network Time Protocol (NTP) Spoofing Attacks. Часть вопросов, которые изучаются в статье:

• рассмотрены атаки на ntpd, NTPSec, chrony, и OpenNTPD;

• оценивается возможность максимального смещения времени атакой (в условиях защитных механизмов атакуемых утилит);

• рассматриваются сложности атак.

Указывается, что остаются вопросы для дальнейшего изучения. Например, в части встроенных в различные ОС механизмов синхронизации времени.

Помимо этих вопросов - вот вопросы, которые у меня остались.

• Когда именно происходит синхронизация времени через утилиты или в ОС в обычной жизни? И как часто? Т.е. сколько времени нужно ждать атакующему для возможности совершить атаку? Принудительный перезапуск утилиты не рассматриваем.

• DHCP предусматривает периодическое обновление данных - не только IP-адрес, шлюз по-умолчанию и DNS. А и NTP (пример настройки NTP для DHCP в маршрутизаторе MikroTik). И тут 2 варианта атаки: либо получен доступ к DHCP серверу, либо подмена DHCP-пакетов (при атаке "человек посередине"). Как эти варианты атаки скажутся на системное время различных ОС, сконфигурированных по-разному (в т.ч. если даже в ОС используется более безопасный вариант вроде NTPSec и др.)? Тем более, что подмена NTP-сервера через DHCP во многом лишена тех сложностей, что описываются в статье.

• UPD: другой вариант - отравить кэш локального DNS-сервера (если в качестве сервера времени прописано доменное имя). Допустим, клиенты получают время от 0.ru.pool.ntp.org. И в качестве DNS сервера у них прописан роутер MikroTik, подверженный CVE-2019-3978.

Было бы любопытно ознакомиться с существующими best practices синхронизации времени, учитывающими все вышеуказанные риски (либо хотя бы пытающиеся их учитывать).

Другие статьи на эту же тему:

• Securing NTP against MITM attacks (от 09.12.2022);

• Как синхронизация времени стала безопасной (от 09.06.2020).

Команда ContestI2PTeam объявила о проведении соревнования по олимпиадному программированию в I2P для начинающих. Цель мероприятия: познакомить как можно больше талантливых программистов с сетью I2P.

По результатам соревнования, в соответствии с распределением по Гауссу (даже самые начинающие в обиде не останутся), будет выплачиваться криптовалюта Monero (XMR) из тех средств, что были пожертвованы на развитие ContestI2P.

С 24 по 31 июля 2025 года будет проходить пробный тур, чтобы попасть на основной тур, нужно решить хотя бы одну задачу пробного тура (вы не робот?)

1 августа будет проходить основной тур, только он будет влиять на итоговые результаты.

Более подробно смотрите http://contest.i2p/ (для перехода по ссылке требуется настроенная сеть i2p).

Как создать мультиаккаунт-ферму для любых целей: от TikTok до Amazon

Мультиаккаунтинг — основа множества задач: от продвижения в соцсетях и тестирования антифрод-систем до арбитража трафика, отзывов, заказов и автоматизации серых схем. Эта статья — техническое руководство по созданию собственной мультиаккаунт-фермы.

1. Зачем нужна мультиаккаунт-ферма

Массовое создание и управление аккаунтами востребовано в:

• TikTok / Instagram / YouTube (SMM, продвижение, фарм, масслайкинг)

• Amazon / eBay / Etsy (отзывы, возвраты, seller support)

• Tinder / Badoo / Facebook (фарм профилей, трафик, лидогенерация)

• Финансовые сервисы (регистрация, чекапы, симуляция пользовательской активности)

2. Инфраструктура: из чего состоит ферма

Управляющий скрипт / панель

• Язык: Python + SQLite / Redis

• Задачи: управление профилями, логами, заданиями

Эмуляторы / браузеры

• Android: MEmu, LDPlayer, Anbox (Linux)

• Браузерные: Puppeteer, Playwright, Selenium, антидетект-браузеры (Dolphin{anty}, AdsPower, Incogniton)

Прокси-серверы

• Mobile / Residential — лучшее для trust-оценки

• Автоматическая ротация, логика GEO под задачу

Серверная часть

• VPS / VDS с Linux или Windows

• Docker-контейнеры под каждое окружение

• Балансировка нагрузки

3. Создание аккаунтов: подходы

Ручной полуавтомат (через Android-эмулятор)

• Эмуляция касаний (ADB, Auto.js)

• Работа через антидетект-образы

Полностью автоматический (браузер + API)

• Использование Playwright + обфускация fingerprint

• Капча-решатели: 2Captcha, CapMonster, hCaptcha API

4. Управление и автоматизация

• Отслеживание статуса аккаунта: валидация, блок, SMS

• Система задания задач (task scheduler)

• Импорт/экспорт сессий и cookies

• Telegram-бот для уведомлений

5. Масштабирование

• Запуск десятков сессий в docker-контейнерах

• Использование headless-режима с обходом защиты

• Съём логов и дебаг-интерфейсы

6. Безопасность и устойчивость

• Разделение трафика по подпроектам

• Автоматическое обновление fingerprint’ов

• Логирование и автоотключение забаненных узлов

• Мониторинг прокси и доступов

Пример архитектуры

[ Telegram Bot ] <- уведомления / команды
       |
[ Flask API ] <-> [ SQLite / Redis ]
       |
[ Управляющий скрипт ] -> [ Docker / Android VM ]
                                |
                         [ Браузер / Эмулятор ]
                                |
                            [ Прокси-сервер ]

Что мы знаем о защите АСУ ТП?

В новой статье говорим о том, как складывается ситуация с кибератаками на реальный сектор в России и в мире, кто и как атакует предприятия, какие сегменты промышленных сетей самые уязвимые и что за средства используются злоумышленниками для атак.

Продолжаем принимать доклады на IT Elements 2025

Тук-тук! Это снова IT Elements — главное место встречи тех, кто делает ИТ в России.

10–11 сентября вот уже в третий раз мы соберем ИТ-сообщество в Москве. Готовьтесь к новым трекам, спикерам и грандиозной площадке! Кстати, регистрация уже открыта.

А вообще мы с хорошими новостями: до 15 августа продлили Call For Papers! Приглашаем экспертов, которые могут рассказать про сильный кейс, нестандартный опыт или нешаблонное решение поделиться своим опытом с комьюнити в рамках доклада. Главные требования — экспертность и актуальность темы. А еще важно, чтобы доклад не был представлен на других мероприятиях.

Рассматриваются заявки по основным направлениям конфы:

• ИТ-инфраструктура

• Сетевые технологии

• Кибербезопасность

• Данные и ИИ

Подать доклад

IT Elements в прошлом году это:

— 2500+ участников офлайн и 6000+ зрителей онлайн.

— 80+ докладов, дискуссий и мастер-классов.

— 125 спикеров из ведущих российских компаний: ВТБ, «Газпромнефть-Гео», «АльфаСтрахование», «Лаборатория Касперского», АЛРОСА, S7, Почта Банк, «ВымпелКом», НСИС и др.

— выставка 30+ вендоров и дистрибьюторов, а также большая лабораторная зона с воркшопами.

Станьте главным элементом IT Elements 2025 💙

Генеральный партнер конференции IT Elements — ИТ-компания «Инфосистемы Джет».

«Ростелеком» опроверг информацию об ограничении скорости интернета для абонентов, использующих более 4 ТБ трафика в месяц. В пресс-службе «Ростелекома» подтвердили, что условия и тарифы на домашний интернет для физических лиц не менялись. Безлимитные тарифы не имеют ограничений по объёму потребляемого трафика.

«Ростелеком» уточнил, что при аномально высоком трафике, в десятки или сотни раз превышающем средний уровень, скорость интернета может быть временно снижена. Это необходимо для проверки и защиты сетевой инфраструктуры, чтобы обеспечить стабильное предоставление услуг всем пользователям, согласно п. 3.4.11 Единых правил оказания услуг.

Этот пункт гласит, что «в случае создания абонентом значительной нагрузки на сеть связи, в том числе с использованием протоколов peer-to-peer», оператор не может гарантировать скорость передачи данных.

Youtube уберёт рекламу из видео на русском даже с VPN. Компанию замучали рекламодетели, чьи товары показывались в роликах, но не нашли покупателей. Теперь рекламу на платформе будут откручивать не по IP, а по языку контента.

В письме YouTube партнёрам говорится, что система была обновлена, чтобы точнее направлять рекламу на нужную аудиторию и исключать показы там, где они нецелевые. Как итог — для зрителей из России (и не только) просмотр русскоязычных роликов теперь всё чаще происходит без рекламы. На практике это работает как бесплатный YouTube Premium: без подписки и блокировщиков.

Смотреть можно, трогать нельзя: режим read-only в балансировщиках ☝️

Раньше в тикетах часто встречали:

«Я немного поменял настройки балансировщика для Кубика, и у меня все полетело».

Докрутили функционал, чтобы избежать сбоев при случайных изменениях. Вот, что сделали:

✅ Закрыли возможность управления балансировщиками, созданными для Kubernetes (из панели и через API). Теперь все настраивается только через манифесты.

✅ Добавили режим read-only для новых и уже созданных балансировщиков. В панели они помечены тегом + есть подсказки.

✅ И самое важное — критическая конфигурация кластера теперь защищена от случайных изменений и возможных сбоев.

Проверить на своем балансировщике →

Control Plane и User Plane в мобильной связи: зачем нужны два типа трафика и как они работают

Опорная сеть — это мозг мобильной связи. Именно она делает возможными звонки, мобильный интернет и все функции, к которым мы привыкли. Когда базовая станция ловит сигнал, переводит его в цифровой вид и передает дальше — в дело вступает опорная сеть. Она решает, что это за данные, кому они адресованы, есть ли у абонента на них право и куда их направить.

На ней держится все: авторизация пользователей, выдача IP-адресов, маршрутизация трафика, подсчет минут и гигабайт, подключение сервисов и связь между базовыми станциями и внешним интернетом. Все, что выходит за рамки простого «поймать сигнал», — уже ее зона ответственности.

Физически между базовой станцией и опорной сетью проходят два потока:

• Control Plane — управляющий трафик. Отвечает за процедуры подключения к сети, аутентификации, переключения между станциями, сессий и т. д.

• User Plane — пользовательский трафик. Это все, что идет от приложений пользователя: стриминговые сервисы, мессенджеры, браузер и так далее.

Они разделены как логически, так и физически. Такой подход нужен, чтобы обеспечивать надежность, безопасность и гибкость.

В статье Елена Степанова, ведущий инженер-программист в YADRO, объясняет, чем опорная сеть отличается от базовой станции, зачем в 5G сотни микросервисов и как устроена архитектура мобильной связи.

Онлайн-переводчик DeepL стал недоступен в России из-за «необходимости соблюдать законы и международные санкции»

Ограничение доступа не было ошибкой.

Только что ответили на мой запрос.

DeepL заблокировали в России — это тотальный бан онлайн-переводчика от самой компании. Недоступен сайт, приложение и даже API. Вместо сайта теперь открывается лаконичная заглушка «Unavailable in your region». Никаких официальных комментариев нет. Базируется DeepL в Германии.

В первых числах июня я заметил новинку в интерфейсе Хабра, судя по всему незамеченную большинством пользователей. Этот пост создан для того, чтобы познакомить с изменениями в дизайне Хабра.

В соответствии с частью 7 статьи 15.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» уведомляем, что на основании решения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10.03.2025 № 2024-12-26-9056-СОБ указатель (указатели) страницы (страниц) сайта в сети "Интернет" https://habr.com/ru/articles/870110/ включен(ы) в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено», номер реестровой записи 3014324-РИ в связи с тем, что данный указатель (указатели) страницы (страниц) сайта в сети "Интернет" содержит запрещенную информацию о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации.

Сходу я нашел такие страницы, возможно вы найдете еще:

1. https://habr.com/ru/articles/911640/

2. https://habr.com/ru/articles/843928/

3. https://habr.com/ru/articles/870110/

4. https://habr.com/ru/articles/866572/

5. to be continue...

Уязвимость в протоколе REALITY XTLS/Xray-core: быстрый фикс уязвимости Aparecium

На прошлой неделе была обнаружена уязвимость в известном ПО для создания прокси соединений XTLS/Xray-core, а именно в протоколе REALITY, позволяющая выявлять работу этого протокола.

Для тех, кто не в курсе: REALITY — это уникальный протокол прокси, который позволяет маскировать прокси-трафик под легитимное посещение реальных сайтов (например, google.com или любого другого), при этом не требуя покупки домена и настройки TLS-сертификата на своем сервере.

Обнаружение уязвимости

В начале июня 2025 года исследователь под ником ban6cat6 опубликовал утилиту под названием Aparecium. Ее цель — находить серверы, использующие протоколы вроде REALITY.

В чем была суть уязвимости?
Утилита обнаружила, что серверы на базе OpenSSL после завершения основного TLS-рукопожатия (handshake) обычно отправляют клиенту один или два служебных сообщения NewSessionTicket. Это стандартное поведение, позволяющее возобновлять сессии. Протокол REALITY в своей реализации это поведение не имитировал.

Это тонкое различие позволяло Aparecium с высокой точностью отличать настоящий веб-сервер от сервера с REALITY, просто проанализировав последовательность TLS-сообщений.

Быстрый фикс

Информация об уязвимости была опубликована в виде issue #4778 в репозитории Xray-core. Разработчики, в частности RPRX, отреагировали практически молниеносно.

Вместо того чтобы добавить отправку фейковых NewSessionTicket, они пошли по более правильному пути. Уже через несколько дней в версии Xray-core v25.6.8 появилось «предварительное» решение:

Теперь при первом запуске сервер REALITY, используя отпечаток клиента Chrome, сам подключается к целевому сайту (dest), «подсматривает», какие именно post-handshake сообщения и какой длины тот отправляет, кэширует эту информацию и в дальнейшем идеально имитирует именно это поведение.

На это «зондирование» уходит около 30 секунд при первом старте сервера, но оно по большей части решает основную проблему. Вместе с этим был исправлен и неприятный баг с производительностью из-за неработающего аппаратного ускорения AES-NI.

Глубокий анализ

Казалось бы, проблема решена, однако разработчики начали копать глубже, и вот что выяснилось:

1. Загадка «лишнего пакета» от bilibili.com
   Один из разработчиков заметил, что при подключении к некоторым сайтам (например, bilibili.com) с отпечатком Chrome, сервер возвращает не только NewSessionTicket, но и еще один небольшой пакет. После анализа выяснилось, что это не TLS-сообщение, а кадр настроек HTTP/2 (settings frame). Это значит, что для идеальной маскировки нужно имитировать не только TLS-уровень, но и поведение прикладного протокола (HTTP/2), который был согласован в ходе рукопожатия.

2. Проблема разных отпечатков (fingerprints)
   Выяснилось, что один и тот же сайт может по-разному отвечать на ClientHello от разных клиентов. Например, на запрос с отпечатком Chrome он может отправить два NewSessionTicket и settings фрейм, а на запрос от Go-клиента — только один NewSessionTicket. Похоже, что статического зондирования недостаточно.

3. Идея «живого обучения»
   В ходе мозгового штурма родилась идея для долгосрочного решения, которое было оформлено в issue #4788. Суть в том, чтобы сервер REALITY, получив ClientHello от нового клиента, не просто использовал стандартный отпечаток для зондирования, а копировал отпечаток реального клиента и именно с ним обращался к целевому сайту. Это позволит динамически адаптироваться под любого клиента и достичь практически идеальной мимикрии.

Разработчики рекомендуют всем обновить сервера и клиенты, использующие Xray-core, до версии 25.6.8.

Как обнаружить anycast-адреса сервисов при помощи неравенства треугольника

Технически, по одному и тому же IP-адресу может отвечать всякий интернет-узел, который находится на (двунаправленном) техническом пути следования пакетов. Чтобы такое работало без запинки для многих IP-источников - требуется согласовать пути следования пакетов на уровне IP-сети, то есть, средствами BGP. Штатный способ использования этой особенности называется Anycast. Настроить и поддерживать сложно, но, при грамотном подходе, метод отлично работает и достаточно широко используется в глобальной Сети. При Anycast один и тот же IP-адрес, наблюдаемый из разных точек Интернета, адресует разные физические узлы. Эти физические узлы могут быть географически распределены - ближе к пользователям. Обычно, так и делается, потому что это одно из основных практических преимуществ Anycast, но далеко не единственное преимущество - anycast-адреса могут быть разведены средствами BGP и коммутации сетевых сегментов из соображений устойчивости к DDoS-атакам, распределения прочей нагрузки, повышения надёжности и т.д. Примеры: 1.1.1.1, 8.8.8.8, многие корневые DNS-серверы.

Как подручными средствами проверить, что какой-то интернет-сервис стоит за anycast-адресами? Для этого нужно использовать неравенство треугольника. Тестируемый узел должен отвечать в рамках того или иного протокола, который позволяет измерить сетевое время доставки пакетов.

Методика. Пусть мы обнаружили IP-адрес сервиса (обычно, из DNS) и хотим его проверить. Пусть узел под этим адресом отвечает по ICMP - ping. Возьмём два опорных узла-источника, расположенных в совсем разных местах Интернета: например, узел в Амстердаме (обозначим его А) и узел во Владивостоке (соответственно - В). Тестируемый узел назовём Т. Принцип: если среднее время доставки ping между А, В (А <--> В) существенно превышает сумму ping для А --> Т и В --> Т, то сервис, работающий на узле T, скорее всего, использует Anycast. Поэтому измеряем время силами ping. Это и есть нарушение неравенства треугольника: если сумма расстояний (в смысле ICMP) от каждой из точек тестирования к тестируемому узлу меньше, чем расстояние между этими точками, то тестируемый узел - это, скорее всего, как минимум два узла, использующих один и тот же IP-адрес, то есть, это anycast-адрес.

Конечно, тут всегда есть место для погрешности, однако в подавляющем большинстве случаев Anycast так виден - иначе в нём не было бы смысла. Можно взять несколько опорных точек, а не две, тогда точность возрастёт.

Positive Technologies представляет новую версию PT NAD 12.3. 

Главное в продукте: повышение производительности, плейбуки и возможность хранения метаданных в облаке.

🗓️ 5 июня на онлайн-запуске PT NAD 12.3 вы сможете узнать, как команда продукта трансформирует подход к обнаружению сетевых атак за счет централизованного управления, опции хранения метаданных в облаке и плейбуков. 

📌 Добавляйте слот в календарь: 5 июня, 14:00.

В программе:

🔻 Экспертиза: обновленные модули, репутационные списки и плейбуки — чтобы ваша команда могла быстрее реагировать на угрозы;

🔻 Центральная консоль: как сократить затраты на команду мониторинга и контролировать атаки во всех филиалах из единой точки;

🔻 «Облако» vs локальные хранилища: гибкое хранение метаданных для экономии денег без потери скорости;

🔻 Скорость: оптимизация производительности для ускорения анализа угроз и обработки трафика даже в крупных сетях. 

✍️ Регистрируйтесь на онлайн-запуск PT NAD 12.3 по ссылке.

📌 Добавляйте слот в календарь: 5 июня, 14:00

На GitHub опубликовали новый инструмент для обнаружения протоколов маскировки TLS Он получил название Aparecium и способен выявлять ShadowTLS v3 и REALITY, которые маскируют зашифрованный трафик под легитимный TLS 1.3.

Aparecium использует особенности реализации TLS, чтобы обнаружить аномалии в поведении протоколов маскировки. ShadowTLS и REALITY, например, часто не обрабатывают отправляемые сервером сообщения NewSessionTicket должным образом, что позволяет выявить их использование.

Серверы на базе OpenSSL отправляют два сообщения NewSessionTicket одинаковой длины в одном TCP‑пакете, что также является характерной особенностью, отсутствующей в протоколах маскировки.

Представлен дашборд для поиска в интернете данных по запросам ИБ CyberOSINT от геолокации до поисковых запросов в браузере пользователей, компаний по следам в интернете. Решенеи на базе конструктора Google Dork парсит информацию в открытых каналах.

Как развернуть сервис для сбора данных с 500 000 транспортных средств

Представьте, что вы собираете данные с полумиллиона автомобилей: скорость, маршрут, расход топлива, маневры — каждую секунду, без сбоев и потерь. А затем превращаете эти данные в понятные отчеты для тысяч компаний. Справитесь?

Компания «ГЛОНАССSoft» справляется — на инфраструктуре Selectel. В Академии Selectel рассказываем, как команда:

• обрабатывает 25 миллионов запросов в день,

• держит инфраструктуру стабильной под высокой нагрузкой с SLA 99,995% за счет репликации, облачных балансировщиков и производительного железа,

• защищает API с помощью файрвола и настроек сети,

• минимизирует риски потерь данных благодаря S3-хранилищу.

⚡️Нейросеть Илона Маска Grok стала частью Telegram — об этом объявил Павел Дуров.

Уже в ближайших обновах добавят много крутых фич:
— Можно будет задавать Grok вопросы прямо в поиске;
— Grok сможет менять стиль вашего сообщения и делать его более подробным;
— Можно будет делать выжимки больших сообщений и файлов;
— Grok сможет быть модератором чатов;
— Нейронка сможет проводить фактчеккинг постов из каналов.

Также Telegram получит $300 млн. за партнёрство с Илоном Маском, которое рассчитано на год.

💬 Google выпустил свой генератор речи.

Он в точности копирует речь живого человека, добавляя паузы, смены интонации, тембр, смех и кашель.

Также внутри есть большая библиотека голосов и возможность выбора несколько спикеров, чтобы сделать свой подкаст 😧

Работает на базе Gemini 2.5 Flash Preview TTS и поддерживает русский язык.

➡️ Потестить бесплатно можно в AI Studio. Для этого выбираем Generate Media — Gemini Speech Generation.

Кстати недавно выкладывал интересную инфу про Gemini, кто не чекал советую ознакомиться.

Коллеги, если вы знаете, что такое TAP и SPAN, вам не безразличны вопросы зеркалирования и оптимизации сетевого трафика, а ещё хочется узнать, как в этом помогают брокеры сетевых пакетов, то 23 апреля мы ждем вас на техническом вебинаре, где мы подробно обсудим эти темы. А ещё помимо слайдов с картинками будет живая демонстрация работы ответвителей трафика DS TAP и пакетных брокеров DS Integrity в связке c системой анализа сетевого трафика PT NAD.

Зарегистрироваться нужно тут, присоединяйтесь!

Когда тема ИБ вышла за пределы профессиональной аудитории и попала в федеральные СМИ, мы не можем пройти мимо. А когда речь идёт ещё и об одной из самых удобных баз уязвимостей, мы просто обязаны вставить свои 5 копеек.

Итак, представим, что с финансированием CVE всё будет плохо и российские пользователи перестанут получать информацию об актуальных уязвимостях. Руководитель технического центра «АйТи Бастион» Владимир Алтухов видит в этом ещё один шаг в направлении антиглобализации мира ИБ. Универсальный для всех специалистов на планете инструмент исчезает, поэтому возникает необходимость пользоваться чем-то своим.

Не стоит радоваться тому, что не надо будет закрывать какую-то Цэ-Вэ-Ешку – обязательно придётся закрыть очередную БДУшку!

Перед лицом глобальной проблемы у России есть пусть небольшое, но преимущество. В нашей стране уже существует отечественный Банк данных угроз информационной безопасности, он нужен и востребован, хоть пока и ограничен по географическому признаку. Гипотетическая ситуация прекращения поддержки базы CVE станет очередным вынужденным шагом к самостоятельному развитию и более скрупулёзному подходу к управлению безопасностью.

Да, с учётом геополитической нестабильности, исключать внезапное отключение от всего привычного нельзя. Поэтому в очередной раз настоятельно рекомендуем быть готовыми заранее к любому развитию событий. Базовый набор «подушки безопасности от неизвестных уязвимостей» прост:

✅ Минимизировать привилегии при доступе к целевым ресурсам. Лучше всего сделать это с помощью PAM-системы, выполнение основных функций которой укладывается в большинство векторов атак, построенных на превышении привилегий.

✅ Соблюдать принцип Zero Trust.

✅ Отдавать предпочтение зрелым продуктам ИБ с подтверждённым уровнем доверия и на сертифицированных ОС.

Подборка задачек на тему сетевых технологий от Selectel

Привет, Хабр! Как насчет того, чтобы отвлечься от рабочих задач и порешать небольшие головоломки? Знаю, вы такое любите, поэтому вот подборка из Академии Selectel. По ссылкам доступны полные условия и пошаговое решение каждой задачи.

• Задача о пропавшем интернете и резервировании каналов связи. Вы — создатель онлайн-игры, которая в последнее время набрала завидную популярность. Ваши игровые серверы доступны 24/7, и аудитория стремительно растет. Все вроде бы хорошо, пока в офисе не пропадает интернет… Настройте BGP и политики маршрутизации так, чтобы стоимость интернет-трафика оказалась минимальной, но доступ в интернет был зарезервирован от аварий у любого из операторов связи.

• Задача об адресации в локальной вычислительной сети. Артем работает в сетевом департаменте фабрики по производству плюшевых тирексов. У фабрики появилось новое здание, для которого Артем проектирует локальную вычислительную сеть. Есть блок адресов 172.65.0.0/23 и восемь отделов, которым нужно определенное количество адресов. Помогите Артему разбить блок адресов 172.65.0.0/23 по отделам.

• Задача об IP-адресе подсети. Даша мечтает попасть на стажировку в сетевой департамент IT-компании. Чтобы пройти отбор, ей необходимо решить задачу: найти адрес подсети, зная IP-адрес 192.168.150.111 и маску 255.255.255.224. Помогите ей найти адрес подсети и попасть на стажировку.

• Задача об отказоустойчивом построении сети. У вас есть два сервера, на которых расположен один и тот же сервис. Он имеет один IP-адрес. Есть master-нода и standby-нода. Вам нужно защитить сервис на случай падения сервера. Реализуйте схему «горячего» резерва, то есть без выключения standby-ноды.

• Задача об IP-адресах для новых сотрудников. В компании появилось пять новых сотрудников, и HR попросили сисадмина Платона помочь в подготовке рабочих мест. У него есть список IP-адресов, но только часть из них можно назначить коллегам. Определите, какие адреса можно использовать, а какие нет. Объясните, почему другие не подходят.

Задача о поиске чувствительных данных в дампе трафика

Условие
Представьте, что кто-то получил нелегитимный доступ к серверу по API. Вы провели внутреннее расследование и — о ужас! — нашли опубликованный в интернете файловый сервер. Его серый адрес — 192.168.1.47. Известно, что сервер использовался как файлообменник для IT-специалистов. Возможно, что-то ценное утекло именно оттуда.

Задача
Скачайте дамп трафика по ссылке dump.pcap и проанализируйте его. Найдите, в каком файле находились чувствительные данные, используемые для доступа к серверу по API.

Делитесь своим ответом в комментариях. А посмотреть полное решение можно в Академии Selectel.

Как заговорить с сетевиками на одном языке? 😎

В Академии Selectel появился бесплатный курс «Погружение в компьютерные сети». Он поможет разобраться в принципах работы, понять ключевые термины и уверенно ориентироваться в основах. Всего час — и сложные вещи станут простыми.

Курс подходит новичкам, которые хотят разобрать тему по полочкам. Но и опытным специалистам будет полезно: с этими материалами вы восполните пробелы в знаниях и вспомните все, что забылось со временем.

Начните обучение в Академии Selectel прямо сейчас ➡️

Call for papers: принимаем заявки от докладчиков на infra.conf до 5 апреля

Мы готовимся к infra.conf 2025 — летней конференции про создание инфраструктуры и эксплуатацию высоконагруженных систем от команды Yandex Infrastructure. 5 июня обсудим список наиболее интересных хардкорных тем:

• базы данных: шины, брокеры, OLAP, хранение и обработка данных;

• платформы разработки / инфраструктура разработки;

• инфраструктура для мобильной разработки;

• инфраструктура для фронтенда;

• ML‑инфраструктура;

• виртуальные машины, гибридные облака, контейнеры;

• мониторинг, observability;

• ДЦ/ЦОДы, железо, аппаратное обеспечение;

• умные устройства, системная разработка.

В 2025 году событие пройдёт во второй раз — смотрите в нашем плейлисте, как это было прошлым летом.

До 5 апреля вы можете подать заявку на доклад infra.conf 2025 — для этого нужно заполнить форму.
На этапе заявки достаточно черновых тезисов и общего плана выступления.
Программный комитет будет готов обсудить ваши идеи и предложения. Финальное решение по докладам примем до 20 апреля.

По возникшим вопросам вы можете обратиться  к координатору infra.conf Саше Галкиной.