Сетевые технологии *

Call for papers: принимаем заявки от докладчиков на infra.conf до 5 апреля

Мы готовимся к infra.conf 2025 — летней конференции про создание инфраструктуры и эксплуатацию высоконагруженных систем от команды Yandex Infrastructure. 5 июня обсудим список наиболее интересных хардкорных тем:

• базы данных: шины, брокеры, OLAP, хранение и обработка данных;

• платформы разработки / инфраструктура разработки;

• инфраструктура для мобильной разработки;

• инфраструктура для фронтенда;

• ML‑инфраструктура;

• виртуальные машины, гибридные облака, контейнеры;

• мониторинг, observability;

• ДЦ/ЦОДы, железо, аппаратное обеспечение;

• умные устройства, системная разработка.

В 2025 году событие пройдёт во второй раз — смотрите в нашем плейлисте, как это было прошлым летом.

До 5 апреля вы можете подать заявку на доклад infra.conf 2025 — для этого нужно заполнить форму.
На этапе заявки достаточно черновых тезисов и общего плана выступления.
Программный комитет будет готов обсудить ваши идеи и предложения. Финальное решение по докладам примем до 20 апреля.

По возникшим вопросам вы можете обратиться  к координатору infra.conf Саше Галкиной.

🗓 21.03.2006 - Запуск Twitter [вехи_истории]

В этот день в 2006 году разработчик Джек Дорси отправил первое сообщение в только что созданной социальной сети Twitter. Его короткий твит:

just setting up my twttr

положил начало новой форме коммуникации, где пользователи могли делиться своими мыслями в формате коротких сообщений длиной до 140 символов.

Изначально Twitter задумывался как платформа для обмена статусами в реальном времени, но вскоре превратился в мощный инструмент новостей, маркетинга и общественного обсуждения. Со временем ограничения были расширены, появились хэштеги, ретвиты и возможность прикреплять мультимедийный контент.

📼 Сегодня Twitter уже нет, есть X.com. А почему Twitter стал таким лакомым кусочком для Илона Маска и почему такие сервисы стоят дорого и могут приносить много денег - уже на канале)

1️⃣ История КРАХА Twitter. Как Илон Маск ЗАХВАТИЛ синюю птичку
YouTube | VkVideo

2️⃣ КАК нас ПРОСЛУШИВАЮТ крупные компании
YouTube | VkVideo

YouTube | RuTube | Telegram | Pikabu

Через час подключайтесь к вебинару о сетевых дисках для выделенных серверов

В 12:00 мск начнем вебинар «Как работать с сетевыми дисками для выделенных серверов». Поговорим о новой фиче выделенных серверов Selectel — сетевых дисках. Обсудим ее с двух точек зрения — технической и продуктовой, а еще расскажем, как создавать сетевые диски и подключать их к серверам.

Смотреть на YouTube →

Смотреть во ВКонтакте →

Программа вебинара

• Введение в работу с сетевыми дисками: зачем они нужны и какое развитие ждет этот сервис;

• Архитектура сетевых дисков и демо подключения диска к хосту или группе хостов.

Кому будет интересно

• Системным администраторам;

• DevOps-инженерам;

• Техлидам.

Спикеры расскажут, как работают сетевые диски для выделенных серверов. Объяснят, как устроена архитектура сервиса, покажут подключение диска к хосту или группе хостов Proxmox, а также пример использования в частной виртуализации. Готовьте вопросы: эксперты обязательно на них ответят в конце вебинара.

Подключиться к трансляции →

Что ни месяц в наступившем году, то новое сообщение НКЦКИ о компрометации информационной инфраструктуры крупнейших российских компаний, связанных с ИБ.

Перед нами новое веяние в плане развития атак на цепочки поставок, — считает руководитель отдела развития продуктов «АйТи Бастион» Алексей Ширикалов.

Цепочки поставок, безусловно, остаются трендом атак, но от него отделяется ветка по атакам на поставщиков ИБ решений.

Вот, что происходит: злоумышленник может получить доступ к инфраструктуре заказчика, который, как положено в регламентах, установил себе средства защиты; но через подрядчика этот доступ может оставаться замаскированным под легитимный, в том числе проходящим через те же средства ИБ, с помощью которых в «целевой компании» пытаются выстроить защиту.

Если злоумышленнику повезёт, то он ещё и получает доступ к внутренним данным о том, как работает средство ИБ в инфраструктуре жертвы, или же у атакующего появится простор на поиск уязвимостей.

Вывод напрашивается, и мы его озвучим: ко всем подрядчикам необходимо относиться как к потенциальной угрозе‼️

⚫️ Обязательно предъявляйте требования по ИБ исполнителю подряда кстати, мы уже ждём от регуляторов появления рекомендаций о необходимых средствах защиты информации, которые должны быть у подрядчика
🟠 Контролируйте доступы
⚫️ Контролируете ролевые модели
🟠 Убирайте избыточные доступы
⚫️ Отслеживайте выполняемые пользователем действия и выявляйте попытки нетипичных действий в рамках легитимных сессий (поведенческий анализ)
🟠 Персонализируйте УЗ для доступа — никаких root и т.д.
⚫️ Берегите учётки и пароли, особенно привилегированные

Что касается громкой мартовской компрометации, то надеемся, учётки важных ресурсов не ушли в подрядчиков, и волна не дошла до заказчиков. А сама пострадавшая компания, на чьём сервисном центре произошёл инцидент, сделала всё грамотно. Можно использовать в качестве методички на случай серьёзного происшествия.

✅ Сообщили в НКЦКИ и организовали совместную работу
✅ Прекратили сетевое взаимодействие с клиентскими системами
✅ Подключили расследовательские команды, чтобы минимизировать последствия
✅ Проинформировали заказчиков, чтобы «задраили люки» на время полного расследования

К слову, на случай подобных инцидентов может помочь наше решение Синоникс со своими ограничениями и контролем информационного обмена.

Остаётся добавить немного из практического опыта — 15-минутный инцидент с пребыванием злоумышленника в инфраструктуре может затянуться на долгие месяцы расследования. А это ощутимый удар по бизнес-процессам, которые — в идеальной картине мира — должны продолжаться в части доступа к заказчикам, уже только после полного расследования атаки и устранения всех «хвостов».

К концу 2024 ICL Services завершила проект миграции 150+ тысяч рабочих мест госслужащих Татарстана на ОС Astra Linux. Обойдя 10 конкурентов, этот проект стал победителем в номинации «Лучшее отраслевое решение/Госуправление» конкурса «Проект года» от Global CIO!

Об этом, а также как мы выполняли проекты для нашумевших Игр Будущего-2024, Чемпионата Мира по Футболу FIFA 2018 и Универсиады в Казани в 2013 году, побеседовали руководитель отдела сетевых технологий Олег Цыганов и замдиректора по развитию бизнеса ICL Services Азат Фахрутдинов.

Ни единого разрыва: как ваш смартфон переходит из 4G в 3G или 2G

Сотовые операторы в России обслуживают более 260 миллионов абонентов (активных SIM-карт), а их сети работают с тремя поколениями технологий мобильной связи. Разберемся, как почти незаметно для нас смартфон переходит из LTE (4G) в 3G. А если базовой станции третьего поколения в зоне доступа не оказалось, то устройство подключается к 2G-сети.

Большинство операторов для взаимодействия между технологиями мобильной связи в части сервисов передачи данных используют архитектуру с Gn/Gp SGSN:

Мобильный трафик идет от абонента до базовой станции по радиоинтерфейсу и далее по транспортной сети оператора связи до шлюзов SGW и PGW — только потом выходит в интернет. Трафик на радиоинтерфейсе между устройством и базовой станцией, как правило, зашифрован, например, широко распространенным протоколом AES.

Трафик между базовой станцией и шлюзом SGW может быть зашифрован с помощью IPsec. Оператор анализирует трафик с помощью системы глубокого инспектирования трафика DPI. Эту систему реализуют на шлюзе PGW или на отдельном сетевом элементе — это так называемый standalone DPI.

Обычно для передачи мобильного трафика служит несущая по умолчанию (default bearer), которая позволяет подключиться к пакетным услугам. Несущая по умолчанию всегда является non-GBR, то есть не гарантирует скорость передачи данных. Поэтому при увеличении количества пользователей, которые подключены к одной базовой станции, скорость мобильного интернета снижается для каждого устройства. 

Для голосовых вызовов по сети LTE (VoLTE) используются две несущие. Первая — несущая по умолчанию с QCI5 для сигнальных сообщений. Вторая — выделенная несущая с гарантированной полосой пропускания (QCI1) для голосового трафика.

При перемещении пользовательского устройства между базовыми станциями обрыва связи не происходит благодаря контролируемой передаче управления соединением от одной базовой станции другой (процедура handover). При этом устройство обычно обслуживается теми же системами опорной сети. Впрочем, возможна смена сигнального узла MME или шлюза SGW.

Если 4G-покрытие от обслуживающей базовой станции ухудшается и рядом нет соседней 4G-станции, то устройство с помощью процедуры handover переводится на 3G-станцию либо перенаправляется на 2G-станцию.

В посте мы рассказали о взаимодействии различных технологий в части сервисов передачи данных. Михаил Бухтеев, который в YADRO отвечает за планирование функционала базовой станции LTE, подробно объясняет в статье, как передаются голосовые вызовы и как устроены мобильные сети.

У меня зазвонил телефон отвалился интернет.
Я пожаловадся провайдеру (большооой такой, на всю страну), провайдер прислал техника.

Техник с порога решил сыграть в продажника и заявил:
— У вашего роутера лампочки моргают одновременно, а надо чтоб вразнобой. Это значит что ваш роутер при смерти и вам нужно купить новый. А у нас есть вот такие модели: 1... 2... 3... И предложил мне купить одну из них.

Я выслушал его презентацию и вкратце рассказал ему что занимаюсь сетями и делаю это 20 лет. Техник погрустнел и приступил к выполнению своей, техарской, работы.

Надо сказать что свою работу он выполнил на 5+: стрельнул флюком физику, подключлся к моей линии своим роутером, и даже залез в конфиг моего микротика. В итоге нашел косяк там, где не ожидали. То есть чувак реально молодец — я бы не догадался посмотреть в том месте, чесслово...

Интернет поднялся.

В конце техник начал намекать что надо бы заплатить 500р. А чо, интернет же есть!
Я бы заплатил ему мимо кассы и даже в 2 раза больше. Если бы не дичь про "одновременно моргающие лампочки"...
Но увы, это был не его день.

Гражданин провайдер, если ты хочешь сделать продажников из своих технарей, обучай их хотя бы элеметарному. А то и вы роутер не продали, и техник бесплатно сходил...

Учимся в сетевые интерфейсы на Linux: руководство по netlink

В интернете я нашел всего одну статью, где описывали мониторинг сетевых портов. Это был хороший старт, но для решения моей задачи информации оказалось недостаточно. Уже во время написания этой статьи я нашел еще пару материалов, которые, как я рассчитываю, хорошо дополнят мой. Помимо статей, нашел несколько man-страниц, в которых описаны пакеты, параметры, структуры и даже есть примеры кода. Оттуда я взял готовый код, способный получать информацию о появлении нового интерфейса и добавлении его в vlan. Но задача требовала отслеживать намного больше параметров системы.

Следующая остановка — пакет iproute2. Iproute распространяется под GNU GPL 2, так что я скачал исходники, собрал их и начал разбираться в коде на C. Чтобы проще понимать логику, я удалял некоторые участки кода, в которые при вызове моей функции программа не входила. Затем пересобирал программу и продолжал изучение и трассировку. Так я понял общий принцип обработки пакетов и сделал обработку пары дополнительных параметров. Но оставалось еще много других условий.

В какой-то момент я вспомнил про утилиту strace: с ней стало проще изучать код и ориентироваться в нем. Strace позволяла увидеть финальный этап работы функции и все ее параметры. Решая свои задачи, я копировал и адаптировал код из iproute. Я не особо вникал во внутреннее устройство протокола, но с каждым этапом разработки это становилось все сложнее и сложнее.

Наконец, я сделал обработку всех параметров кроме одного. В функции его обработки в iproute вызывалась обработка какого-то системного файла, и это было очень странно, так как я видел этот параметр в сообщении netlink через strace. Я зашел в тупик. Код выглядел очень страшно и совсем не нравился мне. Покопавшись в этом еще один день, я понял, что так продолжаться не может. Я решил переписать все заново без использования кода из iproute. Хотел сделать код красивым и максимально понятным для тех, кто будет читать его после меня.

О том, как с помощью netlink узнать, что именно делает система при настройке сетевых интерфейсов и как обрабатывать ее команды, читайте в статье Тимура Аммаева.

Задача об IP-адресах и забывчивых сотрудниках

Задача для всех, кто увлекается темой сетей и логикой.

Условие

Руководство компании придумало, как повысить эффективность департамента, и разделило его на отделы поменьше. Так появилось четыре команды: автоматизации, эксплуатации, дебаггинга и общего администрирования.

На еженедельной встрече руководитель рассказал сотрудникам, кто и в какую команду переходит. Но шестеро коллег все забыли: Аркадий, Елисей, Ангелина, Юрий, Яна и Мирон. Они знают только свои новые IP-адреса, записанные на стикерах.

• 10.41.2.176/29 — Юрий; 

• 10.10.9.222/29 — Аркадий;

• 10.10.9.218/29 — Яна;

• 10.35.87.8/25 — Ангелина;

• 10.41.2.178/29 — Мирон;

• 10.10.9.227/29 — Елисей.

Также известно, что в администрировании два человека, один из которых неправильно записал последнюю цифру своего адреса. В эксплуатацию также двое, а в дебаге — девушка.

Задача

Помогите определить, в какие команды попали сотрудники компании.

Делитесь своими ответами в комментариях. А проверить себя можно в Академии Selectel →

Немного важной информации

Коллеги, добрый день! Я создал Telegram-канал от сетевика для сетевиков.
Если ты сетевой инженер, системный администратор, разработчик, студент или просто увлекаешься сетями — тебе сюда.

🔹 Что тебя ждет?

✅ Разборы глобальных сбоев и неожиданных сетевых проблем.

✅ Мини-статьи с полезными фишками и объяснением сложных тем простым языком.

✅ Истории из жизни сетевиков — в том числе от подписчиков (и за это я готов заплатить).

🚀 Без воды — только полезный контент. 

🚀 Без рекламы — только инженерные разборы от человека, который не раз облажался в серверной.

🚀 Анонимно — никаких продаж курсов, рекламы вендоров или компаний. Только чистая инженерная соль.

Большая просьба подписаться и позвать коллегу— будет интересно!

Ссылка на канал https://t.me/ProstoKirReal

Модель TCP/IP (Transmission Control Protocol/Internet Protocol) является основой для функционирования Интернета и большинства современных компьютерных сетей. Она описывает, как данные передаются между устройствами, обеспечивая надежную и эффективную связь. Модель состоит из нескольких уровней, каждый из которых выполняет определенные функции и использует свои протоколы для обработки данных.

Основные Протоколы

Два ключевых протокола, на которых основана модель TCP/IP, это:

• TCP (Transmission Control Protocol): отвечает за надежную передачу данных, гарантируя, что информация будет доставлена в целостности и в правильном порядке.

• IP (Internet Protocol): отвечает за адресацию и маршрутизацию данных, разбивая их на пакеты для передачи по сети.

Уровни Модели TCP/IP

Модель TCP/IP делится на четыре основных уровня:

1. Канальный уровень (Link Layer):

   • Этот уровень управляет передачей данных между узлами одной локальной сети.

   • Протоколы канального уровня определяют, как данные взаимодействуют с физической средой передачи (например, Ethernet).

   • Он обеспечивает передачу данных на физическом уровне и зависит от используемого оборудования.

2. Сетевой уровень (Network Layer):

   • Отвечает за маршрутизацию пакетов данных по сети.

   • Основной протокол этого уровня — IP, который не гарантирует порядок доставки пакетов или их полное получение.

   • В настоящее время используются две версии IP: IPv4 и IPv6. IPv4 поддерживает около 4,3 миллиарда адресов, тогда как IPv6 предлагает значительно большее количество адресов (примерно 3.4×10383.4×1038) для решения проблемы исчерпания адресов.

3. Транспортный уровень (Transport Layer):

   • Этот уровень инкапсулирует протоколы TCP и UDP.

   • TCP обеспечивает надежную передачу данных с контролем ошибок и гарантией порядка доставки.

   • UDP, в отличие от TCP, не устанавливает соединение и может использоваться для приложений, где скорость важнее надежности.

4. Прикладной уровень (Application Layer):

   • Этот уровень включает протоколы, с которыми взаимодействуют пользователи и приложения (например, HTTP, FTP, SMTP).

   • Он обеспечивает интерфейс для программного обеспечения для обмена данными через сеть.

Значение Модели TCP/IP

Модель TCP/IP является краеугольным камнем современных сетевых технологий. Она обеспечивает совместимость между различными устройствами и операционными системами, позволяя пользователям обмениваться данными независимо от их местоположения или используемых технологий. Благодаря этой модели стало возможным создание множества интернет-приложений и сервисов, которые стали неотъемлемой частью повседневной жизни.

Заключение

Понимание модели TCP/IP и ее уровней критически важно для всех профессионалов в области информационных технологий. Эта модель не только описывает механизмы передачи данных в Интернете, но также служит основой для разработки новых сетевых технологий и приложений. Развитие модели продолжает адаптироваться к новым вызовам и требованиям современного мира связи.

Разработчик решил узнать, какую информацию о нём собирают бесплатные игры на смартфоне. Результат оказался печальным. Например, iPhone выдал третьим лицам данные о зарядке, адрес, объём свободного места на телефоне, подключение наушников и даже значение яркости экрана. При этом, игре специально запретили собирать любые данные со смартфона. Такие запросы передаются каждую секунду. Потом разработчик нашёл рекламного брокера, у которого купил всю эту информацию о своих действиях со своего смартфона.

В соответствии с распоряжением Оперативно-аналитического центра при Президенте Республики Беларусь, с 10:00 25 января до 23:59 27 января 2025 года белорусские хостинг-провайдеры ограничат доступ к виртуальному хостингу из-за пределов Республики Беларусь. Эти меры обусловлены угрозами для объектов информационной инфраструктуры и информации, обрабатываемой с их использованием.

Cloudflare пока не фиксирует полного восстановления сервисов TikTok в США в рамках работы сетей связи ByteDance (AS396 986).

Ранее социальная медиа‑платформа TikTok сообщила о возвращении доступа пользователям в США. Однако возвращение приложения происходит без поддержки Apple и Google, поскольку оно по‑прежнему недоступно в App Store и Google Play.

19 января пользователи в США рассказали, что обход блокировки TikTok для них оказался очень сложным. Смена IP‑адреса не помогала, поскольку ограничение действует как по местоположению, так по стране регистрации устройства. ByteDance сама ограничила доступ к сервису по геолокации. Кроме того, бан TikTok в США ограничил доступ к сервису для пользователей из Канады.

Разработчик Python‑библиотеки TikTokLive Айзек Коган рассказал о способе обхода блокировки TikTok в США. Коган настроил прокси‑сервер в Германии и направлял все запросы в TikTok через этот IP‑адрес, чтобы обойти основные ограничения. Таким образом он получил доступ к фронтенд‑серверам, в том числе HTML‑страницам. Разработчик сделал это заранее — до бана китайской платформы.

Задача о поиске секретной службы

Задача подойдет для специалистов по информационной безопасности и всех, кто интересуется CTF-турнирами.

Условие

Вы давно ищете путь к секретной службе. И вот, наконец, вам удалось перехватить трафик, в котором должен быть ключ к получению ее адреса. Разберите дамп и следуйте верным маршрутом.

Задача

Найдите флаг — строку в формате slcctf{}. 

Чтобы выполнить задание, перейдите на страницу Secret Service и скачайте файл dump.pcap.

Попробуйте решить задачу самостоятельно и делитесь своими идеями в комментариях. А если потребует помощь, ищите ответ в Академии Selectel.

У пользователей США проблемы из-за запрета TikTok: подростки звонят в службу спасения , чтобы пожаловаться на запрет, что приводит к неожиданным ситуациям Так, в сети появилась запись беседы оператора 911 штата Массачусетс и местного жителя, который бессвязно признаётся в любви к TikTok.

Возможное решение для пользователей их США:

• Создайте новую электронную почту.

• Купите виртуальный номер для получения СМС — не американский.

• Зарегистрируйте новый аккаунт в App Store и укажите любой другой регион.

• Важно: заходим в App Store с новой учёткой — не меняйте аккаунт в настройках телефона.

• Скачайте приложение заново.

• Пользуйтесь новым приложением только с обходом блокировок — иначе оно тоже отлетит.

Схема «якорного резака» — устройства для резки подводных кабелей, разработанного морскими инженерами из Университета Лишуй в Китае, 2020 год. Источник: Университет Лишуй.

Пользователи в Германии смогли обойти запрет и штрафы за торренты.

WebTransport: будущее потокового вещания и коммуникаций.

В сети появились интересное, как по мне, видео с конференции rubyconf2024. В нем рассказывается об эволюции веб-протоколов передачи данных, от веб-сокетов до веб-транспорта, а также грядущую спецификацию HTTP 3. Из видео можно узнать о двунаправленной потоковой передаче, дейтаграммах и потенциале веб-кодеков для потоковой передачи видео. 

Всем кому любопытно, то рекомендую к просмотру: https://youtu.be/WqYExpMWIUU?si=p4gSGHXkhHAS4LK_

Для питонистов и тем кому интересно хочу перекомендовать к прочтению статью о webtransport и библиотеке на python aioquic [habr].

Что такое веб-транспорт?

Web Transport — это новый веб-протокол, разработанный для улучшения существующих решений, таких как WebSockets и события, отправляемые сервером (SSE). Хотя Web Transport часто называют «WebSocket 2.0» из-за его расширенных возможностей, он предлагает более тонкие функции, такие как однонаправленная и двунаправленная потоковая передача, дейтаграммы и улучшенная обработка частичной надёжности. В настоящее время этот протокол поддерживается в виде черновика основными браузерами, такими как Firefox и Chrome, а вскоре его поддержка появится и в Safari.

Ключевые особенности

• Двунаправленная и однонаправленная потоковая передача: веб-транспорт поддерживает оба типа потоковой передачи, что делает его универсальным для различных задач.

• Дейтаграммы: в отличие от более ресурсоёмких веб-сокетов, дейтаграммы требуют меньше ресурсов и допускают потерю пакетов, что может быть преимуществом в сценариях, где надёжность не является критически важной.

• Приоритетная обработка: особенно полезна для таких приложений, как потоковое видео, где определённые критические кадры могут иметь приоритет над другими для обеспечения более плавной работы пользователя.

Город с двумя столицами: роль ASIC и CPU в L3-коммутаторе

Внутри коммутатора два физических устройства: CPU и ASIC. CPU принято называть Control Plane, там крутится сетевая операционная система, как правило, Linux. ASIC также называют Data Plane. 

CPU (Control Plane) отвечает за:

• сложную логику,

• обработку служебного трафика,

• управление ASIC.

ASIC (Data Plane) ответственен за:

• простую логику на основе таблиц,

• быструю обработку большого числа пакетов,

• разбор заголовков, выбор выходного порта и выходного набора заголовков,

• буферизацию, очереди, политики. 

Администратор, который сидит в CLI, находится на CPU, а интерфейс, который он конфигурирует, — на соседнем устройстве ASIC.  

Для простоты понимания можно думать о физическом устройстве коммутатора как о двух соседних городах. Первый город CPU — административный центр, он управляет своим соседом. Второй город ASIC — промышленный центр с крупными транспортными развязками и светофорами. 

Физические порты находятся в ASIC, но управлять ими надо на CPU. На CPU крутятся сетевые демоны и разные алгоритмы, которые обрабатывают сетевой трафик. Его можно разделить на два вида:

• Пользовательский. Например, фотографии котиков, которые при наличии всех маршрутов проходят через ASIC транзитом. 

• Служебный. ARP или протоколы маршрутизации, которые как раз должны обрабатываться демонами или алгоритмами на CPU.  

Еще больше про устройство коммутатора читайте в статьях Антона Гузарева, тимлида команды, которая разрабатывает ПО для управления сетевыми устройствами в YADRO. Через кейс с ошибкой в коммутаторе он последовательно рассмотрела каждый его уровень в двух статьях:

→ Разбираемся с железом и настройками конфигурации

→ Ищем проблему с доставкой картинок с котиками на разных уровнях L3-коммутатора: от CLI до SDK