Кстати, существует совершенно никудышний сиквел WarGames: The Dead Code. Но едва ли его кто-то сейчас вспоминает. А вот WarGames фильм хоть и нелепый, но оставил свой след: например, в 25 сезоне South Park в серии Back To The Cold War было забавно увидеть прямую отсылку к этой картине.
Спасибо за полезную статью. Как неопытный цефовод хочу спросить: зачем делать osd crush reweight если ceph osd out и так вывезет всё с OSD? По крайней мере, я обходился лишь этой командой.
Не знаю как по Windows, но под GNU/Linux yt-dlp вполне себе позволяет качать видео с RUTUBE:
~ $ yt-dlp --version
2025.10.14
~ $ yt-dlp 'https://rutube.ru/video/2d3f32cdb46639d370b686685b182ed6/'
[rutube] Extracting URL: https://rutube.ru/video/2d3f32cdb46639d370b686685b182ed6/
[rutube] 2d3f32cdb46639d370b686685b182ed6: Downloading video JSON
[rutube] 2d3f32cdb46639d370b686685b182ed6: Downloading options JSON
[rutube] 2d3f32cdb46639d370b686685b182ed6: Downloading m3u8 information
[rutube] 2d3f32cdb46639d370b686685b182ed6: Downloading m3u8 information
[info] 2d3f32cdb46639d370b686685b182ed6: Downloading 1 format(s): m3u8-2164-1
[hlsnative] Downloading m3u8 manifest
[hlsnative] Total fragments: 695
[download] Destination: Как мы строим сеть национального видеохостинга RUTUBE ⧸ Олег Аралбаев [2d3f32cdb46639d370b686685b182ed6].mp4
[download] 100% of 742.16MiB in 00:00:30 at 24.52MiB/s
[FixupM3u8] Fixing MPEG-TS in MP4 container of "Как мы строим сеть национального видеохостинга RUTUBE ⧸ Олег Аралбаев [2d3f32cdb46639d370b686685b182ed6].mp4"
Меня вообще удивила эта история, потому что лет десять назад в блоге Рутуба (кстати, где он?) была статья про эволюцию инфры и там значились Cisco ASR, Nexus 9300, 700Гбит/с, а тут внезапно "MikroTik", "статические маршруты, никакого BGP"...
Тем не менее, спасибо за статью - мне было интересно почитать, хотя я ваш доклад на GetNet смотрел уже :)
Да, только в какой-то момент времени браузеры перестанут выпускать обновления для "устаревшей ОС", а ряд популярных сайтов станут назойливо утверждать, что пора обновиться и, спустя время, вовсе перестанут корректно работать.
Но, справедливости ради, считать что окончание поддержки "десятки" даст ощутимую мотивацию сколько-нибудь ощутимой массовой миграции на свободное ПО действительно едва ли приходится.
Спору нет, что работает. Вопрос масштабов. Условные десять лет назад такое было куда проще провернуть. В международных сценариях (случай CF) и через десять лет всегда найдётся вариант влить поддельные src IP. Но я вижу что риск атак, например, с ломаных IoT устройств куда более весом и реален, а в перспективе станет ещё больше. Просто не будет иметь смысла искать оператора, через которого можно лить подозрительный трафик, когда можно устроить настоящий DDoS со "стопитсот" легитимных адресов, которые ещё фиг зафильтруешь.
Нет, это не так. Современные смартфоны по умолчанию при подключении по Wi-FI генерируют случайный MAC-адрес. Кроме того, Госуслуги если и полагаются на MAC-адрес, то в последнюю очередь - можете попробовать сами зайти с авторизованного устройства в другом браузере или режиме "Инконгнито".
IP адреса источника можно подделать на стороне отправителя. Если вы баните по IP источника SYN сегмента то у скрипткидди появляется отличная возможность, ну например, сделать ваш сервер недоступным для поисковиков или даже для вас самих.
Справедливости ради, это не такая уж тривиальная задача, ибо на старте такие пакеты будут порезаны оператором. Конечно, у кого-то uRPF может и не настроен, но в целом, кажется, это очень ограниченная в реализации атака.
Не зная ситуации, не могу ничего утверждать наверняка, но, учитывая защиту банковских приложений, упомянутый в статье SSL-pinning, требования банка подтверждать ощутимые по суммам транзакции, могу предположить что Wi-Fi тут оказался одним из, если вообще имеющим хоть какое-то значение фактором.
Если, например, у людей очень старый смартфон, если там используется резолвер, что прилетел по DHCP вместо DoH/DoT, наконец, если оплата была с помощью номера карты и CVV кода, то всё может быть. Но объективно, смартфон в сети Wi-Fi - это просто хост, который не слушает никаких портов (не должен, во всяком случае). И в былые-то годы основной атакой было именно снифать трафик, подменять шлюз (ARP-poisoning), красть cookie, то сейчас всё это просто не работает. Единственный сколько-то рабочий сценарий, кажется, это упомянутый тут в комментариях вариант с вредоносным резолвером, когда человеку отдаётся фишинговый узел вместо оригинального.
В статье всё верно озвучено. Публичный Wi-Fi плох не этим всем, а более банальной вещью: законодательство требует обязательной аутентификации пользователей, а значит вы попадёте на captive portal где вас спросят телефон и пришлют SMS. Кто и куда запишет ваш номер, додумайте сами.
Есть альтернативный вариант:)
Да вот да. Даже не знаю, что меня больше шокировало - этот факт или число "плюсов" к статье..
Спасибо за прекрасную статью, очень содержательно!
Буквально пара несущественных замечаний/комментариев:
стоит отметить, что это для только таблицы
filter, любые другие надо явно указывать ключиком-t, либо посмотреть всё черезiptables-savenft -a list ruleset, тут позиция ключа важнаКажется, достаточно
sudo sysctl -a | grep nf_conntrack_maxПростите, не удержался..
Кстати, существует совершенно никудышний сиквел WarGames: The Dead Code. Но едва ли его кто-то сейчас вспоминает. А вот WarGames фильм хоть и нелепый, но оставил свой след: например, в 25 сезоне South Park в серии Back To The Cold War было забавно увидеть прямую отсылку к этой картине.
Спасибо за полезную статью. Как неопытный цефовод хочу спросить: зачем делать
osd crush reweightеслиceph osd outи так вывезет всё с OSD? По крайней мере, я обходился лишь этой командой.В FW, конечно, много префиксов, но 32ГБ RAM... Правда столько много нужно? Что за демон BGP используете?
Не знаю как по Windows, но под GNU/Linux
yt-dlpвполне себе позволяет качать видео с RUTUBE:Меня вообще удивила эта история, потому что лет десять назад в блоге Рутуба (кстати, где он?) была статья про эволюцию инфры и там значились Cisco ASR, Nexus 9300, 700Гбит/с, а тут внезапно "MikroTik", "статические маршруты, никакого BGP"...
Тем не менее, спасибо за статью - мне было интересно почитать, хотя я ваш доклад на GetNet смотрел уже :)
Да, только в какой-то момент времени браузеры перестанут выпускать обновления для "устаревшей ОС", а ряд популярных сайтов станут назойливо утверждать, что пора обновиться и, спустя время, вовсе перестанут корректно работать.
Но, справедливости ради, считать что окончание поддержки "десятки" даст ощутимую мотивацию сколько-нибудь ощутимой массовой миграции на свободное ПО действительно едва ли приходится.
На самом деле опускание нулей очень удобно, сам часто пользуюсь чем-то в духе
curl 127.1.Ну, кровати в борделе сами себя не переставят..
Думаю, уместо заметить, что уже была на Хабре неплохая статья статья на тему имитации сетевых проблем. Всем интересующимся темой - рекомендую!
А, значит я просто не понял вас. Да, такой сценарий выглядит вполне возможным.
Спору нет, что работает. Вопрос масштабов. Условные десять лет назад такое было куда проще провернуть. В международных сценариях (случай CF) и через десять лет всегда найдётся вариант влить поддельные src IP. Но я вижу что риск атак, например, с ломаных IoT устройств куда более весом и реален, а в перспективе станет ещё больше. Просто не будет иметь смысла искать оператора, через которого можно лить подозрительный трафик, когда можно устроить настоящий DDoS со "стопитсот" легитимных адресов, которые ещё фиг зафильтруешь.
Нет, это не так. Современные смартфоны по умолчанию при подключении по Wi-FI генерируют случайный MAC-адрес. Кроме того, Госуслуги если и полагаются на MAC-адрес, то в последнюю очередь - можете попробовать сами зайти с авторизованного устройства в другом браузере или режиме "Инконгнито".
Справедливости ради, это не такая уж тривиальная задача, ибо на старте такие пакеты будут порезаны оператором. Конечно, у кого-то uRPF может и не настроен, но в целом, кажется, это очень ограниченная в реализации атака.
Не зная ситуации, не могу ничего утверждать наверняка, но, учитывая защиту банковских приложений, упомянутый в статье SSL-pinning, требования банка подтверждать ощутимые по суммам транзакции, могу предположить что Wi-Fi тут оказался одним из, если вообще имеющим хоть какое-то значение фактором.
Если, например, у людей очень старый смартфон, если там используется резолвер, что прилетел по DHCP вместо DoH/DoT, наконец, если оплата была с помощью номера карты и CVV кода, то всё может быть. Но объективно, смартфон в сети Wi-Fi - это просто хост, который не слушает никаких портов (не должен, во всяком случае). И в былые-то годы основной атакой было именно снифать трафик, подменять шлюз (ARP-poisoning), красть cookie, то сейчас всё это просто не работает. Единственный сколько-то рабочий сценарий, кажется, это упомянутый тут в комментариях вариант с вредоносным резолвером, когда человеку отдаётся фишинговый узел вместо оригинального.
В статье всё верно озвучено. Публичный Wi-Fi плох не этим всем, а более банальной вещью: законодательство требует обязательной аутентификации пользователей, а значит вы попадёте на captive portal где вас спросят телефон и пришлют SMS. Кто и куда запишет ваш номер, додумайте сами.