#сети — Public Fediverse posts

mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов

Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать

https://habr.com/ru/articles/1025856/

#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность

Китайский домовой существует в вашей сети, доказано Спецлабом

Многие наверно замечали, что после аварийного отключения питания не всё оборудование загружается как надо. Удивительным образом слетают настройки у части оборудования. И не в дефолт, а в очень даже правильную логику. Кому бы это могло быть нужно? «Китайский домовой» - не мистика, такое название мы дали технологическому явлению, которое бродит по сети и ломает настройки сетевых устройств. Хотя перекреститься самое время! Ситуация совсем не шуточная, она сломает голову любому профессионалу, это во-первых. А во-вторых, теперь мы точно знаем, что все пароли почти всего китайского оборудования – фикция. Спецлаб в бОльшей степени занимается разработкой систем сетевого видеонаблюдения, поэтому речь будем вести в этой области. Но это совсем не значит, что в других сетевых устройствах не тоже самое. Когда-то мы себе сказали - хватит писать бесполезные архивы видеонаблюдения, все равно никто их не смотрит. Первые версии наших видеоблейзеров шли без жестких дисков, а даже на маленькую по объему флэшку влезало огромное число видеороликов - событий, передающих смысл происходящего. Но технарям свойственно обшибаться. Рынок не оценил технический прогресс. Не смотря на удобство нейросетевой видеоаналитики, клиенты стали добавлять к нашему устройству дешевый видеорегистратор, который просто пишет. Три тысячи рублей допом погоды не делает, а на душе спокойно. Как бы не так. Видеорегистраторам тоже нужно обслуживание, у него, как правило, слетает запись, и часто требуется форматирование диска или хотя бы перезагрузка. Какая мелочь! – подумаете вы и будете не правы. И вот почему...

https://habr.com/ru/articles/1022738/

#сетевые_технологии #сети #сети_администрирование #видеонаблюдение #видеонаблюдение_бесплатно #видеонаблюдение_ivideon #видеонаблюдение_для_linux #видеонаблюдение_купить

Как создать настоящий приватный мессенджер?

Существуют решения для анонимного взаимодействия в интернет пространстве, такие как Tor, I2P и Freenet, но они ориентированы на весь интернет и избыточны для простого общения. Их сложность и архитектура могут быть неудобны в условиях ограниченного доступа к сети. Поэтому возникает идея более простой и специализированной системы. XXCore — это лёгкая p2p-архитектура с доверенными узлами, построенная на PipeNet и модифицированном SSU2.

https://habr.com/ru/articles/1020480/

#мессенджер #приватность #сети_передачи_данных #сети #обфускация #noise_protocol_framework #c++ #криптография

Разбираем хаос в Linux‑логах: journald, rsyslog и файлы

“Где мои логи — в /var/log/messages, /var/log/syslog или только в journalctl?” — этот вопрос рано или поздно задает себе каждый инженер, который вынужден переключаться между разными дистрибутивами: Ubuntu, CentOS, Alpine, корпоративные Unix системы. Типичный сценарий: вы заходите на сервер, ищете /var/log/messages, а его или нет, или он есть, но journalctl показывает гораздо больше событий, чем файл. Иногда сервер внезапно начинает сильно использовать CPU, и в итоге причиной оказывается агрессивное логирование. Если к этому добавить разнородный парк, где рядом с Ubuntu живут динозавры на AIX и Solaris, путаница приобретает глобальный характер. Сейчас мы живем в эпоху «двоевластия»: systemd‑journald уже стал стандартом де‑факто, но rsyslog все еще присутствует во многих дистрибутивах по инерции или ради совместимости. Эта статья для инженеров, которые хотят понимать, кто именно пишет логи в Linux, почему они дублируются, где теряются CPU и I/O, и как настроить логирование так, чтобы диск не превращался в помойку. Мы пройдем путь от бинарных логов AIX до journald, а в конце разберемся, как практически использовать journalctl с популярными инфраструктурными службами.

https://habr.com/ru/companies/k2tech/articles/1014402/

#devops #Linu #unix #ubunt #логирование #облака #сети #сервера #сетевые_технологии #сетевая_инфраструктура

Записки выжившего лемминга — Часть 4. Последний удар

Я понимаю, что это прозвучит максимально странно в тексте, посвящённом протоколам и архитектурным решениям. Но вот в чём дело: организационная сторона таких сетей важнее технической. Истинная, глубинная природа компьютерных сетей — социальная. Всегда. Чтобы пакет добрался из точки А в точку Б через государственную границу — через барьер, через фильтр, через ограничение — по ту сторону должен быть кто-то, кто готов его принять. Узел. Человек. Связь. Сеть держится не на протоколах — она держится на доверии между людьми, которые решили её построить. Протокол — это язык. Но прежде чем говорить, нужно захотеть слушать друг друга.

https://habr.com/ru/articles/1017786/

#Сети #администрирование

Записки выжившего лемминга — Часть 3. Вызов времени

Если вы читаете эту статью в поисках готового рецепта построения защищенной приватной и устойчивой к обнаружению сети — должен вас разочаровать. У меня его нет. Всё, что у меня есть — это базовое понимание того, как устроены компьютерные сети. Всё, о чём я пишу в этих статьях, — не тайное знание, не инсайт от внутренних источников и не результат секретных исследований. Всё это можно прочитать в любом учебнике «Компьютерные сети» — прямо сейчас, во всех магазинах страны. Или в первоисточниках на гитхаб (или загляните ко мне на гитхаб — там тоже такого есть).

https://habr.com/ru/articles/1017776/

#Сети #администрирование

Записки выжившего лемминга — Часть 2. Гонка вооружений

Если говорить о рынке в целом — я думаю, нас ждёт серьёзное сокращение игроков. Это не значит, что сервисы исчезнут как класс: спрос будет только расти, а значит, будет и предложение. Но стабильность крупных коммерческих сервисов, скорее всего, станет заметно хуже. Из того, что активно обсуждается в сообществе: возможно появление чего-то вроде «государственного VPN» — для доступа к сервисам, которые де-факто не запрещены, но не могут нормально работать в условиях текущих ограничений. Более прагматичным мне кажется другой сценарий: серия сделок между крупными игроками и государством, в обмен на сотрудничество. Полуофициальные договорённости в серой зоне, назначение «уполномоченных операторов». В любом случае, общий вектор здесь совпадает с тем, что мы уже видели в телекоме, банкинге и медиа: укрупнение, вытеснение мелких игроков и установление государственного контроля над несколькими крупными . Типовая история. Финал предсказуем.

https://habr.com/ru/articles/1017502/

#сети #администрирование

Записки выжившего лемминга — Часть 1. Паттерны убивают

Прошлой осенью я лишился своего VPN-сервиса. Классический селфхостед на VDS, поднятом у зарубежного хостера, без посредников. Работал надёжно, стоил копейки — и я привык к тому, что всё просто работает. Осенняя волна блокировок смела его вместе с тысячами похожих. Эта история заставила меня остановиться и подумать. Не о том, как быстрее восстановить доступ к утраченному сервису — технически это вполне решаемая проблема. А о природе произошедшего: почему схема, работавшая годами, сломалась?

https://habr.com/ru/articles/1017296/

#сети #администрирование

HTTP-кеширование изнутри: ETag, Last-Modified и эвристика браузера

Как браузер принимает решение о кешировании? Что такое условный HTTP-запрос? Как возникает 304 Not Modified? Как устроен принудительный запрос ресурса, минуя кеш? Если эти вопросы для вас актуальны, прошу на огонёк. Изложение намеренно подробное: статья адресована и тем, кто только начинает путь в веб-разработке, и тем, кто просто хочет закрыть отдельные пробелы в понимании механизма кеширования. Скажем "нет" слепому копированию заголовков кеширования. Погружаемся

https://habr.com/ru/articles/1010594/

#сети #http #кеширование #кэширование #rfc9111 #starlette #uvicorn #httpсервер #браузеры #rfc9110

HTTP-кеширование изнутри: ETag, Last-Modified и эвристика браузера

Как браузер принимает решение о кешировании? Что такое условный HTTP-запрос? Как возникает 304 Not Modified? Как устроен принудительный запрос ресурса, минуя кеш? Если эти вопросы для вас актуальны, прошу на огонёк. Изложение намеренно подробное: статья адресована и тем, кто только начинает путь в веб-разработке, и тем, кто просто хочет закрыть отдельные пробелы в понимании механизма кеширования. Скажем "нет" слепому копированию заголовков кеширования. Погружаемся

https://habr.com/ru/articles/1010594/

#сети #http #кеширование #кэширование #rfc9111 #starlette #uvicorn #httpсервер #браузеры #rfc9110

HTTP-кеширование изнутри: ETag, Last-Modified и эвристика браузера

Как браузер принимает решение о кешировании? Что такое условный HTTP-запрос? Как возникает 304 Not Modified? Как устроен принудительный запрос ресурса, минуя кеш? Если эти вопросы для вас актуальны, прошу на огонёк. Изложение намеренно подробное: статья адресована и тем, кто только начинает путь в веб-разработке, и тем, кто просто хочет закрыть отдельные пробелы в понимании механизма кеширования. Скажем "нет" слепому копированию заголовков кеширования. Погружаемся

https://habr.com/ru/articles/1010594/

#сети #http #кеширование #кэширование #rfc9111 #starlette #uvicorn #httpсервер #браузеры #rfc9110

HTTP-кеширование изнутри: ETag, Last-Modified и эвристика браузера

Как браузер принимает решение о кешировании? Что такое условный HTTP-запрос? Как возникает 304 Not Modified? Как устроен принудительный запрос ресурса, минуя кеш? Если эти вопросы для вас актуальны, прошу на огонёк. Изложение намеренно подробное: статья адресована и тем, кто только начинает путь в веб-разработке, и тем, кто просто хочет закрыть отдельные пробелы в понимании механизма кеширования. Скажем "нет" слепому копированию заголовков кеширования. Погружаемся

https://habr.com/ru/articles/1010594/

#сети #http #кеширование #кэширование #rfc9111 #starlette #uvicorn #httpсервер #браузеры #rfc9110

HTTP-методы для начинающих: разбираем по букве спецификаций, а не пересказам

Этап "давайте сначала изучим стандарты" при обучении веб-разработке иногда сразу пропускают (или рассматривают буквально в двух словах), переходя к фреймворкам, абстракциям и решениям, которые за тебя уже приняли авторы этих фреймворков. В этой статье мы разберем все 9 методов HTTP-запросов, опираясь на тексты документов, которыми эти методы определены (RFC 9110 и RFC 5789). Статья подойдёт тем, кто делает первые шаги в веб-разработке и хочет понять HTTP глубже, чем это позволяют туториалы фреймворков. Погружаемся

https://habr.com/ru/articles/1010240/

#http #httpсервер #httpметоды #httpзаголовки #http_статус #сети

Сети в Kubernetes: руководство для сетевого инженера

OSPF, BGP, VLAN, ACL — вы знаете их как свои пять пальцев. А потом приходит Kubernetes и предлагает «просто описать желаемое состояние в YAML». Звучит как магия? На самом деле под капотом K8s работают всё те же сетевые протоколы, просто теперь их настраивает не инженер с консолью, а код в репозитории. Эта статья — мост между классической сетевой инженерией и миром контейнеров. Без маркетинга, только факты: veth-пары, BGP-пиринги Calico, DNAT в iptables и почему ClusterIP не пингуется.

https://habr.com/ru/companies/cloud4y/articles/1008692/

#kubernetes #k8s #сети #networking #CNI

История из студенчества

Я был ещё студентом. Учился на третьем курсе информационных технологий. И вот пришла наша группа - 13ИВ1б, значит, на практические занятия. По физике, если мне память не изменяет. Все занятия были имитированные и проводились в компьютерных классах. Компьютерных классов несколько на двух этажах корпуса. С нами в группе учился один парень. И вот этот парень покончил с собой ... Всё из за неё

https://habr.com/ru/articles/1006686/

#компьютеры #сети #администрирование_сетей #pxeboot #институт #студенты #суицид

Протокол кольцевой защиты сети ERPS

Существует несколько различных протоколов, предназначенных для обеспечения бесперебойной работы сети на канальном уровне. Сегодня мы рассмотрим Ethernet Ring Protection Switching – технологию, обеспечивающую высокую доступность и отказоустойчивость в кольцевых топологиях. Разобрать ERPS

https://habr.com/ru/companies/otus/articles/1000632/

#erps #сети #сетевые_технологии #G8032 #кольцевая_топология #отказоустойчивость_сети

Протокол кольцевой защиты сети ERPS

Существует несколько различных протоколов, предназначенных для обеспечения бесперебойной работы сети на канальном уровне. Сегодня мы рассмотрим Ethernet Ring Protection Switching – технологию, обеспечивающую высокую доступность и отказоустойчивость в кольцевых топологиях. Разобрать ERPS

https://habr.com/ru/companies/otus/articles/1000632/

#erps #сети #сетевые_технологии #G8032 #кольцевая_топология #отказоустойчивость_сети

Протокол кольцевой защиты сети ERPS

Существует несколько различных протоколов, предназначенных для обеспечения бесперебойной работы сети на канальном уровне. Сегодня мы рассмотрим Ethernet Ring Protection Switching – технологию, обеспечивающую высокую доступность и отказоустойчивость в кольцевых топологиях. Разобрать ERPS

https://habr.com/ru/companies/otus/articles/1000632/

#erps #сети #сетевые_технологии #G8032 #кольцевая_топология #отказоустойчивость_сети

Протокол кольцевой защиты сети ERPS

Существует несколько различных протоколов, предназначенных для обеспечения бесперебойной работы сети на канальном уровне. Сегодня мы рассмотрим Ethernet Ring Protection Switching – технологию, обеспечивающую высокую доступность и отказоустойчивость в кольцевых топологиях. Разобрать ERPS

https://habr.com/ru/companies/otus/articles/1000632/

#erps #сети #сетевые_технологии #G8032 #кольцевая_топология #отказоустойчивость_сети

Анатомия WebSocket: человечный разбор RFC 6455

Как правило, работа с веб-сокетами сводится к паре строк: connect() и send() . Удобные абстракции библиотек превратили этот протокол в магическую трубу, по которой летают данные в обе стороны. Но магия заканчивается ровно в тот момент, когда соединение молча отваливается с кодом 1006 , балансировщик рвет коннект, а в логах появляются странные ошибки фрагментации. В этой статье мы спустимся с небес высокоуровневых фреймворков на уровень байтов и битовых масок. Мы пройдем полный путь WebSocket-соединения, опираясь на RFC 6455: от генерации ключа на стороне клиента до обмена закрывающими фреймами. Попутно разберем весь необходимый понятийный аппарат: что такое фреймы, какими они бывают, зачем их маскируют и фрагментируют и т.д. Цель не в том, чтобы научиться пользоваться конкретной библиотекой, а в том, чтобы понять, как протокол работает изнутри независимо от языка и реализации. Для иллюстраций по тексту статьи даны сниппеты на Python. Погружаемся

https://habr.com/ru/articles/1004772/

#websocket #вебсокет #asyncio #сети #база

От VPN к управляемой сети: SD‑WAN в российских NGFW

SD‑WAN — это не «еще один VPN», а надстройка, которая управляет вашими каналами связи как единой системой: сама выбирает маршрут, проверяет качество каналов и подстраивается под бизнес-требования к доступности и безопасности. В 2026 году для российских NGFW всё более актуален сценарий, когда устройство используется не только как решение по фильтрации трафика и отражению атак, но и как платформа для управления трафиком и сетевой связностью. В том числе в больших распределённых инфраструктурах с филиалами, удалёнными дата‑центрами, производственными площадками и облачной инфраструктурой.

https://habr.com/ru/companies/ideco/articles/993218/

#Информационная_безопасность #Сети #Маршрутизация #VPN #SDWAN #BGP #NGFW

От VPN к управляемой сети: SD‑WAN в российских NGFW

SD‑WAN — это не «еще один VPN», а надстройка, которая управляет вашими каналами связи как единой системой: сама выбирает маршрут, проверяет качество каналов и подстраивается под бизнес-требования к доступности и безопасности. В 2026 году для российских NGFW всё более актуален сценарий, когда устройство используется не только как решение по фильтрации трафика и отражению атак, но и как платформа для управления трафиком и сетевой связностью. В том числе в больших распределённых инфраструктурах с филиалами, удалёнными дата‑центрами, производственными площадками и облачной инфраструктурой.

https://habr.com/ru/companies/ideco/articles/993218/

#Информационная_безопасность #Сети #Маршрутизация #VPN #SDWAN #BGP #NGFW

От VPN к управляемой сети: SD‑WAN в российских NGFW

SD‑WAN — это не «еще один VPN», а надстройка, которая управляет вашими каналами связи как единой системой: сама выбирает маршрут, проверяет качество каналов и подстраивается под бизнес-требования к доступности и безопасности. В 2026 году для российских NGFW всё более актуален сценарий, когда устройство используется не только как решение по фильтрации трафика и отражению атак, но и как платформа для управления трафиком и сетевой связностью. В том числе в больших распределённых инфраструктурах с филиалами, удалёнными дата‑центрами, производственными площадками и облачной инфраструктурой.

https://habr.com/ru/companies/ideco/articles/993218/

#Информационная_безопасность #Сети #Маршрутизация #VPN #SDWAN #BGP #NGFW

От VPN к управляемой сети: SD‑WAN в российских NGFW

SD‑WAN — это не «еще один VPN», а надстройка, которая управляет вашими каналами связи как единой системой: сама выбирает маршрут, проверяет качество каналов и подстраивается под бизнес-требования к доступности и безопасности. В 2026 году для российских NGFW всё более актуален сценарий, когда устройство используется не только как решение по фильтрации трафика и отражению атак, но и как платформа для управления трафиком и сетевой связностью. В том числе в больших распределённых инфраструктурах с филиалами, удалёнными дата‑центрами, производственными площадками и облачной инфраструктурой.

https://habr.com/ru/companies/ideco/articles/993218/

#Информационная_безопасность #Сети #Маршрутизация #VPN #SDWAN #BGP #NGFW

Делаем свою первую сеть в эмуляторе GNS3

Привет, меня зовут Никита Рукавков и я автор канала DevOps Brain . В первой части мы разобрались как заставить работать GNS3 под MacOS . Ну а в этой мы пройдем путь от создания простейшей сети до построения сегментированной инфраструктуры с политиками безопасности. Вы освоите не только базу, но и понимать логику построения безопасных и масштабируемых сетевых решений. Ну и в конце мы должны получить вот такую схемку.

https://habr.com/ru/articles/988152/

#сети #gns3 #сетевое_оборудование #симулятор_сетей #сети_для_начинающих

Делаем свою первую сеть в эмуляторе GNS3

Привет, меня зовут Никита Рукавков и я автор канала DevOps Brain . В первой части мы разобрались как заставить работать GNS3 под MacOS . Ну а в этой мы пройдем путь от создания простейшей сети до построения сегментированной инфраструктуры с политиками безопасности. Вы освоите не только базу, но и понимать логику построения безопасных и масштабируемых сетевых решений. Ну и в конце мы должны получить вот такую схемку.

https://habr.com/ru/articles/988152/

#сети #gns3 #сетевое_оборудование #симулятор_сетей #сети_для_начинающих

Делаем свою первую сеть в эмуляторе GNS3

Привет, меня зовут Никита Рукавков и я автор канала DevOps Brain . В первой части мы разобрались как заставить работать GNS3 под MacOS . Ну а в этой мы пройдем путь от создания простейшей сети до построения сегментированной инфраструктуры с политиками безопасности. Вы освоите не только базу, но и понимать логику построения безопасных и масштабируемых сетевых решений. Ну и в конце мы должны получить вот такую схемку.

https://habr.com/ru/articles/988152/

#сети #gns3 #сетевое_оборудование #симулятор_сетей #сети_для_начинающих

Делаем свою первую сеть в эмуляторе GNS3

Привет, меня зовут Никита Рукавков и я автор канала DevOps Brain . В первой части мы разобрались как заставить работать GNS3 под MacOS . Ну а в этой мы пройдем путь от создания простейшей сети до построения сегментированной инфраструктуры с политиками безопасности. Вы освоите не только базу, но и понимать логику построения безопасных и масштабируемых сетевых решений. Ну и в конце мы должны получить вот такую схемку.

https://habr.com/ru/articles/988152/

#сети #gns3 #сетевое_оборудование #симулятор_сетей #сети_для_начинающих

PNETLab — простая и бесплатная среда для экспериментов с сетями и инфраструктурой. Часть 1

Разбираем, что такое PNETLab, как он работает и чем отличается от других сетевых эмуляторов. Простое объяснение для инженеров, администраторов и студентов.

https://habr.com/ru/articles/987332/

#эмулятор #администрирование #сети #виртуализация

Мастер таблицы по Сетевым Моделям и Протоколам

Это руководство объединяет две методологически таблицы - одну для концептуальных моделей (OSI и TCP/IP) и одну для конкретных протоколов и технологий. При обнаружении ошибок / неточностей - сообщите в комментариях, после проверки действительно ли есть ошибки / неточность - информация дополниться.

https://habr.com/ru/articles/985444/

#сети #сети_и_протоколы #сети_для_самых_маленьких #сети_администрирование #сети_передачи_данных #протоколы

Сетевое моделирование на Mac — установка и настройка GNS3

Привет, Хабраюзер! Если ты всегда хотел не только читать про сети, но и ставить эксперименты, настраивать разное сетевое оборудование, прокачать свои навыки - то тебе точно нужен классный симулятор сети. И это … GNS3 . Я просто собрал пошаговый план, который работает у меня под m-процессором. Ну а в следующих статьях частях мы с вами пошагово будем проектировать сети, увеличивая их сложность.

https://habr.com/ru/articles/983362/

#сети #сети_для_самых_маленьких #cisco #mikrotik #l2 #l3 #networking #networking_solutions #gns3

Интернет без IP и DNS: что было бы, если Tor стал стандартом

Tor часто воспринимают как «дверь» в даркнет, но это, по сути, всего лишь сетевая архитектура, маскирующая онлайн-трафик. Сегодня её используют ради анонимности, но в какой-то момент истории эта модель вполне могла претендовать на большее. В статье попробую разобраться с принципами работы Tor и представить альтернативную историю этой анонимной сети. Читать

https://habr.com/ru/companies/ruvds/articles/978692/

#tor #tor_browser #луковая_маршрутизация #луковица #анонимность #сети #сетевые_протоколы #криптография #информационная_безопасность #ruvds_статьи

То, что обычно не показывают: как выглядит Wi-Fi взлом изнутри (схемы, примеры, анализ)

Безопасность Wi-Fi остаётся одной из тех тем, где одновременно сосуществуют мифы, неоправданные ожидания и огромное количество недопонимания. Кто-то уверен, что WPA2 и тем более WPA3 взломать невозможно, потому что «это же криптография». Кто-то считает, что всё решается набором трёх команд в Kali. И на практике обе позиции оказываются одинаково далеки от реальности. Wi-Fi — это не магия, не «сеть, работающая на духах», и не «непробиваемая защита». Это обычный протокол уровня 802.11 , который живёт в открытом эфире и подчиняется вполне конкретной структуре пакетов, таймингов и встроенных процедур. Понимание этих процедур моментально показывает, что подавляющее большинство атак — не взлом, а закономерное следствие того, как устроено взаимодействие клиент ↔ точка. Основой WPA2-аутентификации является четырёхшаговый handshake . И именно он формирует ключ, но при этом “раздаёт” достаточно информации, чтобы злоумышленник мог оффлайн проверять догадки о пароле. Все пакеты handshake идут открыто — это EAPOL-кадры , которые может увидеть любое устройство в эфире. Точка отправляет ANonce , клиент — SNonce , обе стороны на основе PMK (который, в свою очередь, зависит от пароля и SSID ) вычисляют PTK , и затем сравнивают MIC . В этот момент пароль нигде не передаётся, но комбинации значений ANonce+SNonce+MIC более чем достаточно для оффлайн-подбора. Если открыть реальный handshake в Wireshark , второй пакет будет выглядеть примерно так: Protocol: EAPOL Key Information: Key MIC: 1, Secure: 0, Error: 0 Nonce (SNonce): 5f:6b:b1:9a:31:0c:ae:... MIC: 53:ff:12:88:9c:7d:91:52:... Эти данные можно использовать для проверки предполагаемого пароля: сначала PBKDF2 генерирует PMK , затем PMK превращается в PTK , затем создаётся MIC , и если этот MIC совпадает с MIC из пакета — пароль найден. Вся атака происходит оффлайн. Никаких запросов к точке, никаких попыток войти в сеть, никакого шанса «спалиться» в эфире. Но чтобы подбор стал возможен, handshake нужно сначала получить. С passiv-перехватом проблем хватает: можно слушать эфир часами и так и не дождаться переподключения. Поэтому практически все реальные атаки начинают с деавторизации — искусственного разрыва связи между клиентом и точкой. Деавторизация — это не «аномальный» пакет. Это штатный кадр уровня MAC , который есть в стандарте. И если клиент его получает, он честно отключается, после чего автоматически инициирует повторный handshake. Схема выглядит примерно так:

https://habr.com/ru/articles/973656/

#информационная_безопасность #инфобез #сетевые_технологии #сети #wifi_security #wifi

Собственный суверенный интернет: настраиваем DNS, CA и TLS своими руками

Всем привет, меня зовут Олег Юрчик, я старший разработчик в Cloud.ru . Современный интернет — это не только IT-гиганты и готовые облачные сервисы. Под капотом глобальной сети скрываются базовые принципы, которые может воспроизвести любой технический специалист. В этой статье сначала вспомним, как появился Интернет и как он работает. А затем разберем, как создать его уменьшенную, но полностью управляемую копию с собственными DNS, центром сертификации и веб-сервисами. Статья будет полезна всем, кто хочет знать, как взаимодействуют шестеренки всемирной паутины. Добро пожаловать

https://habr.com/ru/companies/cloud_ru/articles/970834/

#интернет #dns #центр_авторизации #сети #децентрализация #docker #автономность

Как найти иголку в стоге сена: Точечная фильтрация шума в Wireshark для SOC-аналитиков

При анализе сетевого дампа (PCAP) специалисты неизбежно сталкиваются с проблемой избыточности: до 90% трафика составляет фоновый «белый шум» (ARP, mDNS, SSDP, телеметрия), который скрывает реальные инциденты. В этой статье я предлагаю систематический подход к использованию Display Filters в Wireshark. Мы разберем готовые шаблоны для отсечения служебных протоколов, научимся находить скрытые каналы управления на нестандартных портах и настроим визуальную маркировку (Coloring Rules) для мгновенного обнаружения подозрительных POST-запросов и сканирования сети. К разбору фильтров

https://habr.com/ru/articles/971792/

#Wireshark #фильтрация_трафика #сети #сетевая_безопасность #pcap

Как найти иголку в стоге сена: Точечная фильтрация шума в Wireshark для SOC-аналитиков

При анализе сетевого дампа (PCAP) специалисты неизбежно сталкиваются с проблемой избыточности: до 90% трафика составляет фоновый «белый шум» (ARP, mDNS, SSDP, телеметрия), который скрывает реальные инциденты. В этой статье я предлагаю систематический подход к использованию Display Filters в Wireshark. Мы разберем готовые шаблоны для отсечения служебных протоколов, научимся находить скрытые каналы управления на нестандартных портах и настроим визуальную маркировку (Coloring Rules) для мгновенного обнаружения подозрительных POST-запросов и сканирования сети. К разбору фильтров

https://habr.com/ru/articles/971792/

#Wireshark #фильтрация_трафика #сети #сетевая_безопасность #pcap

Как найти иголку в стоге сена: Точечная фильтрация шума в Wireshark для SOC-аналитиков

При анализе сетевого дампа (PCAP) специалисты неизбежно сталкиваются с проблемой избыточности: до 90% трафика составляет фоновый «белый шум» (ARP, mDNS, SSDP, телеметрия), который скрывает реальные инциденты. В этой статье я предлагаю систематический подход к использованию Display Filters в Wireshark. Мы разберем готовые шаблоны для отсечения служебных протоколов, научимся находить скрытые каналы управления на нестандартных портах и настроим визуальную маркировку (Coloring Rules) для мгновенного обнаружения подозрительных POST-запросов и сканирования сети. К разбору фильтров

https://habr.com/ru/articles/971792/

#Wireshark #фильтрация_трафика #сети #сетевая_безопасность #pcap

Как найти иголку в стоге сена: Точечная фильтрация шума в Wireshark для SOC-аналитиков

При анализе сетевого дампа (PCAP) специалисты неизбежно сталкиваются с проблемой избыточности: до 90% трафика составляет фоновый «белый шум» (ARP, mDNS, SSDP, телеметрия), который скрывает реальные инциденты. В этой статье я предлагаю систематический подход к использованию Display Filters в Wireshark. Мы разберем готовые шаблоны для отсечения служебных протоколов, научимся находить скрытые каналы управления на нестандартных портах и настроим визуальную маркировку (Coloring Rules) для мгновенного обнаружения подозрительных POST-запросов и сканирования сети. К разбору фильтров

https://habr.com/ru/articles/971792/

#Wireshark #фильтрация_трафика #сети #сетевая_безопасность #pcap

Сервера всех филиалов — соединяйтесь

Жили-были несколько серверов, в разных локациях. Сколько именно - это непринципиально, поэтому упростим, пусть будет два: A и B. Каждый занимался своими задачами, а между собой они были соединены виртуальной приватной сетью (ну, то, что теперь нельзя называть). Причем сеть эта использовалась по своему прямому назначению - просто обеспечить передачу локального трафика через публичные сети, дабы посторонние не совали в него свой любопытный клюв. Однако, с некоторых пор начались проблемы: одна известная организация начала ломать рунет, блокируя соединения то там, то тут. Сначала заблокировали один протокол - пришлось переходить на другой. Потом заблокировали другой - пришлось переходить на третий. Третий периодически рвался, потому что начали портить уже соединения между сетями: через одного провайдера канал есть, через другого нет, потом меняются. Как вы понимаете, нормальной работе это отнюдь не способствовало, пришлось искать какое-то решение. А ведь оно давно известно - динамическая маршрутизация! Просто до поры она, казалось бы, совсем тут не нужна - не те масштабы, да и работало всё прекрасно...

https://habr.com/ru/articles/969310/

#ospf #сети #впн

Сервера всех филиалов — соединяйтесь

Жили-были несколько серверов, в разных локациях. Сколько именно - это непринципиально, поэтому упростим, пусть будет два: A и B. Каждый занимался своими задачами, а между собой они были соединены виртуальной приватной сетью (ну, то, что теперь нельзя называть). Причем сеть эта использовалась по своему прямому назначению - просто обеспечить передачу локального трафика через публичные сети, дабы посторонние не совали в него свой любопытный клюв. Однако, с некоторых пор начались проблемы: одна известная организация начала ломать рунет, блокируя соединения то там, то тут. Сначала заблокировали один протокол - пришлось переходить на другой. Потом заблокировали другой - пришлось переходить на третий. Третий периодически рвался, потому что начали портить уже соединения между сетями: через одного провайдера канал есть, через другого нет, потом меняются. Как вы понимаете, нормальной работе это отнюдь не способствовало, пришлось искать какое-то решение. А ведь оно давно известно - динамическая маршрутизация! Просто до поры она, казалось бы, совсем тут не нужна - не те масштабы, да и работало всё прекрасно...

https://habr.com/ru/articles/969310/

#ospf #сети #впн

Сервера всех филиалов — соединяйтесь

Жили-были несколько серверов, в разных локациях. Сколько именно - это непринципиально, поэтому упростим, пусть будет два: A и B. Каждый занимался своими задачами, а между собой они были соединены виртуальной приватной сетью (ну, то, что теперь нельзя называть). Причем сеть эта использовалась по своему прямому назначению - просто обеспечить передачу локального трафика через публичные сети, дабы посторонние не совали в него свой любопытный клюв. Однако, с некоторых пор начались проблемы: одна известная организация начала ломать рунет, блокируя соединения то там, то тут. Сначала заблокировали один протокол - пришлось переходить на другой. Потом заблокировали другой - пришлось переходить на третий. Третий периодически рвался, потому что начали портить уже соединения между сетями: через одного провайдера канал есть, через другого нет, потом меняются. Как вы понимаете, нормальной работе это отнюдь не способствовало, пришлось искать какое-то решение. А ведь оно давно известно - динамическая маршрутизация! Просто до поры она, казалось бы, совсем тут не нужна - не те масштабы, да и работало всё прекрасно...

https://habr.com/ru/articles/969310/

#ospf #сети #впн

Сервера всех филиалов — соединяйтесь

Жили-были несколько серверов, в разных локациях. Сколько именно - это непринципиально, поэтому упростим, пусть будет два: A и B. Каждый занимался своими задачами, а между собой они были соединены виртуальной приватной сетью (ну, то, что теперь нельзя называть). Причем сеть эта использовалась по своему прямому назначению - просто обеспечить передачу локального трафика через публичные сети, дабы посторонние не совали в него свой любопытный клюв. Однако, с некоторых пор начались проблемы: одна известная организация начала ломать рунет, блокируя соединения то там, то тут. Сначала заблокировали один протокол - пришлось переходить на другой. Потом заблокировали другой - пришлось переходить на третий. Третий периодически рвался, потому что начали портить уже соединения между сетями: через одного провайдера канал есть, через другого нет, потом меняются. Как вы понимаете, нормальной работе это отнюдь не способствовало, пришлось искать какое-то решение. А ведь оно давно известно - динамическая маршрутизация! Просто до поры она, казалось бы, совсем тут не нужна - не те масштабы, да и работало всё прекрасно...

https://habr.com/ru/articles/969310/

#ospf #сети #впн

Что изучить из BGP, VXLAN, K8s, DevSecOps, SOC и SIEM, если вы отвечаете за сети и ИБ

Привет, Хабр. Это дайджест по сетям и кибербезопасности: от DevSecOps и защиты Kubernetes до пентеста, SOC, SIEM и дизайна сетей ЦОД. Мы собрали открытые уроки и курсы, которые помогают не просто «держать инфраструктуру в зелёном», а проектировать её с учётом современных угроз, требований регуляторов и реальных атак. Если вы отвечаете за устойчивость сервисов, безопасность данных или развитие корпоративной инфраструктуры — здесь можно точечно закрыть пробелы в навыках или выстроить для себя системный маршрут обучения. Перейти к дайджесту

https://habr.com/ru/companies/otus/articles/968142/

#подборка_материалов #ИБ #информационная_безопасность #сети #онлайнобучение #обучение_в_ит #открытые_уроки

Как загрузить GPU на максимум. Разбираем узкие места в инфраструктуре для ИИ

Представим, что вы запускаете обучение модели, ждете, что процесс пойдет как по маслу. Но вместо этого в инструментах мониторинга видите, что GPU загружен на 40–60%, а то и меньше. Время обучения растягивается и эффективность не та, что вы ожидали. Даже самый быстрый GPU беспомощен, если данные не успевают до него «доехать». Он просто ждет. В статье разберем, почему для эффективного AI-обучения важны быстрые диски, память и CPU, и расскажем, как спроектировать сбалансированную инфраструктуру — даже в условиях ограниченных ресурсов.

https://habr.com/ru/companies/mclouds/articles/959872/

#gpu #видеокарты #процессоры #сети #оперативная_память #диск #cpu #пайплайн #производительность #инфраструктура

Как мы строим сеть RUTUBE

Когда мы говорим о большом сервисе с десятками миллионов пользователей по всей стране, надёжно и эффективно должен работать каждый уровень: и приложения, и инфраструктура, и сеть. Если в уравнение добавляются петабайты видеоконтента, сеть становится ещё более критичным элементом. В этой статье на примере эволюции сети RUTUBE разберём: с чего начинать ревизию legacy-сети; какие оптимизации помогут пережить резкий рост нагрузки и выиграть время для масштабного обновления; и наконец, что учесть при проектировании новой современной сети, подходящей для актуальных архитектурных подходов и стека технологий.

https://habr.com/ru/companies/habr_rutube/articles/957362/

#rutube #сеть #сети #mikrotik #routing #leafspine #bgp #firewall #цоды

Закройте сокет, даже если он не открылся

Немного странно такую заметку писать, вроде что-то очень банальное и возможно многие скажут "да я с пеленок это знаю" - но вот опять сталкиваемся с тем что такая ошибка в достаточно важной ситуации наглядно портит кровь. Недавно я писал об идущем соревновании МТС по "программированию роботов" - и упоминал вскользь что пока со стороны организационной наблюдаются проблемы. На днях энтузиасты выявили как раз такую ошибку в коде, используемом организаторами для проверки решений. Если вы создали сокет, попытались его открыть и отвалились по таймауту - не переиспользуйте его! Для новой попытки обязательно создавайте новый сокет! Это не вполне очевидно и в документации порой лишь вскользь упомянуто, либо не упомянуто вообще. Ниже немного подробностей с кодом, но в общем вся суть в этой фразе. Не переиспользуйте!

https://habr.com/ru/articles/955678/

#сети #tcp #сокеты

Как я делал анализ сети с помощью Python: Мониторинг IP, MAC, скорости и качества соединения

На одном из проектов, мне требовалось постоянно собирать рутинно данные у удаленных клиентов, касательно их интернет-подключения и доступности серверов AWS. Я задумался написать простой скрипт, который сможет запустить каждый и отправить в техническую поддержку AWS, не отвлекая меня от важного безделья в поисках постоянной работы. Это полный Python-скрипт для диагностики вашей сети. Программа собирает ключевые системные и сетевые метрики (IP-адреса, MAC-адрес, скорость загрузки/выгрузки, ping до шлюза и Интернета, а также потери пакетов) и сохраняет отчет в текстовый файл. В скрипте я конечно убрал внутренние ip адреса AWS и сменил на наш любимый ya. Необходимые компоненты и установка Для работы скрипта требуются сторонние библиотеки. Убедитесь, что Python установлен, и выполните установку всех зависимостей: pip install speedtest-cli pythonping psutil netifaces

https://habr.com/ru/articles/955638/

#сети #тестирование #python #скрипты #aws_amazon #hr

#лытдыбр
Качество связи у #мегафон в северозападном регионе упало.
Не сильно, но стало хуже.
#Чебурнет последнее время тоже все хуже и хуже. Меньше ресурсов доступны, больше багов, существенно упала #скорость.
Иногда я задумываюсь, стоило ли тратиться на galaxy s25. Аппарат прекрасный, очень удачный, но учитывая #ограничения #сети, его #потенциал, как современного средства #связи, остается не раскрытым.

HTTP/3 и QUIC: почему интернет обновляется, и что это даёт приложениям

Представьте, что дороги в вашем городе заменили за ночь: больше нет светофоров на каждом перекрёстке, машины едут быстрее, а пробки исчезают сами собой. Так же внезапно (и не так уж безболезненно) интернет получил новую «дорожно-транспортную» логику: QUIC и HTTP/3. В этой статье разберём, что конкретно дают HTTP/3/QUIC веб- и мобильным приложениям, где эффект заметен сразу, а где — только после тщательного теста. Детали под катом.

https://habr.com/ru/companies/ruvds/articles/947478/

#HTTP3 #QUIC #производительность #мобильность #observability #сети #веб_приложения #cdn #TLS13 #ruvds_статьи

Как использовать OpenSDN vRouter Forwarder для простейшей маршрутизации пакетов между контейнерами

Говорят, хорошая документация обычно начинается с простых примеров и продолжается постепенным наращиванием сложности. Меня зовут Матвей Крапошин, я ведущий системный архитектор Холдинга Т1, и в этом материале расскажу, как OpenSDN (ex‑Tungsten Fabric) пересылает пакеты между виртуальными машинами (или контейнерами) и как установить OpenSDN vRouter Forwarder в минимальной конфигурации и наладить его работу для пересылки пакетов между двумя контейнерами. Эта статья — своего рода продолжение первого материала « Почему мы выбрали OpenSDN и как контрибьютим в этот проект » [1]. Одна из её целей — рассказать о виртуализации и сетевых технологиях под капотом

https://habr.com/ru/companies/T1Holding/articles/945888/

#т1_облако #Opensdn #облако #сетевые_технологии #сети #виртуализация #open_source #sdn #opencontrail #tungstenfabric