На просторах сети всплыл шикарный обучающий материал, детально разбирающий архитектуру тех самых ТСПУ (но материал не самый свежий). И с инженерной точки зрения это весьма масштабный и грамотно спроектированный комплекс. Если кому лень смотреть пятичасовой видос на ютубах, то читаем ниже
Физически система состоит из нескольких сущностей... аппаратных байпасов, балансировщиков на базе мощных чипов Tofino (переваривающих до 3.2 Тбит/с) и самих серверов фильтрации. Железо под DPI-ноды выбрано грамотное... платформы на 24-ядерных Xeon Gold с сотнями гигабайт оперативки. Ставятся эти коробки в разрыв операторского линка, причем продумано несколько схем установки. Идеальный для товарища майора вариант - это когда до CGNAT, где системе видны серые IP конкретных абонентов, но можно воткнуть и после, разбирая уже транслированный белый трафик провайдера
Вся магия происходит на балансировщиках. Чтобы система DPI могла нормально разбирать сессии на седьмом уровне модели OSI, ей нужно видеть пакеты в обе стороны. Балансировщик берет на себя выравнивание асимметричного трафика, раскидывая его по конкретным ядрам фильтров на основе хеша от IP-адресов и портов. Сами фильтры работают на прошивках EcoFilter и EcoDPI, получая списки блокировок из центральной системы управления через изолированный ГОСТовый VPN Континент. И да, в настройках есть встроенная опция деградации протоколов (от 0 до 100), которая позволяет изящно увеличивать процент дропнутых пакетов
Интересна и защита от падений самого ТСПУ. Разработчики понимали, что их серверы будут ложиться под нагрузкой или кривыми апдейтами, поэтому запилили немного отказоустойчивости. Если фильтр не отвечает на keepalive-пакеты или дропает больше 20% сессий от перегруза, балансировщик автоматически пускает трафик в обход без флапа линков у провайдера. А если в стойке тупо пропадает питание, срабатывает оптическое реле в пассивном байпасе, аппаратно замыкая линию связи напрямую. То есть, если ТСПУ умирает, интернет не пропадает, он просто становится кристально свободным как юные годы
По итогу получился вполне себе серьезный программно-аппаратный конвейер. Со своей подсистемой мониторинга (умеют даже деградацию оптики на SFP-трансиверах смотреть), продвинутым CLI и двойным резервированием. Этот глобальный бэкенд сформировал поверх сетей провайдеров еще одну параллельную, централизованно управляемую инфраструктуру гигантских масштабов. Изучая эти логи, понимаешь, что плясать с бубном с этим на уровне любительских прокси будет всё сложнее, потому что по ту сторону работает очень качественный сетевой инжиниринг... было бы любопытно взглянуть на самые свежие разборы с новыми фичами ТСПУ, но увы.
Зависла Телега на отправке? Спонсор этого картизола - packet drop 40%, изящно примененный в соседней стойке
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
✍119❤16😭14👍10🔥3🤔2
Блокировка Telegram назначена на апрель, готовим резервные каналы. Окончательное решение 😗
Инсайды недельной давности оказались не первоапрельской шуткой... решение о полной блокировке Telegram принято окончательно. Рубильник планируют дернуть в первых числах апреля. Как мы уже обсуждали ранее, уголовное дело против Дурова было не просто так... это железобетонный юридический бэкенд, развязывающий руки РКН. Теперь все пазлы сошлись... текущее удушение медиафайлов оказались лишь нагрузочным тестированием ТСПУ перед генеральным выпиливанием.
Для IT-индустрии наступает момент истины, и это точно не повторение 2018 года. Сейчас на магистралях стоят аппаратные балансировщики и серверы с эвристическим анализом. Если в апреле Телегу начнут глушить насмерть, параллельно врубят максимальную паранойю на обнаружение обфусцированного трафика. То личные VLESS, Shadowsocks и кастомные туннели рискуют отвалиться по сигнатурам или аномалиям просто потому, что ТСПУ перейдет в режим... дропать всё нераспознанное зашифрованное😡
Поэтому вопрос корпоративных перекатов встает остро. Оставлять критичные алерты, ботов и рабочие чаты в руках магистральных фильтров и надеяться на авось... это на любителя😬 . В связи с этим практический вопрос - каков ваш план на апрель? Matrix, Mattermost или Jabber? Или руководство тянет переводить процессы в VK Teams и МАХ ⚰️ ? На чем будем держать связь, когда закроется синее окно?
Типичный🥸 Сисадмин
Инсайды недельной давности оказались не первоапрельской шуткой... решение о полной блокировке Telegram принято окончательно. Рубильник планируют дернуть в первых числах апреля. Как мы уже обсуждали ранее, уголовное дело против Дурова было не просто так... это железобетонный юридический бэкенд, развязывающий руки РКН. Теперь все пазлы сошлись... текущее удушение медиафайлов оказались лишь нагрузочным тестированием ТСПУ перед генеральным выпиливанием.
Для IT-индустрии наступает момент истины, и это точно не повторение 2018 года. Сейчас на магистралях стоят аппаратные балансировщики и серверы с эвристическим анализом. Если в апреле Телегу начнут глушить насмерть, параллельно врубят максимальную паранойю на обнаружение обфусцированного трафика. То личные VLESS, Shadowsocks и кастомные туннели рискуют отвалиться по сигнатурам или аномалиям просто потому, что ТСПУ перейдет в режим... дропать всё нераспознанное зашифрованное
Поэтому вопрос корпоративных перекатов встает остро. Оставлять критичные алерты, ботов и рабочие чаты в руках магистральных фильтров и надеяться на авось... это на любителя
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯61😭16🌭4❤3😁3🙏3💔2🗿2🔥1
Типичный Сисадмин
Блокировка Telegram назначена на апрель, готовим резервные каналы. Окончательное решение 😗 Инсайды недельной давности оказались не первоапрельской шуткой... решение о полной блокировке Telegram принято окончательно. Рубильник планируют дернуть в первых числах…
Читая все эти новости со ссылкой на «источники, близкие к ведомствам», не стоит забывать про старую добрую политтехнологию... типа вброс термометра. Вместо того, чтобы сразу выкатывать жесткий релиз - кидают в инфополе слив через подконтрольные медиа и сидят, парсят реакцию.
Если реакция будет слишком бурной, то всегда можно сдать назад, выкатить какого-нибудь говорящего человека с лицом в те же СМИ, который скажет, что это всё слухи, вы что, поверили ТГ-каналам? Официальной позиции нет. Расходимся.
А если тишина, то значит, что почва подготовлена, можно дропать трафик. Так что полюбому где-то кто-то мониторит, параллельно решая, катить этот патч в прод или пока оставить на тестовом стенде.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔65💯28👍5❤2🌭2🏆2🗿2🌚1
Forwarded from DevOps MemOps
MemOps 😃
Please open Telegram to view this post
VIEW IN TELEGRAM
💯147😁39🌚5
Добрые люди собрали, структурировали и выложили в открытый доступ модуль
russian-swears. Это готовый набор словарей и функций для детектирования, фильтрации и анализа могучего нецензурного сленга в любых текстовых строках.Отечественный мат полиморфен, контекстно-зависим и обладает практически бесконечной рекурсией приставок и суффиксов. А тут автор заморочился, собрал рабочую базу и обернул всё это дело в готовый код. Вы только представьте, как выглядят пулл-реквесты в этот репозиторий
Практическую пользу переоценить сложно. Можно прикрутить этот сканер к корпоративному чату разрабов и автоматически блокировать права на деплой тем, чья лексика превышает критический порог тревожности. Или парсить комментарии к коммитам и тикетам, чтобы строить красивые дашборды с тепловой картой ненависти разных рабочих отделов компании
Хороших грядущих выходных, коллеги, и пусть ваши логи будут исключительно цензурными
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - nickname76/russian-swears: Dictionary of russian swear words. Словарь мата русского языка.
Dictionary of russian swear words. Словарь мата русского языка. - nickname76/russian-swears
😁66❤11🔥9🤷♂1🌚1😎1
Forwarded from Всратый монтаж 👹
Типичные будни спайщиков оптики (любая страна). Экскаваторщик искал трубу, а нашел федеральную магистраль на 432 волокна 🗿
Мужики всю ночь играют в микрохирургов в грязи, используя ведра вместо стола и натягивая кабель как струну. Сделали, но времени ушло в три раза больше, чем планировали офисные стратеги.
Физику не обманешь, но менеджеру виднее 🤡
@montajniklvs
Мужики всю ночь играют в микрохирургов в грязи, используя ведра вместо стола и натягивая кабель как струну. Сделали, но времени ушло в три раза больше, чем планировали офисные стратеги.
Физику не обманешь, но менеджеру виднее 🤡
@montajniklvs
🫡129💯16❤12😱2
Как приручить сетевую инфраструктуру? 🤯
Пройти бесплатный мини-курс по компьютерным сетям от Академии Selectel.
Программа курса нацелена на практические навыки. За 4 урока вы научитесь выстраивать базовые сетевые схемы, поднимать выделенные и облачные серверы.
И сразу отработаете навыки — получите промокод на 500 бонусных рублей, чтобы практиковаться в панели управления Selectel бесплатно.
Курс будет интересен как начинающим, так и более опытным сисадминам. Начните обучение сейчас ➡️ https://slc.tl/y21gg?2W5zFGjRqeZ
Больше инструкций и курсов по сетевому администрированию — в Telegram-канале @selectel_academy. Подписывайтесь!
Пройти бесплатный мини-курс по компьютерным сетям от Академии Selectel.
Программа курса нацелена на практические навыки. За 4 урока вы научитесь выстраивать базовые сетевые схемы, поднимать выделенные и облачные серверы.
И сразу отработаете навыки — получите промокод на 500 бонусных рублей, чтобы практиковаться в панели управления Selectel бесплатно.
Курс будет интересен как начинающим, так и более опытным сисадминам. Начните обучение сейчас ➡️ https://slc.tl/y21gg?2W5zFGjRqeZ
Больше инструкций и курсов по сетевому администрированию — в Telegram-канале @selectel_academy. Подписывайтесь!
🌚4❤1🐳1
Подписчик заказал клавиатуру с Алика. В комплекте положили флешку с софтом для настройки макросов и подсветки.
Вставлять комплектную флешку от ноунейм китайской клавиатуры в свой рабочий ПК... ну развлечение для сильных духом😬
Но тут сюрприз оказался неплохим. Флешка определилась с объемом 8 МБ. Вскрытие показало, что китайские инженеры не стали заморачиваться с NAND-памятью, а просто взяли копеечный чип BIOS (25Q64EG) и припаяли к нему простейший USB-мост. Им нужно было доставить юзеру 2 МБ софта - они доставили.
По итогу оказалось, что китайцы случайно создали идеальный девайс :
🟢 Память типа SLC и у нее почти бесконечный ресурс перезаписи и срок хранения данных.
🟢 По сути, это готовый USB-программатор/ридер для SPI чипов.
🟢 На нее идеально влезет KolibriOS или текстовик со всеми паролями...который переживет ядерную зиму.
Типичный🥸 Сисадмин
Вставлять комплектную флешку от ноунейм китайской клавиатуры в свой рабочий ПК... ну развлечение для сильных духом
Но тут сюрприз оказался неплохим. Флешка определилась с объемом 8 МБ. Вскрытие показало, что китайские инженеры не стали заморачиваться с NAND-памятью, а просто взяли копеечный чип BIOS (25Q64EG) и припаяли к нему простейший USB-мост. Им нужно было доставить юзеру 2 МБ софта - они доставили.
По итогу оказалось, что китайцы случайно создали идеальный девайс :
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍183✍30😁14🔥9❤4
Forwarded from Поддержка Петр
Халоу
Первая часть шпаргалок:
• Уровни модели OSI
• Уровни модели TCP/IP
• Протоколы и их порты
• Методы HTTP-запросов
• Коды HTTP-ответов
• Этапы DHCP
Я с графический дизайном на Вы. Буду рад комментариям и замечаниям
#шпаргалки@petr_the_sup
Первая часть шпаргалок:
• Уровни модели OSI
• Уровни модели TCP/IP
• Протоколы и их порты
• Методы HTTP-запросов
• Коды HTTP-ответов
• Этапы DHCP
Я с графический дизайном на Вы. Буду рад комментариям и замечаниям
#шпаргалки@petr_the_sup
2🔥79❤10🤨8👍6🤗2😁1
На прошедшем FOSDEM 2026 подняли тему про базовый протокол всея интернета... про NTP. Спецификации уже больше сорока лет, на ней держится синхронизация абсолютно всей мировой инфраструктуры, но она до сих пор гоняет пакеты по UDP в абсолютно открытом виде, без какой-либо криптографии и проверки подлинности источника.
Казалось бы, кому в здравом уме нужно подделывать время? Но давайте вспомним, что происходит, когда часы на серверах разъезжаются хотя бы на пару минут... у кого-то моментально окирпичивается AD, отваливаются все токены двухфакторки, кластеры БД ловят расхождения и всякое другое. И чтобы устроить это корпоративное веселье, атакующему достаточно провести простейший перехват или UDP-спуфинг, подменив ответы от серверов времени
Но решение проблемы давно существует. Еще в 2020 году инженеры IETF выпустили RFC 8915, описывающий стандарт NTS (Network Time Security). Там сначала по классическому TLS происходит обмен ключами, а затем сами пакеты точного времени защищаются через механизмы аутентифицированного шифрования (AEAD). Это полностью исключает возможность подмены времени в пути, сохраняя при этом миллисекундную точность. На конфе FOSDEM как раз и призывали начать массово внедрять этот стандарт.
Но за окном 2026 год, а стандарт NTS игнорируется чуть более чем везде. Потому что для его внедрения нужно заморачиваться с сертификатами, перенастраивать клиенты (тот же chrony или ntpsec) и переписывать правила на файрволах для новых портов. А у большинства всегда есть задачи поважнее, чем трогать то, что и так работает
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍30🤔9💯7❤6🔥2✍1