Сетевые технологии

Беспроводные сети, которые изначально создавались для работы в Интернете с мобильных устройств, сейчас используются повсеместно, в том числе для создания внутренних сетей компаний. Неудивительно, что их безопасность выходит на первый план. При взломе Wi-Fi учитывают особенности, характерные для проводных сетей, и свойства среды, в которой передаётся сигнал. В Wi-Fi проще получить доступ к передаваемым данным или повлиять на сам канал. И первой преградой на пути взломщика становится пароль. Безопасность беспроводных сетей обеспечивают по-разному. Существуют открытые системы, которые работают по тем же принципам, что проводные: подключиться к каналу и получать данные может кто угодно. WEP – первое поколение и стандарт защиты Wi-Fi, разработанный в 1990 году, сейчас почти не используется. WPA и WPA2 – второе поколение защиты. Стандарт поддерживает разные алгоритмы шифрования и шифрует данные каждого клиента по отдельности. В разделе собраны статьи и рекомендации по поиску уязвимостей Wi-Fi, а также выстраиванию защиты сети.

Статья Защита от DDoS атак: anycast, scrubbing-центры, rate limiting и автоматизация реагирования

  • 347
  • 0
Схема сети anycast на плотной бумаге с узлами и цифрами трафика лежит на светлом столе. Рядом — латунная линейка и перьевая ручка с тёмными чернилами.


🛡️ UDP flood на 180 Гбит/с — и NOC-инженер вручную набирает команду активации scrubbing-центра. BGP-конвергенция 4 мин + GRE-туннель 2 мин = платёжный шлюз лежит, четверть месячного SLA-бюджета (99.95% uptime) сгорела.

Anycast-сеть из 20 PoP распределила бы атаку автоматически — по 9 Гбит/с на точку, inline scrubbing за 3 мс, без единого BGP-изменения. Многовекторные атаки (T1498.001 + T1499.002) в 2025 году составляют 52% инцидентов — TCP carpet-bombing сменяется DNS amplification за три минуты, пока NOC разгребает первый вектор.

On-demand scrubbing с GRE-туннелем даёт 10–20 Тбит/с ёмкости, но скрытая цена — время диверсии.

💡 Anycast слеп к L7: sub-Gbps HTTP flood проходит 60–120 сек до порога NetFlow-детекции.

Статья Безопасность корпоративной Wi-Fi сети: WIDS/WIPS, hardening 802.1X и detection rogue AP

  • 277
  • 0
Самодельная точка доступа на одноплатном компьютере на тёмном антистатическом коврике. Голубой дисплей отображает статус атаки, магентовая подсветка выделяет антенны и паяные соединения платы.


📡 Evil twin проработал три недели в переговорной зоне: BSSID отличался на один октет, сигнал был на 8 dBm мощнее корпоративной AP — WIDS молчал, потому что whitelist BSSID никто не настроил. Утекли учётки 14 сотрудников.

Цепочка атаки: airodump-ng собирает BSSID и каналы, hostapd-wpe разворачивает evil twin и перехватывает EAP-хэши через PEAP/MSCHAPv2 на поддельном RADIUS. Классика MITRE T1557 — без физического доступа, из парковки или кафе через стену.

Hardening: whitelist BSSID с порогом RSSI выше -65 dBm = Critical, dedicated sensor mode вместо background scanning (MTTD 30–90 сек против 20+ мин), валидация сертификата RADIUS на клиентах.

💡 WIDS включён — но без whitelist BSSID это генератор тишины, а не алертов.

Статья DDoS-атаки на DNS: water torture, NXDOMAIN flood и защита серверов

  • 393
  • 0
Распечатанный лог DNS-запросов на кремовой бумаге с колонками псевдослучайных субдоменов. Рукописная пометка чернилами обводит кластер запросов, рядом лежит перьевая ручка.


💣 Mirai-ботнет уложил Dyn в 2016-м через water torture: IoT-устройства долбили рекурсоры случайными поддоменами вида a1b2c3.target.com — кэш бесполезен, каждый запрос уходит к авторитативнику. Twitter, Reddit, GitHub — оффлайн.

Water torture эксплуатирует T1499.002/T1499.003: объём трафика скромный, но CPU рекурсора уходит в потолок от cache miss storm. NXDOMAIN flood бьёт по рекурсору любыми несуществующими доменами, water torture целится через него в конкретный авторитативный сервер. DNSSEC иронично усиливает amplification до 54x (T1498.002, US-CERT TA13-088A).

💡 SOC видит volume spike — water torture его не даёт. Атака прячется за легитимным трафиком, пока CPU уже в 100%.

Статья Кибербезопасность критической инфраструктуры: полная карта защиты энергосетей, SCADA и OT-систем

  • 433
  • 0
Рабочий стол аналитика у окна с мягким дневным светом. На мониторе — диаграмма сегментации сети с зонами OT/IT, рядом распечатка временной шкалы инцидента и чашка кофе.


⚙️ Оператор водоочистной станции в Олдсмаре увидел, как курсор двигается сам. Кто-то через legacy-инструмент удалённого доступа пытался поднять концентрацию гидроксида натрия до уровня яда. Не было сегментации, не было мониторинга, не было MFA. Между 15 000 жителей и катастрофой — один внимательный сотрудник.

Навигационный хаб по 9 материалам кластера: атаки на SCADA, сегментация OT по Purdue Model и Zero Trust, пентест Modbus, lateral movement из IT в OT, kill chain до ПЛК, иранские APT, ransomware в OT, VNC без аутентификации.

7 принципиальных отличий OT от IT: приоритет доступности, протоколы без аутентификации, цикл патчинга 29 месяцев, сканирование = риск аварии, жизненный цикл 25 лет, слепота стандартных EDR. IEC 62443, NERC CIP, NIST CSF 2.0 с адаптацией под промышленные среды. Чеклист 12 мер защиты критической инфраструктуры.

💡 Air gap — миф. На каждом объекте найдётся Historian, dual-homed инженерная станция или забытый VPN-туннель вендора.

Статья Микросегментация сети Zero Trust: практическое руководство по внедрению

  • 356
  • 0
Сетевой коммутатор на тёмном антистатическом коврике с цветными кабелями, разделёнными на четыре группы стальными перегородками. Дисплей отображает строку PERMIT ANY ANY → DENY, янтарный светодиод...


🛡️ В 3 из 5 аудитов Zero Trust внутри «защищённых» сегментов стояло правило permit any any — lateral movement шёл беспрепятственно. CISA 2025 прямо фиксирует: ошибки проектирования политик обнуляют все инвестиции в микросегментацию.

Атакующий после T1078 (Valid Accounts) запускает T1046/T1018/T1049, затем движется через T1021 Remote Services — и классический VLAN с ACL не останавливает ни один шаг. East-west трафик периметровые средства не видят, всё внутри считается доверенным.

💡 VLAN есть, отчёт красивый — а permit any any внутри сегмента даёт атакующему полный east-west.

Статья Мисконфигурация облака как вектор атаки: полная карта угроз и защиты AWS, Azure и GCP

  • 370
  • 0
Изометрическая карта облачных угроз: три платформы AWS, Azure и GCP в ряд — у AWS открытый S3-бакет с утекающими файлами, у Azure незащищённый снапшот, у GCP endpoint метаданных и разлетающиеся IAM-ключи, соединённые красными стрелками цепочки атаки.


☁️ 99% облачных инцидентов — вина клиента, не провайдера. Облачные вторжения выросли на 37% в 2025 году. Атаки с использованием валидных credentials — плюс 71%. Мисконфигурация облака — самый дешёвый вектор: не нужны эксплойты, хватает curl.

Навигационный хаб по 9 материалам: открытые S3/Azure Blob/GCP Storage, SSRF к metadata endpoint (169.254.169.254), эскалация привилегий AWS IAM, credential theft и account takeover, CVE-2026-40175 в Axios, безопасность Terraform/CloudFormation, мисконфигурации Salesforce, атаки на serverless Lambda.

Kill chain из 6 этапов с маппингом MITRE ATT&CK: T1619 → T1078.004 → T1552.005 → T1530 → T1098.003. Чеклист 12 действий для немедленного аудита: Block Public Access, IMDSv2, Object Lock, аудит EBS-снапшотов. Таблица инструментов: Prowler, ScoutSuite, Trivy, Pacu — с реальными ограничениями каждого.

💡 Security-команда мониторит трафик и...

Статья Я поднял ловушку для хакеров и за 4 часа поймал ботнет, который живёт с 2018 года

  • 591
  • 1
1.webp


🍯 Оставил SSH-дверь приоткрытой на дешёвом VPS с Cowrie-ловушкой и просто смотрел. Через несколько минут постучались. За четыре часа — почти 7 000 атак, 75 уникальных IP из 30 стран. И семь адресов из разных стран с одним и тем же бэкдор-ключом.

SHA256 всех семи закачек совпал до байта. Ключ с подписью mdrfckr, команда rm -rf .ssh && echo "ssh-rsa..." >> authorized_keys — это Outlaw/Shellbot, ботнет с 2018 года. Семь IP сами жертвы: их когда-то взломали тем же приёмом, теперь они сканируют интернет за своих хозяев.

Топ паролей: 123456, 123, 1234 — и объяснение, почему Passw0rd с заглавной буквой ломается за секунды, а случайные 16 символов — дольше жизни Солнца. Как поднять такую же ловушку самому: VPS, Cowrie через Docker, переброс портов.

💡 Противник — не хакер в худи, а конвейер автоматики, который круглосуточно долбит 123456 по всем адресам подряд.

Статья Сегментация и защита OT-сетей: Purdue Model, промышленная DMZ и Zero Trust для ICS

  • 445
  • 0
Распечатанная схема модели Purdue на плотной бумаге с пятью горизонтальными зонами и выделенной полосой DMZ, с рукописными пометками чернилами. Латунное пресс-папье в углу, мягкий боковой свет.


⚙️ На аудите нефтехимического завода Modbus/TCP от Siemens S7-1200 жил в одном VLAN с корпоративным файловым сервером. От ноутбука подрядчика до записи в holding-регистры ПЛК — 47 минут, два дырявых ACE-правила и ноль алертов в SIEM.

Purdue Model уровни 2 и 3 на реальных объектах сливаются в плоскую подсеть — historian рядом с HMI без файрвола, «временно» уже три года. VPN подрядчика приземляется прямо на Level 2, минуя DMZ: MITRE ATT&CK T1199 Trusted Relationship даёт прямой маршрут в OT. Modbus/TCP FC6/FC16 выполняет запись в регистры без аутентификации от любого IP.

💡 EDR молчит — в OT нет эндпоинтов под агентом. Атака на ПЛК невидима для SIEM до физических последствий.

Статья Nginx reverse proxy: безопасность C2 и detection-чеклист для SOC

  • 499
  • 0
Монитор с зелёным свечением фосфора отображает конфигурационный блок Nginx с маршрутом прокси. Янтарный ореол экрана освещает силуэт кофейной чашки в кромешной тьме.


🔴 Шесть недель C2-канал Cobalt Strike через два Nginx-redirector'а — ноль алертов. Трафик маскировался под API-запросы к SaaS-порталу. На postmortem'е выяснилось: команда защиты не знала, какие артефакты оставляет Nginx в роли C2 redirector без расшифровки TLS.

Механика: location с proxy_pass направляет URI из Malleable C2 Profile на team server, всё остальное — 302 redirect на microsoft.com. try_files как двойное дно: существующий файл отдаётся клиенту, несуществующий URI проксируется на C2. Аналитик проверил домен руками, увидел redirect на легитимный ресурс — закрыл тикет.

Detection без расшифровки TLS: JA3-хеши C2-фреймворков в базах, σ интервалов < 5 сек при среднем > 30 сек — beaconing, один хост на «News»-домен — аномалия, crafted URI возвращает не 404 — try_files с fallback на C2. Мониторинг новых location-блоков в /etc/nginx/ через auditd.

💡 IP из алерта — расходный узел. За redirector'ом скрывается инфраструктура, которую вы ещё не видите.

Статья Взлом медицинского оборудования: от fingerprinting до lateral movement через DICOM

  • 782
  • 0
Разобранный инфузионный насос на антистатическом мате: платы, трубки и поднятый чип. Рука в перчатке держит щуп анализатора у интерфейса, экран ноутбука отображает перехваченные пакеты.


🏥 Из 200 000 инфузионных насосов, проанализированных Unit 42, 75% содержали хотя бы одну известную уязвимость. 52% уязвимы к двум CVE с CVSS 9.8 — раскрытым в 2019 году. Шесть лет назад. На стенде картина та же: открытый текст, дефолтные пароли, прошивки без обновлений.

Медицинская сеть — другая реальность: DICOM не требует аутентификации по дизайну, HL7 v2 передаёт клинические данные открытым текстом, плоские сети без сегментации, VxWorks вместо Windows. CVE-2019-12255 в TCP/IP стеке VxWorks (CVSS 9.8, EPSS Top 1%, EDB-47233) затрагивает МРТ, инфузионные насосы, мониторы пациентов — всё что работает на этой RTOS.

EDR не ставится на насосы и МРТ — несовместимая ОС. SIEM не парсит DICOM/HL7. Трафик на порту 104 воспринимается как нормальный. Чеклист пентеста из девяти шагов.

💡 Вопрос не в том, обнаружит ли кто-то слабости — они давно каталогизированы. Вопрос — кто окажется в сети первым.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 657
Сообщения
347 027
Пользователи
161 373
Новый пользователь
user_24