DEV Community: ad layer

Смерть Reality-TCP и пришествие xHTTP: Как выживает Xray-core в эпоху тотальных блокировок

ad layer — Fri, 02 Jan 2026 20:45:12 +0000

Конец 2025 года стал для VPN-сообщества «черным декабрем». Привычный VLESS-Reality через TCP-транспорт, который считался золотым стандартом, начал массово деградировать у мобильных операторов. ТСПУ (технические средства противодействия угрозам) научились эффективно вычислять аномалии TLS-хендшейков и накладывать L3-ограничения.

В чем техническая проблема?
Мобильные операторы начали применять тактику «дросселирования» (throttling): соединение успешно устанавливается, но через 30–60 секунд скорость падает до 2–5 Кбит/с, а пинг вырастает в геометрической прогрессии. Это признак работы эвристического анализатора, который видит подозрительно длинную сессию с зарубежным IP, нехарактерную для обычного веб-серфинга.

Решение: Переход на транспорт xHTTP
Новое ядро Xray (начиная с 25.12.2) привнесло протокол xHTTP. В отличие от gRPC, который работает в один поток и часто режется по сигнатурам, xHTTP имитирует поведение обычных HTTP-запросов настолько правдоподобно, что DPI видит это как обычную загрузку медиаконтента или работу с API.

Важный нюанс конфигурации:
При обновлении на последние ядра обязательно добавляйте параметр publicKey в блок realitySettings, иначе входящее соединение просто не поднимется.

"streamSettings": { "network": "xhttp", "xhttpSettings": { "mode": "auto", "path": "/api/v1/updates" }, "security": "reality", "realitySettings": { "publicKey": "ВАШ_ПУБЛИЧНЫЙ_КЛЮЧ", "dest": "127.0.0.1:8444", "serverNames": ["self-sni.com"] } }

Если вся эта возня с JSON-конфигами, отладкой логов контейнеров и поиском «чистых» IP кажется вам слишком трудозатратной, стоит обратить внимание на готовые решения. Например, сервис hynet.space предлагает доступ через более чем 6 протоколов (включая xHTTP и gRPC) «из коробки», избавляя от необходимости ручной настройки бэкенда.

Новые серии «Наруто» выйдут в конце 2026-го.

ad layer — Fri, 26 Dec 2025 23:32:23 +0000

История развернётся во времена самого первого сезона, в оригинальном сериале её не было

В центре будет классический состав Команды 7 — юные Наруто, Саске и Сакура под руководством Какаши-сенсея. Всего будет четыре серии — их уже полностью отсняли.

Готовим олдскулы

Эра «Белых списков»: Почему ваш VLESS больше не вывозит и как работает корреляция SNI

ad layer — Sun, 21 Dec 2025 17:35:08 +0000

Сетевой ландшафт меняется.

Мы плавно переходим от модели черных списков к агрессивным «белым спискам». Если вы админите свои ноды, то наверняка заметили в логах странные таймауты: соединение устанавливается, но пакеты перестают ходить через пару минут.
В чем техническая суть проблемы?
Как показывают обсуждения в профильных сообществах, современный DPI (Deep Packet Inspection) научился сопоставлять SNI в TLS-заголовке и IP-адрес назначения. Если вы пишете в SNI yandex.ru, а пакет летит на IP в Амстердаме — ТСПУ (технические средства противодействия угрозам) мгновенно сбрасывает сессию.

Метод «Домашнего шлюза»
Некоторые энтузиасты пытаются реализовать схему с двойным прыжком:
Подключение с мобильного (где блокировки жестче) на «белый» IP домашнего ПК.
Маршрутизация трафика через домашний ПК дальше на зарубежный VPS через iptables и MASQUERADE.

iptables -t nat -A POSTROUTING -s 10.8.1.0/24 -o tun0 -j MASQUERADE iptables -A FORWARD -i tun1 -o tun0 -j ACCEPT

Но это «костыль», который сильно зависит от аптайма вашего домашнего провайдера и его желания не вводить белые списки на оптике.
Профессиональный подход
Сейчас борьба идет на уровне транспортных протоколов. Использование XHTTP или VLESS Reality становится стандартом. В процессе тестирования разных конфигураций я заметил, что наиболее стабильно себя показывают инфраструктуры, которые уже имеют преднастроенные таблицы маршрутизации под логику «белых списков». Например, тот же hynet.space ребята явно заморочились с балансировкой и маскировкой под разрешенные домены так, чтобы корреляция SNI/IP не триггерила фильтры провайдеров.
Ключевой совет для девов: не пытайтесь просто «поднять проксю». Смотрите в сторону раздельного туннелирования (split tunneling). Нужно гнать через туннель только заблокированные CIDR, оставляя основной рабочий трафик чистым.

networks #devops #vpn #vless #security

⚡️ Гонконгский грипп массово выкашивает россиян — вспышки наблюдаются уже в 17 регионах России. Ещё утром их было восемь.

ad layer — Thu, 11 Dec 2025 15:18:42 +0000

H3N2 — опаснейший штамм, который поражает взрослых за пару часов, а детей всего за 15-30 минут. Температура у заболевших резко поднимается до 38–40°, появляются адские боли по всему телу, которые не сбиваются лекарствами.

Симптомы держатся пять дней. Надёжной вакцины нет. Пик прогнозируют на новогодние праздники.

Страшно.

Roblox в России перестал открываться. Сообщество подозревает блокировку

ad layer — Wed, 03 Dec 2025 10:35:11 +0000

К обеду 3 декабря 2025 года российские игроки массово начали жаловаться на проблемы с доступом к Roblox. Первые сообщения на Downdetector появились примерно в 11:00 мск, а уже к 12:00 количество жалоб превысило 2100.

Симптомы у большинства одинаковые:
• клиент не загружается
• веб-версия зависает на старте
• у пользователей с российскими IP Roblox совсем перестаёт открываться

В сети быстро всплыла версия о возможной блокировке доступа. Это не выглядит фантастикой — буквально накануне Роскомнадзор заявил о наличии “запрещённого и неподобающего контента” на платформе, а в Госдуме обсуждалась вероятность дальнейших ограничений.

Однако официального сообщения о блокировке на момент публикации не поступало. Пока что это выглядит как очередной случай, когда сервис либо попал под фильтрацию, либо интернет-маршруты порезало «между делом».

И что теперь? Конец прокачке аватара и сливов Robux?

Гиковский ответ — нет, интернет не так прост.
История знает кучу ситуаций, когда сервисы переставали открываться в конкретном регионе, а пользователи находили пути доступа через другие маршруты сети. Это не магия, а базовая сетевая грамотность.

Абстрактно говоря, существуют разные подходы:

Метод Когда используется Особенности
Туннелирование трафика Если доступ ограничен по IP Маскирует маршрут, но требует стабильного канала
DNS-перенаправление Когда блокировка на уровне DNS Легче всего реализуется, но не всегда помогает
Протокольная ротация Если фильтруются отдельные протоколы Использует альтернативные способы установления соединения
Многоузловая маршрутизация Для обхода глубоких фильтров Больше задержка, но меньше риска блокировки

Все эти вещи используются законно, например, когда компания получает доступ к своей dev-среде во время технических работ или тестирует работу приложения из других регионов.

В экосистеме уже появились сервисы, которые делают подобные сетевые манёвры проще.
Например, существуют решения вроде hynet space — штука интересна именно тем, что поддерживает несколько разных протоколов (6+), что дает невероятную адаптивность.

Фактически это что-то вроде швейцарского ножа для сетевого трафика:
ты не лезешь руками в TCP/IP-потрошки, а просто задаёшь цель — и система сама подбирает маршрут, не светя прямым запросом. Работает не только для игр, но и для серверов, IDE, стриминга — для всего, что не любит «Ошибка подключения, попробуйте позже».

Что дальше?

Вариантов ровно три:

Roblox вернётся сам — и все будут делать вид, что ничего не было.

Ограничения действительно введут, и это станет новой реальностью.

Гики, как всегда, найдут пути, потому что интернет изначально создавался распределённым и живучим.

Мир цифровых сервисов никогда не статичен.
Сегодня не работает Roblox — завтра не работает что-то ещё, поэтому запасайтесь крутыми сервисами как писал выше и кайфуте

Математическая модель DeepSeek превосходит результаты людей

ad layer — Sun, 30 Nov 2025 20:38:36 +0000

Китайский AI-стартап DeepSeek представил 27 ноября DeepSeekMath-V2 — модель математического рассуждения с открытым исходным кодом, которая набрала 118 из 120 баллов на математическом конкурсе Патнэма 2024 года, превзойдя лучший человеческий результат в 90 баллов, и продемонстрировала результаты уровня золотой медали на Международной математической олимпиаде 2025 года и Китайской математической олимпиаде 2024 года.

Модель представляет новую структуру самопроверки, использующую две AI-системы — одну в качестве «доказывающей» для генерации математических доказательств, а другую в качестве «проверяющей» для тщательного анализа рассуждений — что решает проблему, заключающуюся в том, что правильные финальные ответы не гарантируют корректности процесса рассуждений.

DeepSeekMath-V2 стала первой моделью с открытым исходным кодом, достигшей статуса золотой медали на соревнованиях уровня IMO, её веса находятся в открытом доступе под лицензией Apache 2.0, что контрастирует с закрытыми проприетарными моделями от OpenAI и Google DeepMind, достигшими аналогичных результатов.

OpenWRT, ByeByeDPI и WinDivert: Охота на Magic Cookie STUN — Блокировка WhatsApp в РФ, как ее обойти?

ad layer — Sat, 29 Nov 2025 05:19:08 +0000

Очередная волна блокировок, на этот раз нацеленная на голосовой и видео трафик WhatsApp. Механизм давно известен: это L7-фильтрация (уровень приложений) на оборудовании ТСПУ. Фильтр настроен не на IP-адреса, а на сигнатуры протокола STUN (Magic Cookie $0x2112A442$), который используется для установления P2P-соединения.Если пакет соответствует сигнатуре, DPI его дропает. Задача обхода — десинхронизировать этот пакет.

Сравнение Методов Обхода: Плюсы и Минусы

Метод «Сетевого Инженера»: Решение на Шлюзе (OpenWRT)
Самый «чистый» способ — решить проблему на уровне домашнего маршрутизатора. Это исключает необходимость настройки каждого устройства. Если на вашем роутере стоит OpenWRT и установлен пакет zapret, то фикс занимает пару минут.

Подключаемся по SSH.

Редактируем конфигурационный файл /opt/zapret/config.

Прописываем стратегии десинхронизации, учитывая, что STUN-трафик может не распознаваться как стандартный веб-трафик:

Активируем десинхронизацию для UDP-трафика

NFQWS_OPT_DESYNC_UDP="--dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-any-protocol"

Перезапускаем: /etc/init.d/zapret restart. Готово. Голосовой трафик теперь прозрачен для всех клиентов в сети.

Альтернатива «Для ЛЛ»: Почему Простой VPN — Это Сложный VPN
Если вы не администратор, но хотите стабильности, вам нужен не просто VPN, а туннель нового поколения.

Маскировка: Забудьте про OpenVPN. Сегодня нужен протокол, который мимикрирует под обычный интернет-трафик, например, VLESS + Reality (Xray). Это позволяет обойти детекцию DPI и обеспечивает низкую задержку, что критично для VoIP.

Маршрутизация (Routing): Гнать весь трафик в туннель — лишняя задержка и конфликты. Лучшие VPN-клиенты умеют настраивать маршруты, отправляя только иностранный трафик (WhatsApp, Instagram, Discord) в туннель, а RU-сегмент (Госуслуги, Банки) — напрямую. Это экономит батарею и предотвращает проблемы с отечественными сервисами.

Если вы ищете готовое, однокликовое решение, которое включает в себя лучшие протоколы обхода и настроенную маршрутизацию (Split Tunneling), стоит обратить внимание на проекты, сфокусированные на борьбе с DPI. Сервис hynet.space предлагает именно такую сбалансированную и высокоскоростную инфраструктуру, позволяя моментально восстановить работу голосовых звонков без необходимости копаться в конфигах роутера или рисковать блокировкой банковских приложений.

Блогер нашёл способ воспроизводить на PS5 содержимое обычных компакт-дисков

ad layer — Thu, 27 Nov 2025 14:43:06 +0000

Автор YouTube-канала Will It Work нашёл способ воспроизводить на PlayStation 5 содержимое обычных компакт-дисков. Для этого нужен

Первые поколения PlayStation воспроизводили компакт-диски и служили пользователям универсальными медиацентрами. В PlayStation 4 поддержку Audio CD и Video CD убрали. Компания сделала ставку на стриминговые сервисы. Поколение PS5 тоже официально не воспроизводит Audio CD, но открывает различные форматы музыки с USB-накопителя.

Блогер выяснил, что если записать диск в формате Data CD и подключить его к консоли с помощью внешнего USB-дисковода, то система будет считать его USB-накопителем. Можно будет просматривать файлы и воспроизводить музыку с помощью встроенного медиаплеера

Microsoft и GitHub представили инструмент для устранения уязвимостей с помощью ИИ

ad layer — Mon, 24 Nov 2025 13:05:13 +0000

Microsoft и GitHub объединили аналитику времени выполнения с рабочими процессами разработки, чтобы использовать ИИ для приоритизации угроз и автоматизации исправлений. Нативная интеграция между Microsoft Defender for Cloud и GitHub Advanced Security позволит решить проблему «многолетней накопившейся задолженности по безопасности в корпоративных кодовых базах»

Инструмент уже доступен в общедоступной предварительной версии. Он подключает аналитику времени выполнения из производственных сред непосредственно к рабочим процессам разработки. Цель — помочь организациям определить приоритетность уязвимостей и использовать ИИ для их более быстрого устранения.

«На протяжении всей моей карьеры я наблюдал, как тенденции в области уязвимостей менялись. Неважно, насколько хорош и точен наш механизм обнаружения, люди просто не успевали исправлять ошибки достаточно быстро. По сути, это привело к десятилетиям накопления долга по безопасности в корпоративных кодовых базах», — сказал вице-президент по управлению продуктами GitHub Марсело Оливейра.

Согласно отраслевым данным, уязвимости критической и высокой степени серьёзности составляют 17,4% от общего числа незакрытых задач безопасности, а среднее время их устранения достигает 116 дней. При этом, по словам Оливейры, приложения подвергаются атакам примерно каждые три минуты.

Интеграция же представляет собой первое нативное связующее звено между аналитикой среды выполнения и рабочими процессами разработчиков, отметила директор по маркетингу продуктов в области облачной безопасности и безопасности ИИ в Microsoft Элиф Альгедик.

По её словам, организации сейчас создают в среднем более 500 новых приложений в год, а по мере роста объёма кода разрыв между разработкой и безопасностью увеличивается. Интеграция устраняет фундаментальный разрыв между командами безопасности и разработчиками. По словам Оливейры, команды безопасности завалены оповещениями и иногда не могут отличить реальные эксплуатируемые риски от теоретических. У разработчиков, в свою очередь, нет чётких сигналов о приоритетах, и часто они тратят время на исправление проблем, которые могут не эксплуатироваться в производственной среде.

Старший директор по сервисам, языкам и инструментам для разработчиков Microsoft Эндрю Флик называет это дилеммой DevSecOps. По его словам, основных проблем три: команды безопасности увязают в постоянном потоке оповещений, в то время как ИИ быстро внедряет новые векторы угроз, на понимание которых у них мало времени; у разработчиков нет чёткой расстановки приоритетов, а устранение уязвимостей занимает слишком много времени; обе команды полагаются на отдельные, неинтегрированные инструменты, что замедляет и усложняет совместную работу.

Новая интеграция работает в обоих направлениях. Когда Defender for Cloud обнаруживает уязвимость в работающей рабочей нагрузке, контекст выполнения переносится в GitHub, показывая разработчикам, связана ли уязвимость с интернетом, обрабатываются ли конфиденциальные данные или же она действительно раскрыта в рабочей среде. Это работает на основе так называемого виртуального реестра, который сопоставляет код и среду выполнения.

Например, если приложение работает и обслуживает тысячи клиентов, то Defender for Cloud обнаруживает уязвимость в API, доступном через интернет и обрабатывающем конфиденциальные данные. Раньше это оповещение могло висеть на панели управления, пока разработчики работали над несвязанными исправлениями. Теперь в GitHub можно создать кампанию безопасности, фильтруя риски времени выполнения, такие как уязвимость интернета или конфиденциальные данные, и уведомляя разработчика о необходимости приоритизировать задачу. После этого он может использовать Copilot Autofix для применения предложенного ИИ решения за считанные минуты.

Помимо приоритизации, интеграция использует возможности ИИ GitHub для «агентских исправлений». Это позволит создавать кампании безопасности и назначать ИИ-агентам пакетное исправление уязвимостей.

«Мы позволяем вам создать кампанию, а затем назначить её Copilot. Неважно, 10 это уязвимостей или 100, Copilot теперь поможет не только разобраться со всеми потенциальными конфликтами, но и объединить всё в один PR (pull request), проверить конвейер непрерывной интеграции и убедиться, что все эти утомительные элементы теперь можно автоматизировать», — сказал Оливейра.

По данным GitHub, Copilot Autofix исправляет 50% оповещений в запросах на выдачу, сокращая среднее время устранения неполадок на 70%. В ходе кампаний по безопасности было устранено 68% оповещений.

Альгедик выделила три ощутимых преимущества интеграции: команды могут взаимодействовать без проблем, поскольку службы безопасности открывают и отслеживают проблемы GitHub непосредственно из Defender for Cloud; процесс исправления ускоряется благодаря ИИ, поскольку не прерывается процесс разработки; команды могут расставлять приоритеты, сопоставляя угрозы во время выполнения непосредственно с их источником в коде.

Ранее стало известно, что Microsoft переводит IT-инфраструктуру GitHub на серверы Azure. Миграцию планируется провести в течение 24 месяцев.

Как скачать файл по HTTPS/HTTP с произвольным ограничением скорости

ad layer — Sat, 22 Nov 2025 17:31:25 +0000

Вы не стремитесь скачать как можно быстрее, вам нужно просто скачать когда-нибудь, главное чтобы скачивание не забивало весь канал и не мешало использовать Интернет. Вы вручную выбираете небольшую скорость скачивания.

Скачивайте в приложении curl, в командной строке.

Где взять приложение curl:
Windows
В большинстве версий, вышедших после 18.01.2018 приложение уже есть. Просто запускайте cmd или PowerShell и используйте.
В ином случае можно скачать и добавить вручную. Это просто exe.

Там ищите что-то вроде “curl-windows-x86_64–8.17.0-ech.tar.xz”, версия может быть другой. Распакуйте и достаньте “curl.exe”. Можно в cmd перейти в папку в которой он лежит, или поместить его в C:\Windows\System32\ чтобы он был доступен в любом месте.

GNU Linux
В большинстве дистрибутивов установлено по умолчанию.
В ином случае можно установить из пакетных менеджеров. В apt, prm, dnf, yum, zypper, pacman, pkg оно есть. И не только в них.

MacOS / OSX
Установлено по умолчанию, можно использовать в “Терминал”.Android
Можно установить и использовать в приложении Termux так же как и в GNU Linux. Через пакетный менеджер pkg. Не нужны root права и прочие модификации.

Где взять прямую ссылку:

Например ПКМ по кнопке скачать и “Скопировать ссылку”.

Начать скачивать в браузере, сразу отменить загрузку, и в истории загрузок копировать ссылку на загрузку.

Аналогично в браузерах на движке Chromium через историю загрузок.

В Инструментах разработчиков, для элементов, скачивание которых изначально не предполагалось.