🌩 Как Yandex Cloud пересобрал сеть после крупного сбоя

Любой опытный админ знает, что не падает только то, что не работает. В конце 2024 года Yandex Cloud пережил один из самых жестких региональных инцидентов в своей истории. Отказ одного сетевого контроллера запустил эффект домино, который привел к потере внешней связности сразу в нескольких зонах доступности. Ситуация классическая для сложных систем, когда звезды сошлись так, что наложились миграции виртуалок, баги в маршрутизации и отсутствие предохранителей в очередях. Получился идеальный шторм 😱

Недавно команда Yandex Cloud выкатила подробнейший суровый лонгрид на Хабре, показав, как именно дыры в слоях защиты привели к каскадному отказу.

Но самое ценное в выводах и решениях. Команда пересобрала подход к устойчивости сети:
🟢Вдрили режим Fail Safe (Headless). Теперь при падении Control Plane трафик продолжает ходить (раньше маршруты отзывались).
🟢Реализовали Zonal Shift, условный царь-рубильник для мгновенного отключения проблемной зоны на балансировщиках.
🟢Пересмотрели архитектуру очередей, чтобы система не захлебывалась сама собой при шторме запросов.

Если вы строите Highload или просто хотите понять, как мыслят архитекторы, когда у них горит прод на уровне региона, то читать обязательно. Это отличный пример того, как превратить факап в точку роста и сделать систему неубиваемой (почти 😬).

👉 Читать разбор инцидента: https://habr.com/ru/companies/yandex/articles/992520/

Сдал по гарантии, начала умирать мать 👍

😶 Забудьте про изоляцию в Wi-Fi.

Годами мы лепили гостевые SSID, ставили галочку AP Isolation и верили, что юзеры внутри одной подсети изолированы друг от друга. Оказалось - показалось 😬

На симпозиуме NDSS 2026 показали атаку AirSnitch, которая умножает на ноль всю изоляцию Wi-Fi клиентов. Причем делает это не брутфорсом, а фундаментальным обманом логики работы коммутаторов на первом и втором уровнях модели OSI. Уязвимы практически все протестированные железки... Cisco, Ubiquiti, Netgear, D-Link, а также кастомные прошивки OpenWrt и DD-WRT 🤙

Суть атаки... Атакующий подключается к точке доступа, подделывая MAC-адрес жертвы. AP обновляет таблицу коммутации, связывая виртуальный порт атакующего с MAC-адресом жертвы. В результате весь входящий трафик начинает литься хакеру. Но чтобы сделать атаку двусторонней и не сбросить жертву окончательно, хакер использует хитрый трюк... он отправляет ICMP-пинг с рандомного MAC-адреса, завернутый в общий групповой ключ сети. Это заставляет точку доступа переключить маршрутизацию обратно на жертву. Постоянно жонглируя этими состояниями, атакующий незаметно встает посередине канала ⌨️

Самая дичь заключается в том, что атака работает даже за пределами одного BSSID. Злоумышленник может сидеть на гостевом SSID, а ломать клиента из корпоративного SSID, если они обслуживаются одной точкой доступа. В энтерпрайз-сетях ситуация еще хуже, т.к. AirSnitch позволяет перехватывать трафик между пользователями, подключенными к разным физическим точкам доступа, если они делят общую проводную распределительную сеть. Разделение по VLAN помогает далеко не всегда, так как многие вендоры криво реализуют изоляцию между L2 и L3. Исследователи даже продемонстрировали, как с помощью этого метода перехватить RADIUS-пакеты и поднять фейкового двойника корпоративной WPA3-Enterprise сети.

Что со всем этим делать - пока вопрос открытый. Проблема кроется в самой архитектуре обработки фреймов, и некоторые производители железа уже говорят, что починить это программно невозможно и нужны фиксы в Wi-Fi чипах. Патчи будут, но до тех пор любая открытая или слабо защищенная сеть (даже с изоляцией) - это ваши риски уже сейчас 😶

Типичный 🥸 Сисадмин