Een mooi lenteaand, toe ek nie huis toe wou gaan nie, en die onbedwingbare begeerte om te lewe en te leer het soos 'n warm yster gejeuk en gebrand, het die idee ontstaan om na 'n aanloklike verdwaalde kenmerk op die brandmuur te kies genaamd "IP DOS-beleid«.
Na voorlopige liefkosings en vertroudheid met die handleiding het ek dit in modus opgestel Slaag-en-log, om te kyk na die uitlaat in die algemeen en die twyfelagtige bruikbaarheid van hierdie instelling.
Na 'n paar dae (sodat die statistieke natuurlik sou ophoop, en nie omdat ek vergeet het nie), het ek na die stompe gekyk en op die plek gedans en my hande geklap - daar was genoeg rekords, moenie rondspeel nie. Dit wil voorkom asof dit nie eenvoudiger kan wees nie - skakel die beleid aan om alle oorstromings, skandering, installering te blokkeer half oop sessies met 'n verbod vir 'n uur en rustig slaap met die bewussyn van die feit dat die grens gesluit is. Maar die 34ste lewensjaar het jeugdige maksimalisme oorwin en iewers agter in die brein het ’n dun stem geklink: “Kom ons lig ons ooglede en kyk wie se adresse word ons geliefde brandmuur as kwaadwillige vloeders herken? Wel, in volgorde van nonsens.”
Ons begin om die ontvangde data uit die lys van afwykings te ontleed. Ek voer adresse deur 'n eenvoudige skrif Powershell en die oë struikel op bekende letters Google.
Ek vryf my oë en knip my oë vir sowat vyf minute om seker te maak dat ek nie dinge verbeel nie - inderdaad, op die lys van diegene wat die brandmuur as kwaadwillige oorstromers beskou het, is die tipe aanval - udp vloed, adresse wat aan die goeie korporasie behoort.
Ek krap my kop en stel terselfdertyd pakkievaslegging op die eksterne koppelvlak op vir daaropvolgende ontleding. Helder gedagtes flits deur my kop: “Hoe is dit dat iets in Google Scope besmet is? En ek het dit ontdek? Ja, dit, dit is toekennings, eerbewyse en ’n rooi tapyt, en sy eie casino met blackjack en, wel, jy verstaan...”
Ontleed die ontvangde lêer Wireshark-ohm.
Ja, inderdaad van die adres uit die omvang Google UDP-pakkies word vanaf poort 443 na 'n ewekansige poort op my toestel afgelaai.
Maar, wag 'n bietjie... Hier verander die protokol van UDP op GQUIC.
Semyon Semenych...
Ek onthou dadelik die berig van Hoëlading Alexandra Tobolya «UDP против TCP of die toekoms van die netwerkstapel"().
Aan die een kant tree effense teleurstelling in – geen louere, geen eerbewyse vir jou, meester. Aan die ander kant, die probleem is duidelik, dit bly om te verstaan waar en hoeveel om te grawe.
'n Paar minute se kommunikasie met die Good Corporation - en alles val in plek. In 'n poging om die spoed van inhoudlewering te verbeter, het die maatskappy Google het die protokol in 2012 aangekondig QUIC, wat jou toelaat om die meeste van die tekortkominge van TCP te verwyder (ja, ja, ja, in hierdie artikels - и Hulle praat van 'n heeltemal revolusionêre benadering, maar, kom ons wees eerlik, ek wil hê foto's met katte moet vinniger laai, en nie al hierdie rewolusies van bewussyn en vooruitgang nie). Soos verdere navorsing getoon het, skakel baie organisasies nou oor na hierdie tipe inhoudafleweringsopsie.
Die probleem in my geval en, dink ek, nie net in my geval nie, was dat daar op die ou end te veel pakkies is en die firewall sien dit as 'n vloed.
Daar was min moontlike oplossings:
1. Voeg by uitsluitingslys vir DoS-beleid Omvang van adresse op die firewall Google. Net by die gedagte aan die reeks moontlike adresse het sy oog senuweeagtig begin ruk – die idee is as gek opsy gesit.
2. Verhoog die responsdrempel vir udp vloedbeleid - ook nie comme il faut nie, maar wat as iemand regtig kwaadwillig insluip.
3. Verbied oproepe vanaf die interne netwerk via UDP op 443 hawe uit.
Nadat u meer oor implementering en integrasie gelees het QUIC в Google Chrome Die laaste opsie is as 'n aanduiding vir optrede aanvaar. Die feit is dat, geliefd deur almal oral en genadeloos (ek verstaan nie hoekom nie, dit is beter om 'n arrogante rooikop te hê Firefox-ovskaya snuit sal ontvang vir die verbruikte gigagrepe RAM), Google Chrome probeer aanvanklik om 'n verbinding tot stand te bring met behulp van sy swaarverdiende QUIC, maar as 'n wonderwerk nie gebeur nie, dan keer dit terug na bewese metodes soos TLS, hoewel hy hom uiters skaam daaroor.
Skep 'n inskrywing vir die diens op die firewall QUIC:
Ons stel 'n nuwe reël op en plaas dit iewers hoër in die ketting.
Na die aanskakel van die reël in die lys van anomalieë, vrede en stilte, met die uitsondering van werklik kwaadwillige oortreders.
Dankie almal vir julle aandag.
Hulpbronne gebruik:
1.
2.
3.
4.
Bron: will.com