Gözəl bir yaz axşamı, evə getmək istəmədiyimdə, yaşamaq və öyrənmək üçün qarşısıalınmaz ehtirasım isti bir dəmir kimi qaşınıb yanarkən, firewallda "adlı cazibədar bir azğın xüsusiyyəti seçmək fikri yarandı.IP DOS siyasəti".
İlkin nəvazişlərdən və təlimatla tanış olduqdan sonra onu rejimə saldım Keçid və Giriş, ümumi olaraq egzoza və bu parametrin şübhəli faydalılığına baxmaq.
Bir neçə gündən sonra (əlbəttə ki, statistika yığılsın və unutduğum üçün deyil) loglara baxdım və yerində rəqs edərək əllərimi çırpdım - kifayət qədər rekordlar var idi, oynamayın. Deyəsən, daha sadə ola bilməz - bütün daşqınları, skanları, quraşdırmaları bloklamaq üçün siyasəti yandırın yarı açıq 34 saat qadağa ilə seanslar və sərhədin kilidli olduğunun şüuru ilə dinc yatmaq. Ancaq həyatın XNUMX-cü ili gənclik maksimalizminə qalib gəldi və beynin bir yerində nazik bir səs gəldi: "Gəlin göz qapaqlarımızı qaldıraq və görək sevimli təhlükəsizlik divarımız kimin ünvanlarını zərərli daşqınlar kimi tanıdı? Yaxşı, cəfəngiyat üçün."
Alınan məlumatları anomaliyalar siyahısından təhlil etməyə başlayırıq. Mən sadə bir skript vasitəsilə ünvanları idarə edirəm Powershell və gözlər tanış məktublara düşür Google.
Gözlərimi ovuşdururam və təxminən beş dəqiqə qırpıram ki, nəyisə təsəvvür etmirəm - həqiqətən, firewall tərəfindən zərərli daşqınlar hesab edilənlərin siyahısında hücum növü var - udp sel, yaxşı korporasiyaya aid ünvanlar.
Başımı cızıram, eyni zamanda sonrakı təhlil üçün xarici interfeysdə paket tutmağı qururam. Başımdan parlaq fikirlər keçir: “Necə olur ki, Google Scope-da nəsə yoluxur? Və bu kəşf etdiyim şeydir? Bəli, bu, mükafatlar, fəxri fərmanlar və qırmızı xalçadır və blackjack ilə öz kazinosu və yaxşı, başa düşürsən...”
Qəbul edilmiş faylın təhlili Wiresharkoh.
Bəli, həqiqətən də əhatə dairəsindən ünvandan google UDP paketləri 443 nömrəli portdan cihazımdakı təsadüfi porta endirilir.
Amma, bir dəqiqə... Burada protokol dəyişir UDP haqqında GQUIC.
Semyon Semeniç...
Xəbəri dərhal xatırlayıram yüksək yük Aleksandra Tobolya «UDP против TCP və ya şəbəkə yığınının gələcəyi"().
Bir tərəfdən, kiçik bir məyusluq yaranır - heç bir dəfnə, sizin üçün şərəf yoxdur, ustad. Digər tərəfdən, problem aydındır, harada və nə qədər qazılacağını anlamaq qalır.
Yaxşı Korporasiya ilə bir neçə dəqiqəlik ünsiyyət - və hər şey öz yerinə düşür. Məzmun çatdırılma sürətini artırmaq üçün şirkət google 2012-ci ildə protokolu elan etdi QUIC, bu, TCP çatışmazlıqlarının əksəriyyətini aradan qaldırmağa imkan verir (bəli, bəli, bəli, bu məqalələrdə - и Tamamilə inqilabi bir yanaşma haqqında danışırlar, amma düzünü desəm, mən pişiklərlə fotoşəkillərin daha sürətli yüklənməsini istəyirəm və bütün bu şüur və tərəqqi inqilabları deyil). Əlavə araşdırmalar göstərdiyi kimi, bir çox təşkilat indi bu tip məzmun çatdırılması seçiminə keçir.
Mənim işimdəki problem və məncə, təkcə mənim vəziyyətimdə deyil, nəticədə paketlərin çox olması və firewall onları daşqın kimi qəbul etməsi idi.
Bir neçə mümkün həll yolu var idi:
1. İstisna siyahısına əlavə edin DoS Siyasəti Firewalldakı ünvanların əhatə dairəsi google. Sadəcə mümkün ünvanların diapazonunu fikirləşəndə onun gözü əsəbi şəkildə qıvrılmağa başladı - bu fikir dəli kimi bir kənara qoyuldu.
2. Üçün cavab həddini artırın udp daşqın siyasəti - həm də comme il faut deyil, amma həqiqətən pis kimsə gizlicə içəri girsə nə olacaq?
3. Vasitəsilə daxili şəbəkədən zəngləri qadağan edin UDP haqqında 443 çıxışı.
Tətbiq və inteqrasiya haqqında daha çox oxuduqdan sonra QUIC в google Chrome Sonuncu variant hərəkət üçün göstərici kimi qəbul edildi. Fakt budur ki, hər kəs tərəfindən hər yerdə və amansızlıqla sevilir (niyə başa düşmürəm, təkəbbürlü qırmızı saçlı olmaq daha yaxşıdır Firefox-ovskaya ağız, istehlak olunan gigabayt RAM üçün alacaq), google Chrome əvvəlcə zəhmətini istifadə edərək əlaqə yaratmağa çalışır QUIC, amma möcüzə baş verməsə, o zaman kimi sübut olunmuş üsullara qayıdır TLS, baxmayaraq ki, bundan son dərəcə utanır.
Firewallda xidmət üçün giriş yaradın QUIC:
Yeni bir qayda qurduq və onu zəncirdə daha yüksək bir yerə qoyduq.
Anomaliyalar siyahısında qaydanı yandırdıqdan sonra, həqiqətən pis niyyətli pozucular istisna olmaqla, sülh və sakitlik.
Diqqətiniz üçün hər kəsə təşəkkür edirəm.
İstifadə olunan resurslar:
1.
2.
3.
4.
Mənbə: www.habr.com