Jedne lepe prolećne večeri, kada nisam želeo da idem kući, a neumitna želja za životom i učenjem je svrbila i pekla kao užareno gvožđe, pojavila se ideja da se ubacim u primamljivo zalutalo obeležje na zaštitnom zidu pod nazivom „IP DOS politika".
Nakon preliminarnog maženja i upoznavanja sa priručnikom, postavio sam ga u mod Pass-and-Log, da pogledamo auspuh općenito i sumnjivu korisnost ove postavke.
Nakon par dana (da bi se statistika akumulirala, naravno, a ne zato što sam zaboravio), pogledao sam balvane i, plešući na licu mjesta, pljesnuo rukama - bilo je dovoljno ploča, ne igrajte se. Čini se da ne može biti jednostavnije - uključite politiku za blokiranje svih poplava, skeniranja, instaliranja poluotvoreno sesije sa zabranom na sat vremena i mirno spavaju sa svešću o tome da je granica zaključana. Ali 34. godina života nadjačala je mladalački maksimalizam i negdje u stražnjem dijelu mozga začuo se tanak glas: „Hajde da podignemo kapke i vidimo čije adrese je naš voljeni firewall prepoznao kao zlonamjerne poplave? Pa, redom gluposti."
Počinjemo analizirati primljene podatke sa liste anomalija. Pokrećem adrese kroz jednostavnu skriptu Powershell a oči naiđu na poznata slova Google.
Trljam oči i trepćem oko pet minuta da se uvjerim da ne umišljam stvari - zaista, na listi onih koje je firewall smatrao zlonamjernim flooderima, tip napada je - udp flood, adrese koje pripadaju dobroj korporaciji.
Češem se po glavi, istovremeno podešavajući hvatanje paketa na eksternom interfejsu za naknadnu analizu. Svetle misli mi se vrte u glavi: „Kako to da je nešto zaraženo u Google Scope-u? I ja sam ovo otkrio? Da, ovo, ovo su nagrade, počasti i crveni tepih, i sopstveni kazino sa blackjackom i, dobro, razumete...”
Parsiranje primljene datoteke Wiresharkth.
Da, zaista iz adrese iz opsega Google UDP paketi se preuzimaju sa porta 443 na nasumični port na mom uređaju.
Ali, čekajte malo... Ovdje se mijenja protokol UDP na GQUIC.
Semyon Semenych...
Odmah se sjetim izvještaja iz visoko opterećenje Alexandra Tobolya «UDP protiv TCP ili budućnost mrežnog steka"().
S jedne strane nastupa lagano razočarenje - nema lovorika, nema počasti za tebe, gospodaru. S druge strane, problem je jasan, ostaje da se shvati gdje i koliko kopati.
Nekoliko minuta komunikacije sa Good Corporation - i sve dolazi na svoje mjesto. U pokušaju da poboljša brzinu isporuke sadržaja, kompanija Google najavio protokol još 2012. godine QUIC, koji vam omogućava da uklonite većinu nedostataka TCP-a (da, da, da, u ovim člancima - и Govore o potpuno revolucionarnom pristupu, ali, budimo iskreni, želim da se brže učitavaju fotografije sa mačkama, a ne sve ove revolucije svijesti i napretka). Kao što je pokazalo dalja istraživanja, mnoge organizacije sada prelaze na ovu vrstu opcije isporuke sadržaja.
Problem u mom slučaju, a mislim, ne samo u mom slučaju, bio je u tome što na kraju ima previše paketa i firewall ih doživljava kao poplavu.
Bilo je nekoliko mogućih rješenja:
1. Dodaj na listu isključenja za DoS politika Opseg adresa na firewall-u Google. Pri samoj pomisli na raspon mogućih adresa, oko mu je počelo nervozno trzati - ideja je ostavljena po strani kao luda.
2. Povećajte prag odziva za udp politika poplava - takođe ne comme il faut, ali šta ako se neko zaista zlonameran ušunja.
3. Zabraniti pozive iz interne mreže putem UDP na 443 port out.
Nakon što pročitate više o implementaciji i integraciji QUIC в Google Chrome Posljednja opcija je prihvaćena kao indikacija za akciju. Činjenica je da, voljen od svih svuda i nemilosrdno (ne razumijem zašto, bolje je imati arogantnu crvenokosu Firefox-ovska njuška će dobiti za potrošene gigabajte RAM-a), Google Chrome u početku pokušava uspostaviti vezu koristeći svoje teško zarađene QUIC, ali ako se čudo ne dogodi, onda se vraća na provjerene metode poput TLS, iako se toga izuzetno stidi.
Kreirajte unos za uslugu na zaštitnom zidu QUIC:
Postavljamo novo pravilo i postavljamo ga negdje više u lancu.
Nakon uključivanja pravila na listi anomalija mir i tišina, sa izuzetkom istinski zlonamjernih prekršitelja.
Hvala svima na pažnji.
Korišteni resursi:
1.
2.
3.
4.
izvor: www.habr.com