Jednoho krásného jarního večera, když se mi nechtělo domů a nepotlačitelná touha žít a učit se mě svědila a pálila jako žhavé železo, vznikl nápad vybrat si na firewallu lákavou zbloudilou funkci s názvem „Zásady IP DOS".
Po předběžném pohlazení a seznámení s manuálem jsem jej uvedl do režimu Pass-and-Log, podívat se na výfuk obecně a pochybnou užitečnost tohoto nastavení.
Po několika dnech (aby se statistiky nashromáždily, samozřejmě a ne proto, že jsem zapomněl) jsem se podíval na protokoly a tančíc na místě jsem tleskal - bylo dost záznamů, nehrajte. Zdálo by se, že to nemůže být jednodušší - zapněte zásadu, abyste zablokovali všechny záplavy, skenování a instalaci napůl otevřený sezení se zákazem na hodinu a klidně spát s vědomím, že hranice jsou zamčené. Ale 34. rok života překonal mladistvý maximalismus a kdesi vzadu v mozku se ozval tenký hlásek: „Zvedneme víčka a uvidíme, čí adresy náš milovaný firewall rozpoznal jako zlomyslné záplavy? No, v pořadí nesmyslů."
Začneme analyzovat přijatá data ze seznamu anomálií. Spouštím adresy pomocí jednoduchého skriptu PowerShell a oči narazí na známá písmena Google.
Protírám si oči a mrkám asi pět minut, abych se ujistil, že si věci nepředstavuji - na seznamu těch, které firewall považoval za škodlivé záplavy, je typ útoku - udp povodeň, adresy patřící dobré společnosti.
Poškrábu se na hlavě a současně nastavuji zachycení paketů na externím rozhraní pro následnou analýzu. Hlavou mi problesknou jasné myšlenky: „Jak to, že je něco infikováno v Google Scope? A tohle jsem objevil? Ano, to jsou ceny, vyznamenání a červený koberec a vlastní kasino s blackjackem a, rozumíte...“
Analýza přijatého souboru Wiresharkth.
Ano, skutečně z adresy z rozsahu Google Pakety UDP se stahují z portu 443 na náhodný port na mém zařízení.
Ale počkejte chvilku... Tady se protokol mění UDP na GQUIC.
Semjon Semenych...
Hned si pamatuji reportáž z vysoké zatížení Alexandra Tobolyaová «UDP против TCP nebo budoucnost síťového zásobníku"().
Na jedné straně nastává mírné zklamání – žádné vavříny, žádné vyznamenání pro vás, mistře. Na druhou stranu je problém jasný, zbývá pochopit, kde a jak moc kopat.
Pár minut komunikace s Dobrou korporací - a vše zapadne na své místo. Ve snaze zlepšit rychlost doručování obsahu společnost Google oznámil protokol již v roce 2012 QUIC, který umožňuje odstranit většinu nedostatků TCP (ano, ano, ano, v těchto článcích - и Mluví se o zcela revolučním přístupu, ale, buďme upřímní, chci, aby se fotky s kočkami načítaly rychleji, a ne všechny tyhle revoluce vědomí a pokroku). Jak ukázal další výzkum, mnoho organizací nyní přechází na tento typ možnosti doručování obsahu.
Problém v mém případě a myslím, že nejen v mém byl ten, že paketů je nakonec moc a firewall je vnímá jako záplavu.
Možností řešení bylo málo:
1. Přidat na seznam vyloučení pro Zásady DoS Rozsah adres na firewallu Google. Už jen při pomyšlení na rozsah možných adres mu začalo nervózně cukat oko – nápad byl odložen jako šílený.
2. Zvyšte práh odezvy pro udp povodňová politika - taky ne comme il faut, ale co když se sem vplíží někdo opravdu zlomyslný.
3. Zakázat volání z vnitřní sítě přes UDP na 443 port ven.
Po přečtení více o implementaci a integraci QUIC в Google Chrome Poslední možnost byla přijata jako indikace k akci. Faktem je, že milován všemi všude a nemilosrdně (nechápu proč, je lepší mít arogantní zrzku Firefox-ovskaya čenich obdrží za spotřebované gigabajty RAM), Google Chrome zpočátku se snaží navázat spojení pomocí svého těžce vydělaného QUIC, ale pokud se nestane zázrak, pak se vrací k osvědčeným metodám jako TLS, i když se za to nesmírně stydí.
Vytvořte položku pro službu na bráně firewall QUIC:
Nastavíme nové pravidlo a zařadíme ho někam výš v řetězci.
Po zapnutí pravidla v seznamu anomálií klid a mír, s výjimkou skutečně zlomyslných narušitelů.
Děkuji vám všem za pozornost.
Použité zdroje:
1.
2.
3.
4.
Zdroj: www.habr.com