An einem schönen Frühlingsabend, als ich nicht nach Hause wollte und der unbändige Wunsch zu leben und zu lernen juckte und brannte wie ein heißes Eisen, kam mir die Idee, an einer verlockenden, verirrten Funktion auf der Firewall herumzuhacken, die „“IP-DOS-Richtlinie«.
Nach einleitenden Zärtlichkeiten und dem Kennenlernen des Handbuchs richtete ich es in den Modus ein Pass-and-Log, um den Auspuff im Allgemeinen und den zweifelhaften Nutzen dieser Einstellung zu betrachten.
Nach ein paar Tagen (damit sich die Statistiken natürlich ansammeln und nicht, weil ich es vergessen habe) schaute ich auf die Protokolle und klatschte auf der Stelle tanzend in die Hände – es waren genug Aufzeichnungen da, spielen Sie nicht herum. Es scheint, dass es nicht einfacher sein könnte: Aktivieren Sie die Richtlinie, um jegliches Überfluten, Scannen und Installieren zu blockieren halb offen Sitzungen mit einem Verbot für eine Stunde und schlafen Sie ruhig im Bewusstsein, dass die Grenze gesperrt ist. Doch das 34. Lebensjahr überwand den jugendlichen Maximalismus und irgendwo im Hinterkopf ertönte eine dünne Stimme: „Lasst uns die Augenlider heben und sehen, wessen Adressen unsere geliebte Firewall als bösartige Fluter erkannt hat?“ Nun, in der Reihenfolge des Unsinns.
Wir beginnen mit der Analyse der empfangenen Daten aus der Liste der Anomalien. Ich führe Adressen über ein einfaches Skript aus Powershell und die Augen stolpern über bekannte Buchstaben Google.
Ich reibe mir die Augen und blinzele etwa fünf Minuten lang, um sicherzustellen, dass ich mir nichts einbilde – tatsächlich steht auf der Liste derjenigen, die die Firewall als bösartige Flooder betrachtet, die Art des Angriffs: UDP-Flut, Adressen der guten Gesellschaft.
Ich kratze mir den Kopf und richte gleichzeitig die Paketerfassung auf der externen Schnittstelle für die anschließende Analyse ein. Helle Gedanken schießen mir durch den Kopf: „Wie kommt es, dass in Google Scope etwas infiziert ist?“ Und ich habe das entdeckt? Ja, das sind Auszeichnungen, Ehrungen und ein roter Teppich und ein eigenes Casino mit Blackjack und, na ja, Sie verstehen …“
Analysieren der empfangenen Datei Wireshark-Ohm.
Ja, tatsächlich von der Adresse aus dem Geltungsbereich Google UDP-Pakete werden von Port 443 auf einen zufälligen Port auf meinem Gerät heruntergeladen.
Aber Moment mal... Hier ändert sich das Protokoll UDP auf GQUIC.
Semyon Semenych...
Ich erinnere mich sofort an den Bericht von Hohe Belastung Alexandra Tobolya «UDP против TCP oder die Zukunft des Netzwerk-Stacks"().
Einerseits stellt sich eine leichte Enttäuschung ein – keine Lorbeeren, keine Ehrungen für Sie, Meister. Andererseits ist das Problem klar, es bleibt zu verstehen, wo und wie viel gegraben werden muss.
Ein paar Minuten Kommunikation mit der Good Corporation – und alles passt zusammen. Um die Geschwindigkeit der Inhaltsbereitstellung zu verbessern, hat das Unternehmen Google kündigte das Protokoll bereits 2012 an QUIC, wodurch Sie die meisten Mängel von TCP beseitigen können (ja, ja, ja, in diesen Artikeln - и Sie sprechen von einem völlig revolutionären Ansatz, aber seien wir ehrlich, ich möchte, dass Fotos mit Katzen schneller geladen werden, und nicht all diese Bewusstseins- und Fortschrittsrevolutionen. Wie weitere Untersuchungen gezeigt haben, wechseln viele Organisationen inzwischen zu dieser Art der Content-Bereitstellung.
Das Problem in meinem Fall und ich glaube nicht nur in meinem Fall war, dass am Ende zu viele Pakete vorhanden sind und die Firewall sie als Flut wahrnimmt.
Es gab nur wenige mögliche Lösungen:
1. Zur Ausschlussliste hinzufügen für DoS-Richtlinie Adressumfang auf der Firewall Google. Allein beim Gedanken an die Vielfalt möglicher Adressen begannen seine Augen nervös zu zucken – die Idee wurde als verrückt abgetan.
2. Erhöhen Sie die Ansprechschwelle für UDP-Hochwasserpolitik - auch nicht Comme il faut, aber was ist, wenn sich jemand wirklich Böswilliger einschleicht?
3. Anrufe aus dem internen Netzwerk verbieten über UDP auf 443 Port raus.
Nachdem Sie mehr über Implementierung und Integration gelesen haben QUIC в Google Chrome Die letzte Option wurde als Handlungshinweis akzeptiert. Tatsache ist, dass es besser ist, eine arrogante Rothaarige zu haben, die überall und gnadenlos von allen geliebt wird (ich verstehe nicht warum). Firefox-ovskaya Muzzle erhält für die verbrauchten Gigabyte RAM), Google Chrome versucht zunächst, mit seinen hart erkämpften Mitteln eine Verbindung herzustellen QUIC, aber wenn kein Wunder geschieht, dann greift man auf bewährte Methoden zurück wie TLS, obwohl er sich dafür äußerst schämt.
Erstellen Sie einen Eintrag für den Dienst in der Firewall QUIC:
Wir erstellen eine neue Regel und platzieren sie irgendwo weiter oben in der Kette.
Nach dem Einschalten der Regel in der Liste der Anomalien herrscht Ruhe, mit Ausnahme wirklich böswilliger Übertreter.
Vielen Dank für Ihre Aufmerksamkeit.
Verwendete Ressourcen:
1.
2.
3.
4.
Source: habr.com