Ένα ωραίο ανοιξιάτικο απόγευμα, όταν δεν ήθελα να πάω σπίτι και η ακατανίκητη επιθυμία να ζήσω και να μάθω φαγούραζε και έκαιγε σαν καυτό σίδερο, προέκυψε η ιδέα να διαλέξω ένα δελεαστικό αδέσποτο στοιχείο στο τείχος προστασίας που ονομάζεται «Πολιτική IP DOS".
Μετά από προκαταρκτικά χάδια και εξοικείωση με το εγχειρίδιο, το έβαλα σε λειτουργία Pass-and-Log, για να δούμε την εξάτμιση γενικότερα και την αμφίβολη χρησιμότητα αυτής της ρύθμισης.
Μετά από μερικές μέρες (για να συγκεντρωθούν τα στατιστικά στοιχεία, φυσικά, και όχι επειδή ξέχασα), κοίταξα τα κούτσουρα και, χορεύοντας επιτόπου, χτυπούσα τα χέρια μου - υπήρχαν αρκετά αρχεία, μην παίζετε. Φαίνεται ότι δεν θα μπορούσε να είναι απλούστερο - ενεργοποιήστε την πολιτική για να αποκλείσετε όλες τις πλημμύρες, τη σάρωση, την εγκατάσταση μισάνοιχτος συνεδρίες με απαγόρευση για μια ώρα και κοιμηθείτε ήσυχοι με επίγνωση του γεγονότος ότι τα σύνορα είναι κλειδωμένα. Αλλά το 34ο έτος της ζωής ξεπέρασε τον νεανικό μαξιμαλισμό και κάπου στο πίσω μέρος του εγκεφάλου ακούστηκε μια λεπτή φωνή: «Ας σηκώσουμε τα βλέφαρά μας και ας δούμε ποιανού τις διευθύνσεις το αγαπημένο μας τείχος προστασίας αναγνώρισε ως κακόβουλους πλημμύρες; Λοιπόν, κατά σειρά ανοησίας».
Αρχίζουμε να αναλύουμε τα δεδομένα που λαμβάνονται από τη λίστα των ανωμαλιών. Εκτελώ διευθύνσεις μέσω ενός απλού σεναρίου Powershell και τα μάτια σκοντάφτουν σε γνώριμα γράμματα google.
Τρίβω τα μάτια μου και αναβοσβήνω για περίπου πέντε λεπτά για να βεβαιωθώ ότι δεν φαντάζομαι πράγματα - πράγματι, στη λίστα εκείνων που το τείχος προστασίας θεωρούσε κακόβουλους πλημμύρες, ο τύπος επίθεσης είναι - udp πλημμύρα, διευθύνσεις που ανήκουν στην καλή εταιρεία.
Ξύνω το κεφάλι μου, ρυθμίζοντας ταυτόχρονα τη λήψη πακέτων στην εξωτερική διεπαφή για μεταγενέστερη ανάλυση. Φωτεινές σκέψεις περνούν από το κεφάλι μου: «Πώς είναι ότι κάτι έχει μολυνθεί στο Google Scope; Και αυτό ανακάλυψα; Ναι, αυτό είναι βραβεία, τιμητικές διακρίσεις και κόκκινο χαλί, και το δικό του καζίνο με blackjack και, καλά, καταλαβαίνεις...»
Ανάλυση του ληφθέντος αρχείου Wireshark-om.
Ναι, όντως από τη διεύθυνση από το πεδίο εφαρμογής Google Γίνεται λήψη των πακέτων UDP από τη θύρα 443 σε μια τυχαία θύρα της συσκευής μου.
Αλλά, περιμένετε ένα λεπτό... Εδώ το πρωτόκολλο αλλάζει από UDP επί GQUIC.
Semyon Semenych...
Θυμάμαι αμέσως την αναφορά από υψηλό φορτίο Αλεξάνδρα Τομπόλια «UDP против TCP ή το μέλλον της στοίβας δικτύου"().
Από τη μια πλευρά, μια μικρή απογοήτευση επικρατεί - χωρίς δάφνες, καμία τιμή για εσάς, κύριε. Από την άλλη, το πρόβλημα είναι ξεκάθαρο, μένει να καταλάβουμε πού και πόσο να σκάψουμε.
Μερικά λεπτά επικοινωνίας με την Good Corporation - και όλα μπαίνουν στη θέση τους. Σε μια προσπάθεια να βελτιώσει την ταχύτητα παράδοσης περιεχομένου, η εταιρεία Google ανακοίνωσε το πρωτόκολλο το 2012 QUIC, το οποίο σας επιτρέπει να αφαιρέσετε τις περισσότερες από τις ελλείψεις του TCP (ναι, ναι, ναι, σε αυτά τα άρθρα - и Μιλούν για μια εντελώς επαναστατική προσέγγιση, αλλά, ας είμαστε ειλικρινείς, θέλω φωτογραφίες με γάτες να φορτώνουν πιο γρήγορα, και όχι όλες αυτές οι επαναστάσεις συνείδησης και προόδου). Όπως έδειξε περαιτέρω έρευνα, πολλοί οργανισμοί στρέφονται τώρα σε αυτόν τον τύπο επιλογής παράδοσης περιεχομένου.
Το πρόβλημα στη δική μου περίπτωση και, νομίζω, όχι μόνο στην περίπτωσή μου, ήταν ότι τελικά υπάρχουν πάρα πολλά πακέτα και το τείχος προστασίας τα αντιλαμβάνεται ως πλημμύρα.
Υπήρχαν λίγες πιθανές λύσεις:
1. Προσθήκη στη λίστα εξαιρέσεων για Πολιτική DoS Εύρος διευθύνσεων στο τείχος προστασίας Google. Και μόνο στη σκέψη του εύρους των πιθανών διευθύνσεων, το μάτι του άρχισε να συσπάται νευρικά - η ιδέα παραμερίστηκε ως τρελή.
2. Αυξήστε το όριο απόκρισης για udp αντιπλημμυρική πολιτική - επίσης όχι comme il faut, αλλά τι γίνεται αν κάποιος πραγματικά κακόβουλος εισέλθει κρυφά.
3. Απαγόρευση κλήσεων από το εσωτερικό δίκτυο μέσω UDP επί 443 λιμάνι έξω.
Αφού διαβάσετε περισσότερα σχετικά με την εφαρμογή και την ενσωμάτωση QUIC в Google Chrome Η τελευταία επιλογή έγινε αποδεκτή ως ένδειξη δράσης. Το γεγονός είναι ότι, αγαπητός από όλους παντού και ανελέητα (δεν καταλαβαίνω γιατί, είναι καλύτερα να έχεις μια αλαζονική κοκκινομάλλα Firefox-Το ρύγχος ovskaya θα λάβει για τα gigabyte μνήμης RAM που καταναλώθηκαν), Google Chrome αρχικά προσπαθεί να δημιουργήσει μια σύνδεση χρησιμοποιώντας τα δύσκολα κερδισμένα του QUIC, αλλά αν δεν γίνει ένα θαύμα, τότε επιστρέφει σε δοκιμασμένες μεθόδους όπως TLS, αν και ντρέπεται εξαιρετικά γι' αυτό.
Δημιουργήστε μια καταχώρηση για την υπηρεσία στο τείχος προστασίας QUIC:
Θέτουμε έναν νέο κανόνα και τον τοποθετούμε κάπου ψηλότερα στην αλυσίδα.
Μετά την ενεργοποίηση του κανόνα στη λίστα των ανωμαλιών, ηρεμία και ησυχία, με εξαίρεση τους πραγματικά κακόβουλους παραβάτες.
Σας ευχαριστώ όλους για την προσοχή σας.
Πόροι που χρησιμοποιούνται:
1.
2.
3.
4.
Πηγή: www.habr.com