Iun belan printempan vesperon, kiam mi ne volis iri hejmen, kaj la neretenebla deziro vivi kaj lerni jukis kaj brulis kiel varma fero, ekestis la ideo elekti tentan devagan trajton sur la fajroŝirmilo nomata "IP DOS-politiko".
Post antaŭaj karesoj kaj alkutimiĝo al la manlibro, mi starigis ĝin en reĝimo Pas-kaj-Logi, por rigardi la ellasilon ĝenerale kaj la dubindan utilecon de ĉi tiu agordo.
Post kelkaj tagoj (por ke la statistiko amasiĝu, kompreneble, kaj ne ĉar mi forgesis), mi rigardis la ŝtipojn kaj, dancante surloke, aplaŭdis miajn manojn - estis sufiĉe da diskoj, ne ludu. Ŝajnus, ke ĝi ne povus esti pli simpla - ŝaltu la politikon por bloki ĉiujn inundojn, skanadon, instaladon. duone malfermita kunsidoj kun malpermeso dum horo kaj dormi trankvile kun la konscio pri tio, ke la limo estas ŝlosita. Sed la 34-a vivojaro venkis junulan maksimumismon kaj ie en la malantaŭo de la cerbo sonis maldika voĉo: “Ni levu niajn palpebrojn kaj vidu, kies adresojn nia amata fajroŝirmilo rekonis kiel malicajn inundojn? Nu, en ordo de sensencaĵo."
Ni komencas analizi la ricevitajn datumojn el la listo de anomalioj. Mi kuras adresojn per simpla skripto PowerShell kaj la okuloj stumblas sur konatajn literojn google.
Mi frotas miajn okulojn kaj palpebrumas dum ĉirkaŭ kvin minutoj por certigi, ke mi ne imagas aferojn - ja, en la listo de tiuj, kiujn la fajroŝirmilo konsideris malicaj inundoj, la speco de atako estas - udp inundo, adresoj apartenantaj al la bona korporacio.
Mi skrapas mian kapon, samtempe starigante pakaĵkapton sur la ekstera interfaco por posta analizo. Brilaj pensoj trafluas mian kapon: "Kiel io estas infektita en Google Scope? Kaj jen kion mi malkovris? Jes, ĉi tio, ĉi tio estas premioj, honoroj kaj ruĝa tapiŝo, kaj ĝia propra kazino kun blackjack kaj, nu, vi komprenas...”
Analizante la ricevitan dosieron Wireshark-ohm.
Jes, ja de la adreso el la amplekso google UDP-pakoj estas elŝutitaj de haveno 443 al hazarda haveno de mia aparato.
Sed, atendu momenton... Ĉi tie la protokolo ŝanĝiĝas de UDP sur GQUIC.
Semyon Semenych...
Mi tuj memoras la raporton de Alta Ŝarĝo Aleksandra Tobolya «UDP kontraŭ TCP aŭ la estonteco de la reto-stako"(
Unuflanke ekestas eta seniluziiĝo — neniu laŭroj, neniu honoro por vi, majstro. Aliflanke, la problemo estas klara, restas kompreni kie kaj kiom fosi.
Kelkaj minutoj da komunikado kun la Bona Korporacio - kaj ĉio eniras en lokon. En provo plibonigi la rapidecon de livero de enhavo, la kompanio google anoncis la protokolon en 2012 QUIC, kiu ebligas al vi forigi la plej multajn el la mankoj de TCP (jes, jes, jes, en ĉi tiuj artikoloj -
La problemo en mia kazo kaj, mi pensas, ne nur en mia kazo, estis ke finfine estas tro da pakoj kaj la fajroŝirmilo perceptas ilin kiel inundo.
Ekzistis malmultaj eblaj solvoj:
1. Aldonu al ekskluda listo por DoS-politiko Amplekso de adresoj sur la fajroŝirmilo google. Nur pensinte pri la gamo da eblaj adresoj, lia okulo ekmoviĝis nervoze — la ideo estis flankenmetita kiel freneza.
2. Pliigu la respondsojlon por udp inundopolitiko - ankaŭ ne comme il faut, sed kio se enirus iu vere malica.
3. Malpermesu vokojn de la interna reto tra UDP sur 443 haveno eksteren.
Post legi pli pri efektivigo kaj integriĝo QUIC в Google Chrome La lasta opcio estis akceptita kiel indiko por agado. La fakto estas, ke, amata de ĉiuj ĉie kaj senkompate (mi ne komprenas kial, estas pli bone havi arogantan ruĝharulon firefox-ovskaya muzelo ricevos por la konsumitaj gigabajtoj da RAM), Google Chrome komence provas establi ligon uzante sian malfacile gajnitan QUIC, sed se miraklo ne okazas, tiam ĝi revenas al pruvitaj metodoj kiel TLS, kvankam li ege hontas pri ĝi.
Kreu eniron por la servo sur la fajroŝirmilo QUIC:
Ni starigas novan regulon kaj metas ĝin ien pli alte en la ĉeno.
Post ŝalti la regulon en la listo de anomalioj, paco kaj trankvilo, kun la escepto de vere malicaj malobservantoj.
Dankon al vi ĉiuj pro via atento.
Uzitaj rimedoj:
1.
2.
3.
4.
fonto: www.habr.com