Una hermosa tarde de primavera, cuando no quería volver a casa y el deseo incontenible de vivir y aprender me picaba y ardía como un hierro candente, surgió la idea de escoger un elemento tentador y perdido en el cortafuegos llamado “Política IP DOS«.
Después de caricias preliminares y familiarización con el manual, lo configuré en modo Pasar y registrar, para observar el escape en general y la dudosa utilidad de esta configuración.
Después de un par de días (para que las estadísticas se acumularan, por supuesto, y no porque lo haya olvidado), miré los registros y, bailando en el lugar, aplaudí: había suficientes registros, no juegues. Parecería que no podría ser más sencillo: active la política para bloquear todas las inundaciones, escaneos e instalaciones. medio abierto Sesiones con prohibición durante una hora y dormir tranquilos con la conciencia de que la frontera está cerrada. Pero el año 34 de vida superó el maximalismo juvenil y en algún lugar del fondo de mi cerebro sonó una voz débil: “¿Levantemos los párpados y veamos qué direcciones reconoció nuestro querido firewall como inundadores maliciosos? Bueno, en orden de tonterías."
Comenzamos a analizar los datos recibidos de la lista de anomalías. Ejecuto direcciones a través de un script simple Powershell y los ojos tropiezan con letras familiares google.
Me froto los ojos y parpadeo durante unos cinco minutos para asegurarme de que no estoy imaginando cosas; de hecho, en la lista de aquellos a quienes el firewall consideraba inundadores maliciosos, el tipo de ataque es: inundación upp, domicilios pertenecientes a la buena corporación.
Me rasco la cabeza y al mismo tiempo configuré la captura de paquetes en la interfaz externa para su posterior análisis. Pensamientos brillantes pasan por mi cabeza: “¿Cómo es posible que algo esté infectado en Google Scope? ¿Y esto es lo que descubrí? Sí, esto, esto son premios, honores y alfombra roja, y su propio casino con blackjack y, bueno, ya entiendes...”
Analizando el archivo recibido Wiresharkth.
Sí, efectivamente desde la dirección del alcance. Google Los paquetes UDP se descargan desde el puerto 443 a un puerto aleatorio de mi dispositivo.
Pero espera un momento... Aquí el protocolo cambia de UDP en GQUIC.
Semión Seménych...
Recuerdo inmediatamente el informe de carga alta Alexandra Tobolya «UDP против TCP o el futuro de la pila de red"().
Por un lado, surge una ligera decepción: ni laureles ni honores para usted, maestro. Por otro lado, el problema es claro: queda por entender dónde y cuánto excavar.
Un par de minutos de comunicación con Good Corporation y todo encajará. En un intento por mejorar la velocidad de entrega de contenidos, la empresa Google anunció el protocolo en 2012 QUIC, que le permite eliminar la mayoría de las deficiencias de TCP (sí, sí, sí, en estos artículos - и Hablan de un enfoque completamente revolucionario, pero, seamos honestos, quiero que las fotos con gatos se carguen más rápido, y no todas estas revoluciones de conciencia y progreso). Como han demostrado investigaciones posteriores, muchas organizaciones ahora están cambiando a este tipo de opción de entrega de contenido.
El problema en mi caso y creo que no solo en mi caso fue que al final hay demasiados paquetes y el firewall los percibe como una inundación.
Había pocas soluciones posibles:
1. Agregar a la lista de exclusión para Política de DoS Alcance de las direcciones en el firewall Google. Con solo pensar en la variedad de posibles direcciones, su ojo comenzó a temblar nerviosamente; la idea fue descartada por ser una locura.
2. Aumentar el umbral de respuesta para política de inundaciones udp - Tampoco es algo común, pero ¿qué pasa si alguien realmente malicioso se cuela?
3. Prohibir llamadas desde la red interna a través de UDP en 443 puerto de salida.
Después de leer más sobre implementación e integración QUIC в Google Chrome Se aceptó la última opción como indicación de acción. El caso es que, amado por todos en todas partes y sin piedad (no entiendo por qué, es mejor tener una pelirroja arrogante Firefox-ovskaya bozal recibirá por los gigabytes de RAM consumidos), Google Chrome Inicialmente intenta establecer una conexión utilizando su dinero ganado con tanto esfuerzo. QUIC, pero si no ocurre un milagro, entonces se vuelve a métodos probados como TLS, aunque le da mucha vergüenza.
Cree una entrada para el servicio en el firewall QUIC:
Establecemos una nueva regla y la colocamos en algún lugar más alto de la cadena.
Después de activar la regla en la lista de anomalías, reina la paz y la tranquilidad, con la excepción de los infractores verdaderamente maliciosos.
Gracias a todos por su atención.
Recursos utilizados:
1.
2.
3.
4.
Fuente: habr.com