Ühel ilusal kevadõhtul, kui ma ei tahtnud koju minna ning pidurdamatu soov elada ja õppida sügeles ja põles nagu kuum triikraud, tekkis mõte valida tulemüüril ahvatlev hulkuv element nimega "IP DOS-i poliitika"
Peale eelnevaid paitusi ja juhendiga tutvumist seadsin selle režiimile Pass-and-Logi, et vaadata heitgaasi üldiselt ja selle seadistuse kahtlast kasulikkust.
Paari päeva pärast (et statistika koguneks muidugi ja mitte sellepärast, et ma unustasin) vaatasin palke ja plaksutasin kohapeal tantsides käsi - plaate oli piisavalt, ärge mängige ringi. Näib, et see ei saa olla lihtsam – lülitage sisse poliitika, et blokeerida kõik üleujutused, skannimine, installimine poolavatud tunnikese keeluga seansse ja rahulikult magada teadmisega, et piir on lukus. 34. eluaasta sai aga võitu nooruslikust maksimalismist ja kuskil kuklas kostis peenike hääl: “Tõstkem silmalaud üles ja vaatame, kelle aadressid meie armastatud tulemüür pahatahtlikeks üleujutajateks tunnistas? Noh, jama järjekorras."
Saadud andmeid hakkame analüüsima anomaaliate loendist. Käivitan aadresse läbi lihtsa skripti PowerShell ja pilk komistab tuttavatele tähtedele google.
Hõõrun silmi ja pilgutan umbes viis minutit, veendumaks, et ma ei kujuta asju ette – tõepoolest, nende nimekirjas, keda tulemüür pidas pahatahtlikeks üleujutajateks, on ründe liik – udp üleujutus, heale ettevõttele kuuluvad aadressid.
Ma kratsin pead, seadistades samaaegselt välisliidese pakettide püüdmise hilisemaks analüüsiks. Peast vilksatavad helged mõtted: „Kuidas on nii, et Google Scope'is on midagi nakatunud? Ja see on see, mida ma avastasin? Jah, see, see on auhinnad, autasud ja punane vaip ja oma kasiino blackjackiga ja noh, saate aru..."
Vastuvõetud faili sõelumine Wireshark- ohm.
Jah, tõepoolest ulatuse aadressist Google UDP-pakette laaditakse pordist 443 alla minu seadme juhuslikku porti.
Aga oota natuke... Siin muutub protokoll UDP edasi GQUIC.
Semyon Semenych...
Mulle meenub kohe aruanne HighLoad Alexandra Tobolya «UDP против TCP või võrgupinu tulevik"().
Ühest küljest saabub kerge pettumus – ei loorbereid ega au sulle, peremees. Teisest küljest on probleem selge, jääb üle aru saada, kuhu ja kui palju kaevata.
Paar minutit suhtlust Hea Korporatsiooniga - ja kõik loksub paika. Püüdes parandada sisu edastamise kiirust, on ettevõte Google teatas protokollist 2012. aastal QUIC, mis võimaldab teil eemaldada enamiku TCP puudustest (jah, jah, jah, nendes artiklites - и Nad räägivad täiesti revolutsioonilisest lähenemisest, kuid olgem ausad, ma tahan, et fotod kassidega laadiksid kiiremini, mitte kõik need teadvuse ja progressi pöörded). Nagu edasised uuringud on näidanud, lähevad paljud organisatsioonid nüüd seda tüüpi sisu edastamise võimalusele üle.
Minu puhul ja ma arvan, et mitte ainult minu puhul oli probleem selles, et lõpuks on pakette liiga palju ja tulemüür tajub neid üleujutusena.
Võimalikke lahendusi oli vähe:
1. Lisa välistamisloendisse DoS-poliitika Aadresside ulatus tulemüüril Google. Juba ainuüksi võimalike aadresside hulgale mõeldes hakkas ta silm närviliselt tõmblema – mõte jäi kui pöörane kõrvale.
2. Suurendage vastamise läve UDP üleujutuspoliitika - ka mitte comme il faut, aga mis siis, kui keegi tõesti pahatahtlik sisse hiilib.
3. Keelake kõned sisevõrgust kaudu UDP edasi 443 port välja.
Pärast juurutamise ja integreerimise kohta lisateavet lugemist QUIC в Google Chrome Viimast varianti aktsepteeriti tegevusjuhisena. Fakt on see, et kõik armastavad kõikjal ja halastamatult (ma ei saa aru, miks, parem on olla ülbe punapea Firefox-ovskaya koon saab tarbitud gigabaidi RAM-i eest), Google Chrome proovib algselt ühendust luua oma raskelt teenitud vahenditega QUIC, aga kui imet ei juhtu, naaseb see tõestatud meetodite juurde nagu TLS, kuigi tal on selle pärast äärmiselt häbi.
Looge tulemüüris teenuse kirje QUIC:
Seadsime paika uue reegli ja asetame selle ahelasse kuskile kõrgemale.
Pärast reegli sisselülitamist anomaaliate loendis rahu ja vaikus, välja arvatud tõeliselt pahatahtlikud rikkujad.
Tänan teid kõiki tähelepanu eest.
Kasutatud ressursid:
1.
2.
3.
4.
Allikas: www.habr.com