یک غروب خوب بهاری، وقتی نمیخواستم به خانه بروم، و میل سرکوبناپذیر برای زندگی و یادگیری مثل آهن داغ خارش میکرد و میسوخت، این ایده به ذهنم خطور کرد که یک ویژگی سرگردان وسوسه انگیز روی دیوار آتش را انتخاب کنم به نام «خط مشی IP DOS".
بعد از نوازش های اولیه و آشنایی با دفترچه راهنما، آن را در حالت تنظیم کردم پاس و ثبت نام، به طور کلی به اگزوز و مفید بودن مشکوک این تنظیم نگاه کنید.
بعد از چند روز (البته برای اینکه آمار جمع شود و نه به این دلیل که فراموش کرده بودم) به سیاههها نگاه کردم و با رقصیدن در محل دستم را زدم - رکوردهای کافی وجود داشت ، بازی نکنید. به نظر می رسد که نمی تواند ساده تر باشد - خط مشی را برای مسدود کردن همه سیل، اسکن، نصب روشن کنید نیمه باز جلسات با ممنوعیت یک ساعته و با آگاهی از قفل بودن مرز، آرام بخوابید. اما سی و چهارمین سال زندگی بر ماکسیمالیسم جوانی غلبه کرد و جایی در پشت مغز صدایی نازک به گوش رسید: «بیایید پلکهایمان را بلند کنیم و ببینیم که نشانیهای دیوار آتش محبوبمان چه کسانی را به عنوان سیلابهای مخرب شناخته است؟ خوب، به ترتیب مزخرفات.»
ما شروع به تجزیه و تحلیل داده های دریافتی از لیست ناهنجاری ها می کنیم. من آدرس ها را از طریق یک اسکریپت ساده اجرا می کنم PowerShell با و چشم ها به حروف آشنا برخورد می کنند گوگل.
چشمانم را میمالم و حدود پنج دقیقه پلک میزنم تا مطمئن شوم چیزهایی را تصور نمیکنم - در واقع، در فهرست کسانی که فایروال آنها را سیلهای مخرب در نظر گرفته، نوع حمله است - سیل udp، آدرس های متعلق به شرکت خوب.
من سرم را می خارم و همزمان ضبط بسته را در رابط خارجی برای تجزیه و تحلیل بعدی تنظیم می کنم. افکار روشنی از سرم می گذرد: «چطور چیزی در Google Scope آلوده شده است؟ و این چیزی است که من کشف کردم؟ بله، این جوایز، افتخارات و فرش قرمز است، و کازینوی خودش با بلک جک و خوب، میدانید...»
تجزیه فایل دریافتی Wiresharkهفتم
بله، در واقع از آدرس از محدوده گوگل بسته های UDP از پورت 443 به یک پورت تصادفی در دستگاه من دانلود می شوند.
اما، یک دقیقه صبر کنید... در اینجا پروتکل تغییر می کند UDP بر GQUIC.
سمیون سمنیچ...
من بلافاصله گزارش را به یاد می آورم بار بالا الکساندرا توبولیا «UDP против TCP یا آینده پشته شبکه"().
از یک طرف، ناامیدی جزئی به وجود می آید - هیچ افتخاری، هیچ افتخاری برای شما وجود ندارد، استاد. از سوی دیگر، مشکل روشن است، باید بفهمیم کجا و چقدر باید حفاری کنیم.
چند دقیقه ارتباط با Good Corporation - و همه چیز سر جای خود قرار می گیرد. این شرکت در تلاش برای بهبود سرعت ارائه محتوا گوگل این پروتکل را در سال 2012 اعلام کرد QUIC، که به شما امکان می دهد بیشتر کاستی های TCP را حذف کنید (بله، بله، بله، در این مقالات - и آنها در مورد یک رویکرد کاملاً انقلابی صحبت می کنند، اما، راستش را بخواهید، من می خواهم عکس ها با گربه ها سریعتر بارگذاری شوند، نه همه این انقلاب های آگاهی و پیشرفت). همانطور که تحقیقات بیشتر نشان داده است، بسیاری از سازمان ها در حال حاضر به این نوع گزینه ارائه محتوا روی می آورند.
مشکل در مورد من و فکر میکنم نه تنها در مورد من، این بود که در نهایت بستههای زیادی وجود دارد و فایروال آنها را به عنوان یک سیل درک میکند.
چند راه حل ممکن وجود داشت:
1. اضافه کردن به لیست استثنا برای سیاست DoS محدوده آدرس ها در فایروال گوگل. فقط با فکر کردن به طیف وسیعی از آدرسهای ممکن، چشمهایش عصبی شروع به تکان دادن کرد - این ایده بهعنوان دیوانهکننده کنار گذاشته شد.
2. آستانه پاسخ را برای سیاست سیل udp - همچنین comme il faut نیست، اما اگر کسی واقعاً بدخواه دزدکی وارد شود چه می شود.
3. تماس از طریق شبکه داخلی را ممنوع کنید UDP بر 443 پورت کردن
پس از مطالعه بیشتر در مورد پیاده سازی و ادغام QUIC в گوگل کروم آخرین گزینه به عنوان نشانه ای برای اقدام پذیرفته شد. واقعیت این است که همه جا و بیرحمانه او را دوست دارند (نمیفهمم چرا، بهتر است یک مو قرمز متکبر داشته باشید. فایرفاکسپوزه ovskaya برای گیگابایت حافظه رم مصرفی دریافت می کند. گوگل کروم در ابتدا سعی می کند با استفاده از سختی به دست آمده ارتباط برقرار کند QUIC، اما اگر معجزه ای اتفاق نیفتد، به روش های اثبات شده مانند TLS، هر چند او به شدت از آن شرمنده است.
یک ورودی برای سرویس در فایروال ایجاد کنید QUIC:
ما یک قانون جدید تنظیم می کنیم و آن را در جایی بالاتر از زنجیره قرار می دهیم.
پس از روشن کردن قانون در لیست ناهنجاری ها، صلح و آرامش، به استثنای ناقضان واقعاً بدخواه.
از توجه همه متشکرم
منابع مورد استفاده:
1.
2.
3.
4.
منبع: www.habr.com