Eräänä kauniina kevätiltana, kun en halunnut mennä kotiin ja hillitön halu elää ja oppia kutitti ja poltti kuin kuuma rauta, heräsi ajatus valita palomuurin houkutteleva eksyksityiskohta nimeltä "IP DOS -käytäntö".
Alustavien hyväilyjen ja ohjeeseen tutustumisen jälkeen laitoin sen tilaan Pass-and-Log, tarkastella pakokaasua yleisesti ja tämän asetuksen kyseenalaista hyödyllisyyttä.
Parin päivän kuluttua (jotta tilastot kerääntyisivät tietysti, eikä siksi, että unohdin), katsoin tukkeja ja paikan päällä tanssien taputin käsiäni - levyjä oli tarpeeksi, älä leiki ympäriinsä. Vaikuttaa siltä, että se ei voisi olla yksinkertaisempaa - ota käytäntö käyttöön estääksesi kaikki tulvat, skannaukset, asennukset puoliksi auki istuntoja tunnin kiellolla ja nukkua rauhassa tietoisena siitä, että raja on lukossa. Mutta 34. elinvuosi voitti nuoruuden maksimalismin ja jossain aivojen takaosassa kuului ohut ääni: "Nostetaanpa silmäluomet ja katsotaan, kenen osoitteet rakas palomuurimme tunnisti haitallisiksi tulvijoiksi? No, hölynpölyjärjestyksessä."
Alamme analysoida vastaanotettuja tietoja poikkeamien luettelosta. Ajan osoitteita yksinkertaisella komentosarjalla PowerShell ja silmät törmäävät tuttuihin kirjaimiin Google.
Hieroin silmiäni ja räpyttelen silmiäni noin viisi minuuttia varmistaakseni, etten kuvittele asioita - palomuurin haitallisiksi tulvijoiksi katsottujen luettelossa hyökkäystyyppi onkin - udp tulva, hyvän yrityksen osoitteet.
Raapin päätäni ja asetan samanaikaisesti pakettien sieppauksen ulkoiseen käyttöliittymään myöhempää analysointia varten. Päässäni välähtävät kirkkaat ajatukset: "Miten Google Scopessa on jokin tartunnan saanut? Ja tämän minä löysin? Kyllä, tämä, tämä on palkintoja, kunnianosoituksia ja punainen matto, ja oma kasino blackjackilla ja no, ymmärräthän..."
Jäsentää vastaanotettua tiedostoa Wireshark- ohm.
Kyllä, todellakin soveltamisalan osoitteesta Google UDP-paketteja ladataan portista 443 laitteeni satunnaiseen porttiin.
Mutta odota hetki... Protokolla muuttuu tästä UDP päälle GQUIC.
Semjon Semenych...
Muistan heti raportin HighLoad Alexandra Tobolya «UDP против TCP tai verkkopinon tulevaisuus"().
Toisaalta pieni pettymys tulee - ei laakereita, ei kunniaa sinulle, herra. Toisaalta ongelma on selvä, on vielä ymmärrettävä, missä ja kuinka paljon kaivaa.
Pari minuuttia yhteydenpitoa Good Corporationin kanssa - ja kaikki loksahtaa paikoilleen. Yritys pyrkii nopeuttamaan sisällön toimittamista Google ilmoitti pöytäkirjan vuonna 2012 QUIC, jonka avulla voit poistaa suurimman osan TCP:n puutteista (kyllä, kyllä, kyllä, näissä artikkeleissa - и He puhuvat täysin vallankumouksellisesta lähestymistavasta, mutta olkaamme rehellisiä, haluan kissojen kuvien latautuvan nopeammin, enkä kaikkia näitä tietoisuuden ja edistyksen vallankumouksia). Kuten lisätutkimukset ovat osoittaneet, monet organisaatiot ovat nyt siirtymässä tämäntyyppiseen sisällönjakeluvaihtoehtoon.
Ongelmana minun tapauksessani ja mielestäni ei vain minun tapauksessani, oli se, että paketteja on lopulta liikaa ja palomuuri näkee ne tulvana.
Mahdollisia ratkaisuja oli vähän:
1. Lisää poissulkemisluetteloon kohteelle DoS-käytäntö Palomuurin osoitteiden laajuus Google. Pelkästään mahdollisten osoitteiden ajatuksesta hänen silmänsä alkoi nykiä hermostuneesti - ajatus jätettiin syrjään hulluna.
2. Kasvata vastauskynnystä UDP:n tulvapolitiikka - ei myöskään comme il faut, mutta entä jos joku todella pahantahtoinen livahtaa sisään.
3. Estä puhelut sisäisestä verkosta kautta UDP päälle 443 portti ulos.
Luettuasi lisää toteutuksesta ja integroinnista QUIC в Google Chrome Viimeinen vaihtoehto hyväksyttiin toimintaohjeeksi. Tosiasia on, että kaikki rakastavat kaikkialla ja armottomasti (en ymmärrä miksi, on parempi olla ylimielinen punapää Firefox-ovskaya kuono saa kulutetuista gigatavuista RAM-muistia), Google Chrome yrittää aluksi muodostaa yhteyden kovalla työllä ansaitulla tavalla QUIC, mutta jos ihmettä ei tapahdu, se palaa todistettuihin menetelmiin, kuten TLS, vaikka hän häpeää sitä erittäin paljon.
Luo palvelulle merkintä palomuuriin QUIC:
Asetimme uuden säännön ja asetamme sen jonnekin ylemmäs ketjussa.
Kun sääntö on otettu käyttöön poikkeamien luettelossa, rauhaa ja hiljaisuutta, lukuun ottamatta todella pahantahtoisia rikkojia.
Kiitos kaikille huomiosta.
Käytetyt resurssit:
1.
2.
3.
4.
Lähde: will.com