Un beau soir de printemps, alors que je ne voulais pas rentrer chez moi et que le désir irrépressible de vivre et d’apprendre me démangeait et me brûlait comme un fer chaud, l’idée m’est venue de m’attaquer à une fonctionnalité parasite tentante sur le pare-feu appelée «Politique IP-DOS«.
Après des caresses préalables et une familiarisation avec le manuel, je l'ai mis en mode Passer et se connecter, à regarder l'échappement en général et l'utilité douteuse de ce réglage.
Après quelques jours (pour que les statistiques s'accumulent, bien sûr, et pas parce que j'ai oublié), j'ai regardé les journaux et, dansant sur place, j'ai applaudi - il y avait assez de disques, ne jouez pas. Il semblerait que cela ne puisse pas être plus simple : activez la politique pour bloquer toutes les inondations, analyses et installations. à moitié ouvert séances avec interdiction d'une heure et dormez paisiblement en sachant que la frontière est verrouillée. Mais la 34e année de vie a surmonté le maximalisme de la jeunesse et quelque part au fond du cerveau, une voix subtile a retenti : « Levons les paupières et voyons quelles adresses notre pare-feu bien-aimé a reconnues comme des inondateurs malveillants ? Eh bien, par ordre d'absurdités.
Nous commençons à analyser les données reçues à partir de la liste des anomalies. Je gère les adresses via un simple script Powershell et les yeux tombent sur des lettres familières google.
Je me frotte les yeux et cligne des yeux pendant environ cinq minutes pour m'assurer de ne pas imaginer des choses - en effet, sur la liste de ceux que le pare-feu considérait comme des inondateurs malveillants, le type d'attaque est - inondation UDP, adresses appartenant à la bonne société.
Je me gratte la tête, en configurant simultanément la capture de paquets sur l'interface externe pour une analyse ultérieure. Des pensées lumineuses me traversent la tête : « Comment se fait-il que quelque chose soit infecté dans Google Scope ? Et c'est ce que j'ai découvert ? Oui, ça, c'est des récompenses, des honneurs et un tapis rouge, et son propre casino avec du blackjack et, eh bien, vous comprenez... »
Analyser le fichier reçu Wiresharkoh.
Oui, en effet à partir de l'adresse du champ d'application Google Les paquets UDP sont téléchargés du port 443 vers un port aléatoire de mon appareil.
Mais attendez une minute... Ici, le protocole change de UDP sur GQUIC.
Semyon Semenych...
Je me souviens immédiatement du rapport de Charge élevée Alexandra Tobolya «UDP против TCP ou l'avenir de la pile réseau"().
D'un côté, une légère déception s'installe - pas de lauriers, pas d'honneurs pour vous, maître. En revanche, le problème est clair, reste à comprendre où et combien creuser.
Quelques minutes de communication avec la Good Corporation - et tout se met en place. Dans le but d'améliorer la vitesse de livraison du contenu, la société Google a annoncé le protocole en 2012 QUIC, qui permet de supprimer la plupart des défauts de TCP (oui, oui, oui, dans ces articles - и Ils parlent d'une approche complètement révolutionnaire, mais, soyons honnêtes, je veux que les photos avec des chats se chargent plus rapidement, et pas toutes ces révolutions de conscience et de progrès). Comme l’ont montré des recherches plus approfondies, de nombreuses organisations se tournent désormais vers ce type d’option de diffusion de contenu.
Le problème dans mon cas et, je pense, pas seulement dans mon cas, était qu'au final il y avait trop de paquets et le pare-feu les percevait comme une inondation.
Il y avait peu de solutions possibles :
1. Ajouter à la liste d'exclusion pour Politique de DoS Portée des adresses sur le pare-feu Google. Rien qu'à la pensée de l'éventail d'adresses possibles, son œil commença à se contracter nerveusement - l'idée fut écartée comme étant insensée.
2. Augmenter le seuil de réponse pour politique d'inondation udp - ce n'est pas non plus comme il faut, mais que se passe-t-il si quelqu'un de vraiment malveillant se faufile.
3. Interdire les appels depuis le réseau interne via UDP sur 443 port de sortie.
Après avoir lu davantage sur la mise en œuvre et l'intégration QUIC в Google Chrome Cette dernière option a été acceptée comme indication d’action. Le fait est que, aimé de tous partout et sans pitié (je ne comprends pas pourquoi, il vaut mieux avoir une rousse arrogante Firefox-le museau ovskaya recevra pour les gigaoctets de RAM consommés), Google Chrome essaie d'abord d'établir une connexion en utilisant son QUIC, mais si un miracle ne se produit pas, alors on revient à des méthodes éprouvées comme TLS, même s'il en a extrêmement honte.
Créer une entrée pour le service sur le pare-feu QUIC:
Nous établissons une nouvelle règle et la plaçons quelque part plus haut dans la chaîne.
Après avoir activé la règle dans la liste des anomalies, paix et tranquillité, à l'exception des contrevenants véritablement malveillants.
Merci à tous pour votre attention.
Ressources utilisées :
1.
2.
3.
4.
Source: habr.com