Ien moaie maitiidsjûn, doe't ik net nei hûs woe, en de ûnbegryplike winsk om te libjen en te learen jûkte en baarnde as in hyt izer, ûntstie it idee om in ferliedlik ferdwaalde funksje op 'e brânmuorre te kiezen mei de namme "IP DOS belied".
Nei foarriedige careses en fertroud mei de hânlieding, Ik set it yn modus Pass-en-Log, om te sjen nei de útlaat yn it algemien en it dubieuze nut fan dizze ynstelling.
Nei in pear dagen (dat de statistiken fansels sammelje soene, en net om't ik fergeat), seach ik nei de logs en dûnse op it plak, klapte yn 'e hannen - d'r wiene genôch records, spielje net. It soe lykje dat it net ienfâldiger koe - skeakelje it belied oan om alle oerstreamingen, skennen, ynstallearjen te blokkearjen heal iepen sesjes mei in ferbod foar in oere en rêstich sliepe mei it bewustwêzen fan it feit dat de grins op slot is. Mar it 34e libbensjier oerwûn it jeugdmaksimalisme en earne yn 'e rêch fan' e harsens klonk in tinne stim: "Litte wy ús oogleden opheffe en sjen waans adressen ús leafste brânmuorre erkend as kweade oerstreamers? No, yn folchoarder fan ûnsin."
Wy begjinne te analysearjen de ûntfongen gegevens út de list fan anomalies. Ik rinne adressen troch in ienfâldich skript Powershell en de eagen stroffelje op bekende letters google.
Ik wrijf myn eagen en knipperje sawat fiif minuten om der wis fan te wêzen dat ik dingen net ferbyldzje - yndie, op 'e list fan dyjingen dy't de brânmuorre as kweade oerstreamers beskôge, is it type oanfal - op oerstreaming, adressen dy't ta de goede korporaasje hearre.
Ik krassen myn holle, tagelyk set pakket capture op de eksterne ynterface foar folgjende analyze. Heldere tinzen flitsen troch myn holle: "Hoe komt it dat der wat is ynfekteare yn Google Scope? En dit is wat ik ûntduts? Ja, dit, dit is prizen, eare en in reade loper, en in eigen casino mei blackjack en, goed, jo begripe ..."
Untfongen bestân parsearje Wireshark-om.
Ja, yndied fan it adres út de omfang Google UDP-pakketten wurde ynladen fan poarte 443 nei in willekeurige poarte op myn apparaat.
Mar, wachtsje efkes... Hjir feroaret it protokol fan UDP op GQUIC.
Semyon Semenych...
Ik herinner my daliks it ferslach fan hege lading Alexandra Tobolya «UDP tsjin TCP of de takomst fan 'e netwurkstapel"().
Oan 'e iene kant set in lytse teloarstelling yn - gjin laurels, gjin eare foar jo, master. Oan 'e oare kant is it probleem dúdlik, it bliuwt om te begripen wêr't en hoefolle te graven.
In pear minuten fan kommunikaasje mei de Good Corporation - en alles falt op syn plak. Yn in besykjen om de snelheid fan levering fan ynhâld te ferbetterjen, it bedriuw Google kundige it protokol werom yn 2012 QUIC, wêrmei jo de measte tekoarten fan TCP kinne ferwiderje (ja, ja, ja, yn dizze artikels - и Se prate oer in folslein revolúsjonêre oanpak, mar litte wy earlik wêze, ik wol dat foto's mei katten rapper laden wurde, en net al dizze revolúsjes fan bewustwêzen en foarútgong). Lykas fierder ûndersyk hat oantoand, skeakelje in protte organisaasjes no oer nei dit soarte fan opsje foar levering fan ynhâld.
It probleem yn myn gefal en, tink ik, net allinich yn myn gefal, wie dat d'r op it lêst te folle pakketten binne en de brânmuorre sjocht se as in oerstreaming.
D'r wiene in pear mooglike oplossingen:
1. Taheakje oan útsluting list foar DoS Policy Omfang fan adressen op de firewall Google. Allinnich by de gedachte oan it berik fan mooglike adressen, begûn syn each senuweftich te triljen - it idee waard as gek oan 'e kant set.
2. Ferheegje de antwurd drompel foar udp oerstreamingsbelied - ek net comme il faut, mar wat as immen der echt kwea-aardich yn slûpt.
3. Ferbiede petearen út it ynterne netwurk fia UDP op 443 haven út.
Nei it lêzen fan mear oer ymplemintaasje en yntegraasje QUIC в Google Chrome De lêste opsje waard akseptearre as oantsjutting foar aksje. It feit is dat, oeral leaf troch elkenien en sûnder genede (ik begryp net wêrom, it is better om in arrogante reade te hawwen Firefox-ovskaya muzzle sil ûntfange foar de konsumearre gigabytes fan RAM), Google Chrome besiket earst in ferbining te meitsjen mei syn hurde fertsjinne QUIC, Mar as in wûnder net bart, dan komt it werom nei bewezen metoaden lykas TLS, al skammet er him dêr ekstreem foar.
Meitsje in yngong foar de tsjinst op 'e firewall QUIC:
Wy sette in nije regel op en pleatse it earne heger yn 'e keatling.
Nei it ynskeakeljen fan de regel yn 'e list fan anomalies, frede en rêst, mei útsûndering fan wirklik kweade oertreders.
Tank elkenien foar jo oandacht.
Gebrûkte boarnen:
1.
2.
3.
4.
Boarne: www.habr.com
