Unha boa noite de primavera, cando non quería volver a casa, e o desexo irrefreable de vivir e aprender me picaba e ardía coma un ferro quente, xurdiu a idea de escoller unha característica tentadora do cortalumes chamada "Política IP DOS«.
Despois de caricias previas e familiarización co manual, configureino en modo Pase e rexistro, para mirar o escape en xeral e a dubidosa utilidade desta configuración.
Despois dun par de días (para que as estatísticas se acumulen, por suposto, e non porque o esquecera), mirei os rexistros e, bailando no acto, batei as mans: había discos suficientes, non toques. Parece que non pode ser máis sinxelo: activa a política para bloquear todas as inundacións, escaneos e instalacións. medio aberto sesións con prohibición dunha hora e durmir tranquilos coa conciencia de que a fronteira está pechada. Pero o ano 34 de vida superou o maximalismo xuvenil e nalgún lugar no fondo do cerebro soou unha voz delgada: "Levantemos as pálpebras e vexamos de quen enderezos o noso querido cortalumes recoñeceu como inundacións maliciosas? Ben, por orde de tonterías".
Comezamos a analizar os datos recibidos da lista de anomalías. Eu executo enderezos a través dun script sinxelo PowerShell e os ollos tropezan con letras coñecidas Google.
Froto os ollos e pestanexo uns cinco minutos para asegurarme de que non me estou imaxinando cousas; de feito, na lista dos que o firewall consideraba inundacións maliciosas, o tipo de ataque é... inundación udp, enderezos pertencentes á boa corporación.
Estoume rascando a cabeza, configurando simultaneamente a captura de paquetes na interface externa para a súa posterior análise. Os pensamentos brillantes pasan pola miña cabeza: "Como é que algo está infectado en Google Scope? E isto é o que descubrín? Si, isto, isto son premios, honras e unha alfombra vermella, e o seu propio casino con blackjack e, ben, entendes...”
Analizando o ficheiro recibido Wiresharkth.
Si, de feito desde o enderezo do ámbito Google Envíanse paquetes UDP desde o porto 443 a un porto aleatorio do meu dispositivo.
Pero, agarda un minuto... Aquí o protocolo cambia de UDP en GQUIC.
Semyon Semenych...
Lembro inmediatamente o informe de alta carga Alexandra Tobolya «UDP против TCP ou o futuro da pila de rede"().
Por unha banda, aparece unha lixeira decepción: sen loureiros, sen honras para ti, mestre. Por outra banda, o problema está claro, queda por entender onde e canto cavar.
Un par de minutos de comunicación coa Corporación Boa - e todo cae no seu lugar. Nun intento de mellorar a velocidade de entrega de contidos, a empresa Google anunciou o protocolo en 2012 QUIC, que permite eliminar a maioría das deficiencias de TCP (si, si, si, nestes artigos - и Falan dun enfoque completamente revolucionario, pero, sexamos sinceros, quero que as fotos con gatos carguen máis rápido, e non todas estas revolucións da conciencia e do progreso). Como demostraron máis investigacións, moitas organizacións están cambiando agora a este tipo de opción de entrega de contido.
O problema no meu caso e, creo, non só no meu caso, foi que ao final hai demasiados paquetes e o cortalumes percíbeos como unha inundación.
Había poucas solucións posibles:
1. Engadir á lista de exclusións para Política DoS Alcance dos enderezos no firewall Google. Con só pensar na gama de enderezos posibles, o seu ollo comezou a retorcerse nerviosamente - a idea foi deixada de lado por tola.
2. Aumenta o limiar de resposta para política de inundacións udp - tampouco comme il faut, pero que pasa se alguén realmente malicioso entra furtivamente.
3. Prohibir chamadas desde a rede interna vía UDP en 443 porto fóra.
Despois de ler máis sobre implementación e integración QUIC в Google Chrome A última opción foi aceptada como indicación de acción. O caso é que, querido por todos en todas partes e sen piedade (non entendo por que, é mellor ter unha pelirroja arrogante Firefox-ovskaya muzzle recibirá polos gigabytes de RAM consumidos), Google Chrome inicialmente tenta establecer unha conexión usando o seu duro gañado QUIC, pero se non ocorre un milagre, entón volve aos métodos comprobados como TLS, aínda que está moi avergoñado diso.
Crea unha entrada para o servizo no firewall QUIC:
Establecemos unha nova regra e situámola nalgún lugar máis alto da cadea.
Despois de activar a regra na lista de anomalías, paz e tranquilidade, coa excepción dos violadores verdadeiramente maliciosos.
Grazas a todos pola vosa atención.
Recursos utilizados:
1.
2.
3.
4.
Fonte: www.habr.com