Jedne lijepe proljetne večeri, kad nisam želio ići kući, a neukrotiva želja za životom i učenjem me žuljala i pekla poput užarenog željeza, javila se ideja da pokupim primamljivu zalutalu značajku na vatrozidu pod nazivom “IP DOS politika”.
Nakon preliminarnih milovanja i upoznavanja s priručnikom, postavio sam ga u način rada Pass-and-Log, da pogledamo ispuh općenito i dvojbenu korisnost ove postavke.
Nakon nekoliko dana (kako bi se statistika akumulirala, naravno, a ne zato što sam zaboravio), pogledao sam dnevnike i, plešući na licu mjesta, pljesnuo rukama - bilo je dovoljno zapisa, ne igrajte se. Čini se da ne može biti jednostavnije - uključite pravilo za blokiranje svih poplava, skeniranja, instaliranja napola otvoren sjednice sa zabranom od sat vremena i mirno spavati sa sviješću da je granica zaključana. Ali 34. godina života nadjačala je mladenački maksimalizam i negdje u pozadini mozga začuo se tanki glasić: „Podignimo kapke i vidimo čije je adrese naš voljeni firewall prepoznao kao zlonamjerne floodere? Pa, redom gluposti."
Počinjemo analizirati primljene podatke s popisa anomalija. Pokrećem adrese kroz jednostavnu skriptu PowerShell a oči se spotiču o poznata slova google.
Trljam oči i trepćem oko pet minuta kako bih se uvjerio da ne umišljam stvari - dapače, na popisu onih koje je firewall smatrao zlonamjernim flooderima, vrsta napada je - udp poplava, adrese koje pripadaju dobroj korporaciji.
Češkam se po glavi, istovremeno postavljajući hvatanje paketa na vanjskom sučelju za naknadnu analizu. Kroz glavu mi prolaze vedre misli: “Kako to da je nešto zaraženo u Google Scopeu? I ovo sam otkrio? Da, ovo, ovo su nagrade, počasti i crveni tepih, i vlastiti casino s blackjackom i, dobro, razumijete...”
Raščlanjivanje primljene datoteke Wireshark-ohm.
Da, doista s adrese iz opsega Google UDP paketi se preuzimaju s porta 443 na nasumični port na mom uređaju.
Ali, čekaj malo... Ovdje se protokol mijenja UDP na GQUIC.
Semjon Semenič...
Odmah se sjetim izvještaja iz Visoko opterećenje Aleksandra Tobolya «UDP против TCP ili budućnost mrežnog skupa"().
S jedne strane, lagano razočaranje kreće - nema lovorika, nema časti za tebe, majstore. S druge strane, problem je jasan, ostaje shvatiti gdje i koliko kopati.
Nekoliko minuta komunikacije s Good Corporation - i sve dolazi na svoje mjesto. U pokušaju poboljšanja brzine isporuke sadržaja, tvrtka Google najavio je protokol još 2012 QUIC, koji vam omogućuje uklanjanje većine nedostataka TCP-a (da, da, da, u ovim člancima - и Govore o potpuno revolucionarnom pristupu, ali, budimo iskreni, želim da se fotografije s mačkama brže učitavaju, a ne sve te revolucije svijesti i napretka). Kako su daljnja istraživanja pokazala, mnoge organizacije sada prelaze na ovu vrstu opcije isporuke sadržaja.
Problem u mom slučaju, a mislim i ne samo u mom slučaju, bio je taj što na kraju ima previše paketa i firewall ih percipira kao poplavu.
Bilo je nekoliko mogućih rješenja:
1. Dodaj na popis isključenja za DoS politika Opseg adresa na vatrozidu Google. Pri samoj pomisli na niz mogućih adresa, oko mu se počelo nervozno trzati - ideja je odbačena kao luda.
2. Povećajte prag odgovora za udp politika poplava - također nije comme il faut, ali što ako se netko stvarno zlonamjerno ušulja.
3. Zabranite pozive s interne mreže putem UDP na 443 port out.
Nakon što pročitate više o implementaciji i integraciji QUIC в Google Chrome Posljednja je opcija prihvaćena kao indikacija za djelovanje. Činjenica je da, voljena od svih posvuda i nemilosrdno (ne razumijem zašto, bolje je imati arogantnu crvenokosu Firefox-ovskaya njuška će dobiti za potrošene gigabajte RAM-a), Google Chrome u početku pokušava uspostaviti vezu koristeći svoj teško stečeni QUIC, ali ako se čudo ne dogodi, onda se vraća provjerenim metodama poput TLS, iako se toga iznimno srami.
Napravite unos za uslugu na vatrozidu QUIC:
Postavljamo novo pravilo i postavljamo ga negdje više u lancu.
Nakon uključivanja pravila na popisu anomalija, mir i tišina, s iznimkom doista zlonamjernih prekršitelja.
Hvala svima na pažnji.
Korišteni resursi:
1.
2.
3.
4.
Izvor: www.habr.com