Գարնան մի գեղեցիկ երեկո, երբ ես չէի ուզում տուն գնալ, և ապրելու և սովորելու անզուսպ ցանկությունը տաք երկաթի պես քորում ու վառվում էր, միտք առաջացավ ընտրել մի գայթակղիչ մոլորված հատկանիշ հրապատի վրա, որը կոչվում էր «IP DOS քաղաքականություն»:
Նախնական գուրգուրանքներից և ձեռնարկին ծանոթանալուց հետո ես այն դրեցի ռեժիմի Pass-and-log, ընդհանուր առմամբ արտանետմանը և այս պարամետրի կասկածելի օգտակարությանը նայելու համար:
Մի երկու օր հետո (որպեսզի վիճակագրությունը, իհարկե, կուտակվի, և ոչ այն պատճառով, որ ես մոռացել եմ), նայեցի գերաններին և տեղում պարելով՝ ծափ տվեցի ձեռքերս. Թվում է, թե դա չի կարող ավելի պարզ լինել. միացրեք բոլոր հեղեղումները, սկանավորումը, տեղադրումը արգելափակելու քաղաքականությունը կիսաբաց նիստեր մեկ ժամ արգելքով և հանգիստ քնել՝ գիտակցելով սահմանը փակ լինելու փաստը։ Բայց կյանքի 34-րդ տարին հաղթահարեց երիտասարդական մաքսիմալիզմը և ինչ-որ տեղ ուղեղի հետևում հնչեց մի բարակ ձայն. Դե, անհեթեթության կարգով»։
Մենք սկսում ենք վերլուծել ստացված տվյալները անոմալիաների ցանկից։ Ես վարում եմ հասցեները պարզ սկրիպտի միջոցով Powershell և աչքերը սայթաքում են ծանոթ տառերի վրա Google.
Ես շփում եմ աչքերս և թարթում եմ մոտ հինգ րոպե, որպեսզի համոզվեմ, որ ես ինչ-որ բաներ չեմ պատկերացնում, իսկապես, նրանց ցուցակում, ում firewall-ը համարում էր վնասակար ջրհեղեղներ, հարձակման տեսակն է. udp ջրհեղեղ, հասցեներ, որոնք պատկանում են լավ կորպորացիային։
Ես քորում եմ գլուխս՝ միաժամանակ կարգավորելով փաթեթների գրավումը արտաքին ինտերֆեյսի վրա՝ հետագա վերլուծության համար: Գլխումս վառ մտքեր են անցնում. «Ինչպե՞ս է պատահում, որ ինչ-որ բան վարակված է Google Scope-ում: Եվ սա այն է, ինչ ես հայտնաբերեցի: Այո, սա, սա մրցանակներ են, պատվոգրեր և կարմիր գորգ, և իր սեփական խաղատունը բլեքջեքով և, դե, հասկանում եք...»:
Ստացված ֆայլի վերլուծություն Wiresharkդ
Այո, իսկապես հասցեից՝ շրջանակից Google UDP փաթեթներն ուղարկվում են 443 նավահանգստից իմ սարքի պատահական պորտ:
Բայց, մի րոպե... Այստեղից արձանագրությունը փոխվում է UDP մասին GQUIC.
Սեմյոն Սեմենիչ...
Ես անմիջապես հիշում եմ զեկույցը բարձր բեռ Ալեքսանդրա Տոբոլյա «UDP против TCP կամ ցանցի կույտի ապագան» (
Մի կողմից, թեթև հիասթափություն է առաջանում՝ ոչ դափնիներ, ոչ մի պատիվ քեզ, վարպետ: Մյուս կողմից խնդիրը պարզ է, մնում է հասկանալ, թե որտեղ և ինչքան փորել։
Մի քանի րոպե շփվել Good Corporation-ի հետ, և ամեն ինչ իր տեղն է ընկնում: Փորձելով բարելավել բովանդակության առաքման արագությունը, ընկերությունը Google արձանագրությունը հայտարարել է դեռ 2012թ QUIC, որը թույլ է տալիս հեռացնել TCP-ի թերությունների մեծ մասը (այո, այո, այո, այս հոդվածներում -
Իմ դեպքում և, կարծում եմ, ոչ միայն իմ դեպքում խնդիրն այն էր, որ ի վերջո փաթեթները չափազանց շատ են, և firewall-ը դրանք ընկալում է որպես ջրհեղեղ։
Մի քանի հնարավոր լուծումներ կային.
1. Ավելացնել բացառման ցուցակում DoS քաղաքականություն Հասցեների շրջանակը firewall-ում Google. Հենց հնարավոր հասցեների տիրույթի մասին մտածելուց հետո նրա աչքը սկսեց նյարդայնանալ. միտքը մի կողմ դրվեց որպես խելագար:
2. Բարձրացնել պատասխանի շեմը udp ջրհեղեղների քաղաքականություն - նաև ոչ թե comme il faut, այլ ինչ կլինի, եթե իսկապես չարամիտ ինչ-որ մեկը գաղտագողի ներս մտնի:
3. Արգելեք զանգերը ներքին ցանցից միջոցով UDP մասին 443 նավահանգիստ դուրս.
Իրականացման և ինտեգրման մասին ավելին կարդալուց հետո QUIC в Google Chrome Վերջին տարբերակն ընդունվեց որպես գործողության ցուցում։ Փաստն այն է, որ սիրված բոլորի կողմից ամենուր և անխնա (չեմ հասկանում ինչու, ավելի լավ է ունենալ ամբարտավան կարմրահեր firefox-ovskaya դունչը կստանա սպառված գիգաբայթ RAM-ի համար), Google Chrome սկզբում փորձում է կապ հաստատել՝ օգտագործելով իր դժվարությամբ ձեռք բերվածը QUIC, բայց եթե հրաշք տեղի չի ունենում, ապա այն վերադառնում է ապացուցված մեթոդներին, ինչպիսիք են TLS, թեեւ նա չափազանց ամաչում է դրա համար։
Ծառայության համար մուտքագրեք firewall-ում QUIC:
Մենք սահմանում ենք նոր կանոն և տեղադրում այն շղթայի մեջ ինչ-որ տեղ ավելի բարձր:
Անոմալիաների ցանկում կանոնը միացնելուց հետո խաղաղություն և հանգիստ, բացառությամբ իսկապես չարամիտ խախտողների:
Շնորհակալություն բոլորիդ ուշադրության համար։
Օգտագործված ռեսուրսներ.
1.
2.
3.
4.
Source: www.habr.com