Suatu malam musim semi yang cerah, ketika saya tidak ingin pulang, dan keinginan yang tak tertahankan untuk hidup dan belajar terasa gatal dan terbakar seperti setrika panas, muncul ide untuk memilih fitur menyimpang yang menggoda di firewall yang disebut “kebijakan IP DOS".
Setelah belaian awal dan pengenalan dengan manual, saya mengaturnya dalam mode Lulus-dan-Log, untuk melihat knalpot secara umum dan kegunaan pengaturan ini yang meragukan.
Setelah beberapa hari (agar statistiknya terakumulasi, tentu saja, dan bukan karena saya lupa), saya melihat log dan, menari di tempat, bertepuk tangan - ada cukup catatan, jangan main-main. Tampaknya ini sangat sederhana - aktifkan kebijakan untuk memblokir semua banjir, pemindaian, pemasangan setengah terbuka sesi dengan larangan selama satu jam dan tidur nyenyak dengan kesadaran akan fakta bahwa perbatasan terkunci. Namun usia 34 tahun mengatasi maksimalisme masa muda dan di suatu tempat di belakang otak terdengar suara tipis: “Mari kita angkat kelopak mata dan lihat alamat siapa yang dikenali oleh firewall kesayangan kita sebagai pembanjir jahat? Yah, itu omong kosong."
Kami mulai menganalisis data yang diterima dari daftar anomali. Saya menjalankan alamat melalui skrip sederhana Powershell dan mata menemukan huruf-huruf yang familiar google.
Saya menggosok mata dan berkedip selama sekitar lima menit untuk memastikan bahwa saya tidak sedang membayangkan sesuatu - memang, dalam daftar orang-orang yang dianggap oleh firewall sebagai pembanjir berbahaya, jenis serangannya adalah - udp banjir, alamat milik perusahaan yang baik.
Saya menggaruk-garuk kepala, sekaligus mengatur pengambilan paket pada antarmuka eksternal untuk analisis selanjutnya. Pikiran cemerlang terlintas di kepala saya: “Bagaimana bisa ada sesuatu yang terinfeksi di Google Scope? Dan inilah yang saya temukan? Ya, ini, ini adalah penghargaan, kehormatan dan karpet merah, dan kasinonya sendiri dengan blackjack dan, yah, Anda mengerti… ”
Mengurai file yang diterima Wireshark-ohm.
Iya memang dari alamat dari scope Google Paket UDP sedang diunduh dari port 443 ke port acak di perangkat saya.
Tapi, tunggu dulu... Di sini protokolnya berubah UDP pada GQUIC.
Semyon Semenich...
Saya langsung teringat laporan dari Beban tinggi Alexandra Tobolya «UDP против TCP atau masa depan tumpukan jaringan"().
Di satu sisi, sedikit kekecewaan muncul - tidak ada kemenangan, tidak ada penghargaan untuk Anda, tuan. Di sisi lain, masalahnya sudah jelas, masih harus dipahami di mana dan berapa banyak yang harus digali.
Beberapa menit komunikasi dengan Good Corporation - dan semuanya beres. Dalam upaya untuk meningkatkan kecepatan pengiriman konten, perusahaan Google mengumumkan protokol tersebut pada tahun 2012 QUIC, yang memungkinkan Anda menghilangkan sebagian besar kekurangan TCP (ya, ya, ya, dalam artikel ini - и Mereka berbicara tentang pendekatan yang sepenuhnya revolusioner, tetapi jujur saja, saya ingin foto dengan kucing dimuat lebih cepat, dan tidak semua revolusi kesadaran dan kemajuan ini). Penelitian lebih lanjut menunjukkan bahwa banyak organisasi kini beralih ke jenis opsi pengiriman konten ini.
Masalah dalam kasus saya dan, menurut saya, tidak hanya dalam kasus saya, adalah pada akhirnya terdapat terlalu banyak paket dan firewall menganggapnya sebagai banjir.
Ada beberapa solusi yang mungkin:
1. Tambahkan ke daftar pengecualian untuk Kebijakan DoS Cakupan alamat pada firewall Google. Saat memikirkan kisaran alamat yang mungkin, matanya mulai bergerak-gerak gugup – gagasan itu dianggap gila.
2. Tingkatkan ambang respons untuk kebijakan banjir udp - juga bukan comme il faut, tapi bagaimana jika seseorang yang benar-benar jahat menyelinap masuk.
3. Melarang panggilan dari jaringan internal via UDP pada 443 port keluar.
Setelah membaca lebih lanjut tentang implementasi dan integrasi QUIC в Google Chrome Opsi terakhir diterima sebagai indikasi tindakan. Faktanya adalah, dicintai oleh semua orang di mana pun dan tanpa ampun (saya tidak mengerti mengapa, lebih baik memiliki si rambut merah yang sombong Firefox-ovsk moncong akan menerima gigabyte RAM yang dikonsumsi), Google Chrome awalnya mencoba membuat koneksi menggunakan hasil jerih payahnya QUIC, tetapi jika keajaiban tidak terjadi, maka kembali ke metode yang sudah terbukti seperti TLS, meskipun dia sangat malu karenanya.
Buat entri untuk layanan di firewall QUIC:
Kami menetapkan aturan baru dan menempatkannya di tempat yang lebih tinggi dalam rantai.
Setelah memasukkan aturan dalam daftar anomali, kedamaian dan ketenangan, dengan pengecualian pelanggar yang benar-benar jahat.
Terima kasih atas perhatian Anda semua.
Sumber daya yang digunakan:
1.
2.
3.
4.
Sumber: www.habr.com