Eitt gott vorkvöld, þegar ég vildi ekki fara heim, og óbænanlega löngunin til að lifa og læra kláði og logaði eins og heitt járn, kom upp sú hugmynd að tína til freistandi villuþátt á eldveggnum sem heitir „IP DOS stefna".
Eftir bráðabirgðahald og kynningu á handbókinni setti ég hana í ham Pass-and-Log, til að skoða útblásturinn almennt og vafasamt notagildi þessarar stillingar.
Eftir nokkra daga (til að tölfræðin myndi safnast upp, auðvitað, og ekki vegna þess að ég gleymdi), horfði ég á stokkana og dansaði á staðnum, klappaði mér saman - það voru nóg af plötum, ekki leika mér. Það virðist sem það gæti ekki verið einfaldara - kveiktu á stefnunni til að loka fyrir öll flóð, skönnun, uppsetningu hálfopið fundi með banni í klukkutíma og sofa rólegur með vitund um þá staðreynd að landamærin eru læst. En 34. lífsárið sigraði hámarkshyggju unga fólksins og einhvers staðar aftast í heilanum hljómaði þunn rödd: „Lyftum augnlokum okkar og sjáum hvers manns heimilisföng okkar ástkæra eldvegg eru þekkt sem illgjarn flóða? Jæja, í bullandi röð."
Við byrjum að greina móttekin gögn frá listanum yfir frávik. Ég keyri heimilisföng í gegnum einfalt handrit PowerShell og augun rekast á kunnuglega stafi Google.
Ég nudda augun og blikka í um það bil fimm mínútur til að ganga úr skugga um að ég sé ekki að ímynda mér hluti - reyndar, á listanum yfir þá sem eldveggurinn taldi illgjarna flóða, er tegund árásarinnar - udp flóð, heimilisföng sem tilheyra góða hlutafélaginu.
Ég klóra mér í hausnum og set samtímis upp pakkatöku á ytra viðmótinu fyrir síðari greiningu. Bjartar hugsanir flakka í gegnum höfuðið á mér: „Hvernig stendur á því að eitthvað er sýkt í Google Scope? Og þetta er það sem ég uppgötvaði? Já, þetta, þetta eru verðlaun, heiður og rautt teppi, og eigin spilavíti með blackjack og, jæja, þú skilur...“
Að þátta móttekna skrá Wireshark-óhm.
Já, reyndar frá heimilisfanginu frá umfanginu Google Verið er að senda UDP-pakka frá höfn 443 til handahófsgáttar á tækinu mínu.
En, bíddu aðeins... Hér breytist siðareglur frá UDP á GQUIC.
Semyon Semenych...
Ég man strax eftir skýrslunni frá Hátt álag Alexandra Tobolya «UDP против TCP eða framtíð netstafla"().
Annars vegar koma smá vonbrigði - engin lárviður, engin heiður fyrir þig, meistari. Á hinn bóginn er vandamálið ljóst, það á eftir að skilja hvar og hversu mikið á að grafa.
Nokkrar mínútur af samskiptum við Good Corporation - og allt fellur á sinn stað. Í tilraun til að bæta hraða efnisflutnings, fyrirtækið Google tilkynnti bókunina aftur árið 2012 QUIC, sem gerir þér kleift að fjarlægja flesta galla TCP (já, já, já, í þessum greinum - и Þeir tala um algjörlega byltingarkennda nálgun, en við skulum vera heiðarleg, ég vil að myndir með köttum hleðst hraðar, en ekki allar þessar byltingar meðvitundar og framfara). Eins og frekari rannsóknir hafa sýnt eru margar stofnanir nú að skipta yfir í þessa tegund af afhendingu efnis.
Vandamálið í mínu tilviki og, held ég, ekki bara í mínu tilfelli, var að á endanum eru of margir pakkar og eldveggurinn skynjar þá sem flóð.
Það voru fáar mögulegar lausnir:
1. Bæta við útilokunarlista fyrir DoS stefna Umfang heimilisfanga á eldveggnum Google. Við tilhugsunina um fjölda mögulegra heimilisfönga fór auga hans að kippast taugaveiklað - hugmyndin var lögð til hliðar sem vitlaus.
2. Hækka svörunarmörk fyrir udp flóðastefna - heldur ekki comme il faut, en hvað ef einhver virkilega illgjarn laumast inn.
3. Banna símtöl frá innra netinu um UDP á 443 höfn út.
Eftir að hafa lesið meira um innleiðingu og samþættingu QUIC в Google Króm Síðasti kosturinn var samþykktur sem vísbending um aðgerðir. Staðreyndin er sú að, elskaður af öllum alls staðar og miskunnarlaust (ég skil ekki hvers vegna, það er betra að hafa hrokafullan rauðhærðan Firefox-ovskaya trýni mun fá fyrir neytt gígabæta af vinnsluminni), Google Króm reynir upphaflega að koma á tengingu með því að nota erfiðisvinnuna sína QUIC, en ef kraftaverk gerist ekki, þá fer það aftur í sannaðar aðferðir eins og TLS, þó hann skammist sín ákaflega fyrir það.
Búðu til færslu fyrir þjónustuna á eldveggnum QUIC:
Við setjum upp nýja reglu og setjum hana einhvers staðar ofar í keðjunni.
Eftir að hafa kveikt á reglunni á listanum yfir frávik, friður og ró, að undanskildum raunverulegum illgjarnum brotamönnum.
Þakka ykkur öllum fyrir athygli ykkar.
Auðlindir notaðar:
1.
2.
3.
4.
Heimild: www.habr.com