Una bella sera di primavera, quando non volevo tornare a casa e il desiderio irrefrenabile di vivere e imparare prudeva e bruciava come un ferro caldo, mi venne l'idea di stuzzicare un allettante elemento vagante sul firewall chiamato "Politica IP-DOS«.
Dopo le carezze preliminari e la familiarità con il manuale, l'ho impostato in modalità Pass-and-Log, da guardare allo scarico in generale e alla dubbia utilità di questa impostazione.
Dopo un paio di giorni (in modo che le statistiche si accumulassero, ovviamente, e non perché me ne fossi dimenticato), ho guardato i registri e, ballando sul posto, ho battuto le mani: c'erano abbastanza dischi, non scherzare. Sembrerebbe che non potrebbe essere più semplice: attiva la policy per bloccare tutte le operazioni di inondazione, scansione e installazione mezzo aperto sessioni con divieto di un'ora e dormiamo tranquilli con la consapevolezza del fatto che il confine è chiuso. Ma il 34esimo anno di vita ha superato il massimalismo giovanile e da qualche parte nella parte posteriore del cervello risuonò una voce sottile: “Alziamo le palpebre e vediamo quali indirizzi il nostro amato firewall ha riconosciuto come inondatori dannosi? Beh, in ordine di sciocchezze."
Iniziamo ad analizzare i dati ricevuti dall'elenco delle anomalie. Eseguo gli indirizzi tramite un semplice script PowerShell e gli occhi si imbattono in lettere familiari google.
Mi strofino gli occhi e sbatto le palpebre per circa cinque minuti per assicurarmi di non stare immaginando le cose - infatti, nell'elenco di quelli che il firewall considera inondatori dannosi, il tipo di attacco è - alluvione dell'udp, indirizzi appartenenti alla buona società.
Mi sto grattando la testa, impostando contemporaneamente l'acquisizione di pacchetti sull'interfaccia esterna per la successiva analisi. Pensieri luminosi mi attraversano la testa: “Com'è possibile che qualcosa sia infetto in Google Scope? E questo è quello che ho scoperto? Sì, questo è premi, riconoscimenti e un tappeto rosso, e un casinò tutto suo con il blackjack e, beh, capisci...”
Analisi del file ricevuto Wireshark-ohm.
Sì, davvero dall'indirizzo dell'ambito Google I pacchetti UDP vengono scaricati dalla porta 443 su una porta casuale sul mio dispositivo.
Ma aspetta un attimo... Da qui il protocollo cambia UDP su GQUIC.
Semyon Semenych...
Ricordo immediatamente il rapporto di Carico elevato Alessandra Tobolja «UDP contro TCP o il futuro dello stack di rete"().
С одной стороны, наступает легкое разочарование — ни тебе, барин, лавров, ни почестей. С другой стороны, проблема ясна, осталось понять куда и сколько копать.
Un paio di minuti di comunicazione con la Good Corporation e tutto va a posto. Nel tentativo di migliorare la velocità di consegna dei contenuti, l'azienda Google ha annunciato il protocollo nel 2012 QUIC, che ti consente di rimuovere la maggior parte delle carenze di TCP (sì, sì, sì, in questi articoli - и Parlano di un approccio completamente rivoluzionario, ma, siamo onesti, voglio che le foto con i gatti si carichino più velocemente, e non tutte queste rivoluzioni di coscienza e progresso). Come hanno dimostrato ulteriori ricerche, molte organizzazioni stanno ora passando a questo tipo di opzione di distribuzione dei contenuti.
Il problema nel mio caso e, credo, non solo nel mio caso, è stato che alla fine ci sono troppi pacchetti e il firewall li percepisce come un'alluvione.
Le soluzioni possibili erano poche:
1. Aggiungi all'elenco di esclusione per Politica DoS Ambito degli indirizzi sul firewall Google. Al solo pensiero della gamma di possibili indirizzi, i suoi occhi cominciarono a contrarsi nervosamente: l'idea era stata accantonata perché pazzesca.
2. Aumentare la soglia di risposta per politica di inondazione udp - inoltre non comme il faut, ma cosa succede se qualcuno veramente malintenzionato si intrufola?
3. Vietare le chiamate dalla rete interna tramite UDP su 443 porto fuori.
Dopo aver letto di più sull'implementazione e l'integrazione QUIC в Google Chrome был принят как указание к действию последний вариант. Дело в том, что, любимый всеми повсеместно и беспощадно(не пойму за что, уж лучше наглая рыжая Firefox-ovskaya riceverà la museruola per i gigabyte di RAM consumati), Google Chrome inizialmente cerca di stabilire una connessione usando i suoi sudati guadagni QUIC, ma se il miracolo non accade, si ritorna a metodi comprovati come TLS, anche se se ne vergogna moltissimo.
Creare una voce per il servizio sul firewall QUIC:
Настраиваем новое правило и размещаем его где-нибудь повыше в цепочке.
Dopo aver attivato la regola nell'elenco delle anomalie, pace e tranquillità, ad eccezione dei trasgressori veramente dannosi.
Grazie a tutti per l'attenzione.
Risorse utilizzate:
1.
2.
3.
4.
Fonte: habr.com