🥇UDP הצפה מגוגל או איך לא למנוע מכולם את YouTube

ערב אביב נאה אחד, כשלא רציתי לחזור הביתה, והתשוקה הבלתי ניתנת למעצר לחיות וללמוד גירד ובערה כמו ברזל לוהט, עלה הרעיון לבחור בתכונת תועה מפתה בחומת האש שנקראת "מדיניות IP DOS".
לאחר ליטופים מקדימים והיכרות עם המדריך, הגדרתי אותו במצב מעבר-ו-לוג, כדי להסתכל על האגזוז בכלל ועל התועלת המפוקפקת של ההגדרה הזו.
אחרי כמה ימים (כדי שהסטטיסטיקה תצטבר, כמובן, ולא בגלל ששכחתי), הסתכלתי על בולי העץ ורקדתי במקום, מחאתי כפיים - היו מספיק שיאים, אל תשחקי. נראה שזה לא יכול להיות פשוט יותר - הפעל את המדיניות כדי לחסום כל הצפה, סריקה, התקנה חצי פתוח פגישות עם איסור לשעה ולישון בשלווה עם המודעות לעובדה שהגבול נעול. אבל שנת החיים ה-34 התגברה על המקסימליזם של הנעורים ואיפשהו בחלק האחורי של המוח נשמע קול דק: "בואו נרים עפעפיים ונראה את הכתובות של מי חומת האש האהובה שלנו מזוהה כמציפים זדוניים? ובכן, לפי סדר השטויות".

אנו מתחילים לנתח את הנתונים שהתקבלו מרשימת החריגות. אני מריץ כתובות באמצעות סקריפט פשוט PowerShell והעיניים נתקלות באותיות מוכרות google.

אני משפשף את עיניי וממצמץ במשך כחמש דקות כדי לוודא שאני לא מדמיין דברים - ואכן, ברשימת אלו שחומת האש נחשבה למציפים זדוניים, סוג ההתקפה הוא - מבול udp, כתובות השייכות לתאגיד הטוב.

אני מגרד בראש, בו זמנית מגדיר לכידת מנות בממשק החיצוני לניתוח אחר כך. מחשבות בהירות מבצבצות בראשי: "איך זה שמשהו נגוע ב-Google Scope? וזה מה שגיליתי? כן, זה, זה פרסים, כבוד ושטיח אדום, וקזינו משלו עם בלאק ג'ק, ובכן, אתה מבין..."

ניתוח הקובץ שהתקבל Wireshark-אוֹם.
כן, אכן מהכתובת מהסקופ Google מנות UDP יורדות מיציאה 443 ליציאה אקראית במכשיר שלי.
אבל, רגע... כאן משתנה הפרוטוקול מ UDP על GQUIC.
סמיון סמניך...

אני מיד זוכר את הדיווח מ מאמץ גבוה אלכסנדרה טובוליה «UDP против TCP או העתיד של ערימת הרשת"(קישור).
מצד אחד, אכזבה קלה מתחילה - בלי זרי דפנה, בלי כיבודים בשבילך, אדוני. מצד שני, הבעיה ברורה, נותר להבין איפה וכמה לחפור.
כמה דקות של תקשורת עם תאגיד טוב - והכל מסתדר. בניסיון לשפר את מהירות אספקת התוכן, החברה Google הכריז על הפרוטוקול עוד ב-2012 QUIC, המאפשר לך להסיר את רוב החסרונות של TCP (כן, כן, כן, במאמרים אלה - ררז и שניים הם מדברים על גישה מהפכנית לחלוטין, אבל, בואו נהיה כנים, אני רוצה שתמונות עם חתולים ייטענו מהר יותר, ולא כל המהפכות האלה של תודעה וקידמה). כפי שמחקר נוסף הראה, ארגונים רבים עוברים כעת לסוג זה של אפשרות העברת תוכן.
הבעיה במקרה שלי, ואני חושב, לא רק במקרה שלי, הייתה שבסופו של דבר יש יותר מדי חבילות וחומת האש תופסת אותן כהצפה.
היו מעט פתרונות אפשריים:
1. הוסף לרשימת אי הכללות עבור מדיניות DoS היקף הכתובות בחומת האש Google. רק מהמחשבה על מגוון הכתובות האפשריות, עינו החלה להתעוות בעצבנות - הרעיון הונח בצד כמטורף.
2. הגדל את סף התגובה עבור מדיניות הצפה של udp - גם לא comme il faut, אבל מה אם מישהו באמת זדוני יתגנב פנימה.
3. איסור שיחות מהרשת הפנימית דרך UDP על 443 לניוד.
לאחר שקראתי עוד על יישום ואינטגרציה QUIC в Google Chrome האפשרות האחרונה התקבלה כאינדיקציה לפעולה. העובדה היא שאהוב על כולם בכל מקום וללא רחמים (אני לא מבין למה, עדיף שיהיה ג'ינג'י יהיר Firefox-לוע ovskaya יקבל עבור הג'יגה-בייט הנצרך של זיכרון RAM), Google Chrome מנסה בתחילה ליצור חיבור באמצעות הרווחים שלו QUIC, אבל אם לא יקרה נס, אז זה חוזר לשיטות מוכחות כמו TLS, למרות שהוא מאוד מתבייש בזה.

צור ערך עבור השירות בחומת האש QUIC:

הקמנו כלל חדש וממקמים אותו במקום גבוה יותר בשרשרת.

לאחר הפעלת הכלל ברשימת החריגות, שקט ושלווה, למעט מפרים זדוניים באמת.

תודה לכולכם על תשומת הלב.

משאבים בשימוש:
1.דיווח של אלכסנדר טובול
2.תיאור של פרוטוקול QUIC מ-Infopulse
3.ויקיפדיה
4. KB מ-Fortinet

מקור: www.habr.com

UDP Flood מגוגל או איך לא לשלול מכולם את YouTube

הוספת תגובה ביטול תגובה