ערב אביב יפה אחד, כשלא רציתי לחזור הביתה, והתשוקה הבלתי ניתנת לעצירה לחיות וללמוד גירד וצרב כמו ברזל לוהט, עלה לי רעיון לנצל פיצ'ר גאדג'ט מפתה בחומת האש שנקרא "מדיניות IP DOS".
אחרי כמה ליטופים מקדימים וקריאת המדריך, הגדרתי אותו במצב מעבר ורישום, כדי לבחון את הפליטה באופן כללי ואת התועלת המפוקפקת של הגדרה זו.
יומיים לאחר מכן (כדי שהסטטיסטיקות יצטברו, כמובן, ולא בגלל ששכחתי) הסתכלתי על היומנים, וריקדתי במקום, מחאתי כפיים - היו שם יותר רשומות ממה שאפשר היה להרים מקל. נראה ששום דבר לא יכול להיות פשוט יותר - להפעיל את המדיניות כדי לחסום את כל ההצפות, הסריקות, ההתקנות. חצי פתוח מפגשים עם איסור של שעה ולישון בשלווה בידיעה שהגבול נעול. אבל שנת החיים ה-34 התגברה על המקסימליזם הצעיר, ואיפשהו בחלק האחורי של המוח נשמע קול דק: "בואו נרים את העפעפיים ונראה את הכתובות של מי זיהתה חומת האש האהובה שלנו כמציפים זדוניים? ובכן, רק בסדר ההזיה."
אנחנו מתחילים לנתח את הנתונים שהתקבלו מרשימת האנומליות. אני מריץ את הכתובות באמצעות סקריפט פשוט. PowerShell והעיניים נתקלות באותיות מוכרות google.
אני משפשף את עיניי וממצמץ במשך כחמש דקות כדי לוודא שלא דמיינתי דברים - באמת יש סוג התקפה ברשימת אלו שחומת האש מחשיבה כמתקפות זדוניות - שיטפון UDP, כתובות השייכות לתאגיד הטוב.
אני מגרד את ראשי, ובמקביל מגדיר לכידת חבילות בממשק החיצוני לניתוח נוסף. מחשבות קשת בענן מהבהבות בראשי: "איך זה שמשהו נדבק בטווח של גוגל? וגילתי את זה? ובכן, אלו פרסים, הצטיינות ושטיח אדום, וקזינו משלך עם בלאק ג'ק, ובכן, הבנתם את הרעיון..."
אני מנתח את הקובץ שהתקבל Wireshark-אום.
כן, אכן מהכתובת מהסקופ Google הם שולחים חבילות UDP מפורט 443 לפורט אקראי במכשיר שלי.
אבל רגע... כאן הפרוטוקול משתנה מ UDP על ג'יקוויק.
סמיון סמיוןיץ'...
הדוח עולה מיד בראש עומס גבוה אלכסנדרה טובוליה «UDP против TCP או עתיד מחסנית הרשת" ().
מצד אחד, אכזבה קלה משתלטת עליכם - אין זרי דפנה, אין כבוד עבורכם, אדוני. מצד שני, הבעיה ברורה, נותר להבין היכן וכמה לחפור.
כמה דקות של תקשורת עם תאגיד הטוב - והכל מסתדר. בניסיון לשפר את מהירות אספקת התוכן, החברה Google הכריזו על הפרוטוקול עוד בשנת 2012 QUIC, מה שמאפשר להסיר את רוב החסרונות של TCP (כן, כן, כן, במאמרים האלה - и (הם מדברים על גישה מהפכנית לחלוטין, אבל, בואו נהיה כנים, אנחנו רוצים שתמונות של חתולים ייטענו מהר יותר, ולא את כל המהפכות התודעתיות והקידמה האלה שלכם). כפי שהראה מחקר נוסף, ארגונים רבים עוברים כעת לאפשרות דומה להעברת תוכן.
הבעיה במקרה שלי, ואני חושב שלא רק במקרה שלי, הייתה שהיו יותר מדי חבילות בסוף וחומת האש תפסה אותן כהצפה.
היו כמה פתרונות אפשריים:
1. הוסף לרשימת ההחרגה עבור מדיניות DoS על טווח הכתובות של חומת האש Googleרק למחשבה על מגוון הכתובות האפשריות, העין החלה לרעוד בעצבנות - הרעיון הונח בצד כשיגעון.
2. הגדל את סף התגובה עבור מדיניות הצפות של UDP - גם לא כביכול, אבל מה אם מישהו באמת זדוני חומק דרכו.
3. חסימת בקשות מהרשת הפנימית UDP על 443 יציאה.
לאחר קריאת מידע נוסף על יישום ואינטגרציה QUIC в Google Chrome האפשרות האחרונה התקבלה כאינדיקציה לפעולה. העובדה היא, אהוב על ידי כולם בכל מקום וללא רחמים (אני לא מבין למה, עדיף שיהיה ג'ינג'י חצוף Firefoxהספל של אוב יקבל תשלום על ג'יגה-בייט של זיכרון RAM שהוא זללה), Google Chrome מנסה בתחילה ליצור קשר באמצעות המאמץ שהשיג בעמל רב QUIC, אבל אם לא יקרה נס, אז הוא חוזר לשיטות מוכחות כמו TLS, למרות שהוא נורא מתבייש בזה.
צור ערך חומת אש עבור השירות QUIC:
קבענו כלל חדש וממקמים אותו במקום גבוה יותר בשרשרת.
לאחר הפעלת הכלל, הכל שקט ברשימת האנומליות, למעט מפרים זדוניים באמת.
תודה לכולכם על תשומת הלב.
משאבים ששימשו:
1.
2.
3.
4.
מקור: www.habr.com
