ある晴れた春の夕方、家に帰りたくなくて、生きて学びたいという抑えがたい欲求が、熱したアイロンのようにかゆみを感じていたとき、ファイアウォールにある魅力的な機能「」を見つけようというアイデアが浮かびました。IP DOS ポリシー"
事前の愛撫とマニュアルの理解の後、モードに設定します。 パスアンドログ、排気一般とこの設定の疑わしい有用性を見てみましょう。
数日後(もちろん、忘れたからではなく、統計が蓄積されるように)、私はログを見て、その場で踊りながら手をたたきました。記録は十分にありました。ふざけるのはやめてください。 これ以上簡単なことはないようです。すべてのフラッディング、スキャン、インストールをブロックするポリシーをオンにします。 半開き セッションは34時間禁止され、国境が封鎖されているという事実を認識しながら安らかに眠ることができます。 しかし、人生 XNUMX 年目で若々しい限界主義を乗り越えたとき、脳の奥のどこかでか細い声が聞こえました。「まぶたを上げて、私たちの愛するファイアウォールが誰のアドレスを悪意のあるフラッダーとして認識したか見てみましょう。 まあ、ナンセンスの順に。」
異常のリストから受信したデータの分析を開始します。 単純なスクリプトを通じてアドレスを実行します PowerShell そして目には見覚えのある文字が目に入る グーグル.
私は目をこすり、XNUMX 分間ほどまばたきをして、想像が間違っていることを確認します。実際、ファイアウォールが悪意のあるフラッダーとみなした人物のリストには、攻撃の種類が含まれています。 UDPフラッド、善良な企業に属する住所。
私は頭を悩ませながら、同時に後続の分析のために外部インターフェイス上でパケット キャプチャを設定しています。 明るい考えが頭の中をよぎります。「Google Scope で何かが感染しているのはなぜだろう? そして、これが私が発見したものですか? はい、これは賞であり、名誉であり、レッドカーペットであり、ブラックジャックのある独自のカジノです、そして、まあ、あなたは理解しています...」
受信したファイルを解析する Wiresharkの-オーム。
はい、確かにスコープのアドレスからです でログイン UDP パケットがポート 443 からデバイス上のランダムなポートにダウンロードされています。
しかし、ちょっと待ってください... ここでプロトコルが次のように変わります。 UDP на GQUIC.
セミョン・セミニッチ...
からの報告をすぐに思い出します 高負荷 アレクサンドラ・トボリャ «UDP против TCP あるいはネットワーク スタックの将来"().
一方で、わずかな失望が始まります - あなたに栄冠も栄誉もありません、マスター。 一方で、問題は明らかであり、どこをどれだけ掘るかを理解する必要があります。
Good Corporation との数分間のコミュニケーションで、すべてがうまくいきます。 同社はコンテンツ配信の速度を向上させるために、 でログイン 2012年にプロトコルを発表 QUICこれにより、TCP の欠点のほとんどを取り除くことができます (はい、はい、はい、これらの記事では - и 彼らは完全に革命的なアプローチについて話していますが、正直に言うと、私は猫との写真をより速く読み込めるようにしたいのであって、こうした意識と進歩の革命すべてを望んでいるわけではありません)。 さらなる調査によると、多くの組織が現在、このタイプのコンテンツ配信オプションに切り替えています。
私の場合の問題は、私の場合だけではないと思いますが、最終的にパケットが多すぎて、ファイアウォールがそれらをフラッドとして認識してしまうことでした。
考えられる解決策はいくつかありました。
1. 除外リストに追加 DoS ポリシー ファイアウォール上のアドレスの範囲 でログイン。 考えられるアドレスの範囲を考えただけで、彼の目は神経質にけいれんし始めました - その考えはクレイジーとして脇に置かれました。
2. 応答しきい値を増やす udp フラッド ポリシー - これも過失ではありませんが、本当に悪意のある誰かが忍び込んだらどうなるでしょうか。
3. 内部ネットワークからの通話を禁止します。 UDP на 443 ポートアウト。
実装と統合について詳しく読んだ後 QUIC в Google Chrome 最後のオプションは、アクションの指示として受け入れられました。 事実は、どこでも誰からも容赦なく愛されているということです(理由はわかりません、傲慢な赤毛の方が良いです) Firefoxの-ovskayaの銃口は、消費されたRAMのギガバイトを受け取ります)、 Google Chrome 最初は苦労して獲得したものを使用して接続を確立しようとします QUIC, しかし、奇跡が起こらなければ、次のような実証済みの方法に戻ります。 TLS、彼はそれを非常に恥ずかしいと思っていますが。
ファイアウォール上にサービスのエントリを作成します。 QUIC:
新しいルールを設定し、チェーンの上位に配置します。
異常リストのルールをオンにした後は、本当に悪意のある違反者を除いて、平和で静かになります。
ご清聴ありがとうございました。
使用したリソース:
1.
2.
3.
4.
出所: habr.com