Көктемнің бір тамаша кешінде, мен үйге барғым келмей, өмір сүруге және үйренуге деген басылмайтын құштарлық ыстық темір сияқты қышиды және жанып жатқанда, желіаралық қалқандағы «IP DOS саясаты«.
Алдын ала сипап, нұсқаулықпен танысқаннан кейін мен оны режимге қойдым Өткізу және тіркеу, жалпы сорғышты және осы параметрдің күмәнді пайдалылығын қарау.
Бір-екі күннен кейін (әрине, мен ұмытып кеткендіктен емес, статистика жиналуы үшін) мен журналдарға қарадым және сол жерде билеп, қолымды шапалақтадым - жазбалар жеткілікті болды, ойнамаңыз. Бұл оңайырақ болуы мүмкін емес сияқты - барлық су тасқынын, сканерлеуді, орнатуды блоктау саясатын қосыңыз. жартылай ашық бір сағатқа тыйым салынған сеанстарды өткізіп, шекараның жабық екенін түсініп, тыныш ұйықтаңыз. Бірақ өмірдің 34-ші жылы жастық максимализмді жеңді және мидың бір жерінде жіңішке дауыс естілді: «Қабақтарымызды көтеріп, біздің сүйікті брандмауэр кімнің мекенжайлары зиянды су тасқыны деп танылғанын көрейік? Жарайды, бос сөзге қарай».
Біз аномалиялар тізімінен алынған деректерді талдауды бастаймыз. Мен мекенжайларды қарапайым сценарий арқылы іске қосамын Powershell Көздер таныс әріптерге түседі Google.
Мен көзімді уқалап, бес минуттай жыпылықтаймын және ештеңе елестетпейтініне көз жеткіземін - шынында да брандмауэр зиянды су тасқыны деп санайтындардың тізімінде шабуыл түрі - су тасқыны, жақсы корпорацияға тиесілі мекенжайлар.
Мен басымды тырнап жатырмын, бір уақытта кейінгі талдау үшін сыртқы интерфейсте пакетті түсіруді реттеп жатырмын. Менің басымда жарқын ойлар жыпылықтайды: «Google Scope жүйесінде бірдеңе қалай жұқтырылды? Және бұл мен ашқан нәрсе ме? Иә, бұл марапаттар, құрметтер және қызыл кілем және блэкджек ойнайтын жеке казино және сіз түсінесіз...»
Алынған файлды талдау Wiresharkо.
Иә, шынымен де аумақтағы мекенжайдан Google UDP пакеттері 443 портынан құрылғымдағы кездейсоқ портқа жүктелуде.
Бірақ, сәл күте тұрыңыз... Мұнда протокол өзгереді UDP туралы GQUIC.
Семен Семеныч...
Репортаж бірден есіме түсті жоғары жүктеме Александра Тоболя «UDP қарсы TCP немесе желі стекінің болашағы»().
Бір жағынан, аздап көңілсіздік пайда болады - сіз үшін жеңістер де, құрмет те жоқ, ұстаз. Екінші жағынан, мәселе анық, қайда және қанша қазу керектігін түсіну қалады.
Жақсы корпорациямен бір-екі минут сөйлесу - бәрі орнына келеді. Мазмұнды жеткізу жылдамдығын жақсарту мақсатында компания Google хаттаманы 2012 жылы жариялады QUIC, бұл TCP кемшіліктерінің көпшілігін жоюға мүмкіндік береді (иә, иә, иә, осы мақалаларда - и Олар толығымен революциялық көзқарас туралы айтады, бірақ, шынымды айтсам, мен мысықтармен фотосуреттердің тезірек жүктелуін қалаймын, бұл сана мен прогресстің барлық революциялары емес). Кейінгі зерттеулер көрсеткендей, көптеген ұйымдар қазір мазмұнды жеткізудің осы түріне ауысуда.
Менің жағдайымда және менің ойымша, тек менің жағдайда ғана емес, ақыр соңында пакеттер тым көп және брандмауэр оларды су тасқыны ретінде қабылдайды.
Мүмкін болатын шешімдер аз болды:
1. Ерекшеліктер тізіміне қосыңыз DoS саясаты Брандмауэрдегі мекенжайлар ауқымы Google. Мүмкін болатын мекен-жайлардың ауқымы туралы ойлаған кезде оның көзі қобалжи бастады - бұл идея ақылсыз деп қалдырылды.
2. Жауап шегін арттырыңыз udp су тасқыны саясаты - Сондай-ақ comme il faut емес, бірақ біреу шынымен зұлымдықпен кіріп кетсе ше?
3. Ішкі желі арқылы қоңырауларға тыйым салу UDP туралы 443 порт шығару.
Іске асыру және интеграция туралы көбірек оқығаннан кейін QUIC в Google Chrome Соңғы нұсқа әрекетке нұсқау ретінде қабылданды. Шындығында, оны барлық жерде және аяусыз жақсы көреді (неге екенін түсінбеймін, тәкаппар қызыл шашты болған дұрыс Firefox-овская тұмсық тұтынылған гигабайт жедел жады үшін алады), Google Chrome бастапқыда оның еңбекпен тапқанын пайдаланып байланыс орнатуға тырысады QUIC, бірақ ғажайып орын алмаса, ол сияқты дәлелденген әдістерге оралады TLS, дегенмен ол одан қатты ұялады.
Брандмауэрде қызметке жазба жасаңыз QUIC:
Біз жаңа ережені орнатып, оны тізбектің жоғарырақ жеріне орналастырамыз.
Аномалиялар тізімінде ережені қосқаннан кейін, шынымен зиянды бұзушыларды қоспағанда, тыныштық пен тыныштық.
Назарларыңызға рахмет.
Пайдаланылған ресурстар:
1.
2.
3.
4.
Ақпарат көзі: www.habr.com