Vieną gražų pavasario vakarą, kai nenorėjau grįžti namo, o nenumaldomas noras gyventi ir mokytis niežėjo ir degė kaip įkaitusi lygintuvas, kilo mintis pasirinkti viliojantį užkardos elementą, pavadintą „IP DOS politika"
Po preliminarių glamonių ir susipažinimo su vadovu nustatiau jį režimu Pass-and-Log, pažvelgti į išmetimą apskritai ir į abejotiną šio nustatymo naudingumą.
Po poros dienų (kad statistika kauptųsi, žinoma, o ne todėl, kad pamiršau) pažiūrėjau į rąstus ir vietoje šokdama suplojau rankomis - rekordų užteko, nežaisk. Atrodytų, kad tai negali būti paprasčiau – įjunkite politiką, kad blokuotumėte visus potvynius, nuskaitymą, diegimą pusiau atviras seansus su draudimu valandai ir ramiai miegoti suvokiant, kad siena užrakinta. Tačiau 34-eri gyvenimo metai įveikė jaunatvišką maksimalizmą ir kažkur užpakalyje smegenyse nuskambėjo plonas balsas: „Pakelkime vokus ir pažiūrėkime, kieno adresus mūsų mylima užkarda atpažino kaip piktavališkus potvynius? Na, nesąmonių tvarka“.
Mes pradedame analizuoti gautus duomenis iš anomalijų sąrašo. Aš paleidžiu adresus per paprastą scenarijų PowerShell ir akys užkliūva už pažįstamų raidžių "Google".
Trinu akis ir mirksiu apie penkias minutes, kad įsitikinčiau, jog nieko neįsivaizduoju – iš tikrųjų sąraše tų, kuriuos užkarda laikė kenkėjiškais užtvindytojais, atakos tipas yra toks – udp potvynis, adresai, priklausantys gerai korporacijai.
Aš kraipiu galvą, tuo pat metu išorinėje sąsajoje nustatydamas paketų fiksavimą tolesnei analizei. Galvoje šmėsteli šviesios mintys: „Kaip kažkas užkrėstas „Google Scope“? Ir štai ką aš atradau? Taip, tai apdovanojimai, pagyrimai ir raudonas kilimas, ir nuosavas kazino su blackjack ir, na, supranti...“
Gauto failo analizavimas wireshark-ohm.
Taip, tikrai iš adreso iš taikymo srities "Google" UDP paketai atsisiunčiami iš 443 prievado į atsitiktinį mano įrenginio prievadą.
Bet, palaukite... Čia protokolas keičiasi nuo UDP apie GQUIC.
Semjonas Semenychas...
Iš karto prisimenu reportažą iš HighLoad Aleksandra Tobolya «UDP против TCP arba tinklo dėklo ateitis“().
Viena vertus, apima lengvas nusivylimas – jokių laurų, jokios garbės tau, meistre. Kita vertus, problema aiški, belieka suprasti, kur ir kiek kasti.
Pora minučių bendravimo su Good Corporation – ir viskas stoja į savo vietas. Siekdama pagerinti turinio pristatymo greitį, bendrovė "Google" protokolą paskelbė dar 2012 m QUIC, kuri leidžia pašalinti daugumą TCP trūkumų (taip, taip, taip, šiuose straipsniuose - и Jie kalba apie visiškai revoliucinį požiūrį, bet, būkime atviri, noriu, kad nuotraukos su katėmis būtų įkeliamos greičiau, o ne visos šios sąmonės ir pažangos revoliucijos). Kaip parodė tolesni tyrimai, daugelis organizacijų dabar pereina prie tokio tipo turinio pateikimo parinkties.
Mano ir, manau, ne tik mano atveju problema buvo ta, kad galų gale yra per daug paketų ir ugniasienė juos suvokia kaip potvynį.
Buvo keletas galimų sprendimų:
1. Įtraukti į pašalinimų sąrašą DoS politika Adresų apimtis ugniasienėje "Google". Vien pagalvojus apie galimų adresų spektrą, jo akys ėmė nervingai trūkčioti – mintis buvo atidėta į šalį kaip beprotiška.
2. Padidinkite atsakymo slenkstį udp potvynių politika - irgi ne comme il faut, o jei kažkas tikrai piktavališkas įslenka.
3. Uždrausti skambučius iš vidinio tinklo per UDP apie 443 išvesti.
Perskaitę daugiau apie diegimą ir integravimą QUIC в "Google Chrome" Paskutinis variantas buvo priimtas kaip nurodymas imtis veiksmų. Faktas yra tas, kad mylimas visų visur ir negailestingai (nesuprantu kodėl, geriau turėti arogantišką raudonplaukę "Firefox"-ovskaya snukis gaus už sunaudotus gigabaitus RAM), "Google Chrome" iš pradžių bando užmegzti ryšį naudodamas sunkiai uždirbtą QUIC, bet jei stebuklas neįvyksta, grįžtama prie patikrintų metodų, tokių kaip TLS, nors jam to labai gėda.
Sukurkite paslaugos įrašą ugniasienėje QUIC:
Mes nustatome naują taisyklę ir įdedame ją kur nors aukščiau grandinėje.
Įjungus taisyklę anomalijų sąraše, ramybė ir tyla, išskyrus tikrai piktybiškus pažeidėjus.
Ačiū visiems už dėmesį.
Naudoti ištekliai:
1.
2.
3.
4.
Šaltinis: www.habr.com
