Kādā jaukā pavasara vakarā, kad es negribēju iet mājās un nepārvaramā vēlme dzīvot un mācīties niezēja un dedzināja kā karsts gludeklis, radās doma izvēlēties kārdinošu malējo elementu uz ugunsmūra ar nosaukumu "IP DOS politika".
Pēc iepriekšējiem glāstiem un iepazīšanās ar rokasgrāmatu iestatīju to režīmā Pass-and-Log, lai aplūkotu izplūdi kopumā un šī iestatījuma apšaubāmo lietderību.
Pēc pāris dienām (lai statistika uzkrātos, protams, nevis tāpēc, ka aizmirsu) paskatījos uz baļķiem un, uz vietas dejojot, sita plaukstas - rekordu bija pietiekami daudz, nespēlējies. Šķiet, ka tas nevar būt vienkāršāk — ieslēdziet politiku, lai bloķētu visus applūšanu, skenēšanu, instalēšanu pusatvērts seansi ar aizliegumu uz stundu un gulēt mierīgi ar apziņu, ka robeža ir aizslēgta. Taču 34. dzīves gads pārvarēja jauneklīgo maksimālismu un kaut kur aizmugures smadzenēs atskanēja kalsna balss: “Pacelsim plakstiņus un paskatīsimies, kuru adreses mūsu mīļais ugunsmūris atpazina par ļaunprātīgiem plūdiem? Nu, muļķību secībā."
Mēs sākam analizēt saņemtos datus no anomāliju saraksta. Es palaistu adreses, izmantojot vienkāršu skriptu PowerShell un acis aizķeras uz pazīstamiem burtiem Google.
Es berzēju acis un mirkšķinu apmēram piecas minūtes, lai pārliecinātos, ka neko neiedomājos - patiešām to cilvēku sarakstā, kurus ugunsmūris uzskatīja par ļaunprātīgiem plūdiem, uzbrukuma veids ir - udp plūdi, adreses, kas pieder labajai korporācijai.
Es kasu galvu, vienlaikus ārējā saskarnē iestatot pakešu uztveršanu turpmākai analīzei. Manā galvā pavīd gaišas domas: “Kā tas ir, ka Google Scope kaut kas ir inficēts? Un tas ir tas, ko es atklāju? Jā, šis, tas ir balvas, apbalvojumi un sarkanais paklājs, un savs kazino ar blekdžeku un, nu, jūs saprotat...”
Saņemtā faila parsēšana Wireshark- ohm.
Jā, patiešām no adreses no darbības jomas google UDP paketes tiek lejupielādētas no 443. porta uz nejaušu manas ierīces portu.
Bet, pagaidiet... Šeit protokols mainās no UDP par GQUIC.
Semjons Semeničs...
Uzreiz atceros reportāžu no HighLoad Aleksandra Toboļa «UDP против TCP vai tīkla steka nākotne"().
No vienas puses, iestājas viegla vilšanās – ne lauru, ne pagodinājumu jums, meistar. No otras puses, problēma ir skaidra, atliek saprast, kur un cik daudz rakt.
Pāris minūšu komunikācija ar Labo korporāciju - un viss nostājas savās vietās. Mēģinot uzlabot satura piegādes ātrumu, uzņēmums google par protokolu paziņoja tālajā 2012. gadā QUIC, kas ļauj novērst lielāko daļu TCP trūkumu (jā, jā, jā, šajos rakstos - и Viņi runā par pilnīgi revolucionāru pieeju, bet, būsim godīgi, es gribu, lai fotogrāfijas ar kaķiem ielādētu ātrāk, nevis visas šīs apziņas un progresa revolūcijas). Kā liecina turpmākie pētījumi, daudzas organizācijas tagad pāriet uz šāda veida satura piegādes iespēju.
Problēma manā gadījumā un, manuprāt, ne tikai manā gadījumā bija tā, ka beigās pakešu ir par daudz un ugunsmūris tās uztver kā plūdus.
Bija daži iespējamie risinājumi:
1. Pievienot izslēgšanas sarakstam DoS politika Ugunsmūra adrešu apjoms google. Jau iedomājoties vien par iespējamo adrešu klāstu, viņa acs sāka nervozi raustīties – ideja tika nolikta malā kā traka.
2. Palieliniet atbildes slieksni udp plūdu politika - arī ne comme il faut, bet ja nu kāds patiešām ļaundaris ielīst.
3. Aizliegt zvanus no iekšējā tīkla, izmantojot UDP par 443 iziet.
Pēc tam, kad esat izlasījis vairāk par ieviešanu un integrāciju QUIC в Google Chrome Pēdējais variants tika pieņemts kā norāde uz rīcību. Fakts ir tāds, ka viņu mīl visi visur un nežēlīgi (nesaprotu, kāpēc, labāk ir augstprātīga rudmate Firefox-ovskaya purns saņems par patērētajiem gigabaitiem RAM), Google Chrome sākotnēji mēģina izveidot savienojumu, izmantojot savu grūti nopelnīto QUIC, bet, ja brīnums nenotiek, tad atgriežas pie pārbaudītām metodēm kā TLS, lai gan viņam par to ir ārkārtīgi kauns.
Izveidojiet pakalpojuma ierakstu ugunsmūrī QUIC:
Mēs izveidojam jaunu noteikumu un ievietojam to kaut kur augstāk ķēdē.
Pēc noteikuma ieslēgšanas anomāliju sarakstā miers un klusums, izņemot patiesi ļaunprātīgus pārkāpējus.
Paldies visiem par uzmanību.
Izmantotie resursi:
1.
2.
3.
4.
Avots: www.habr.com