Pada suatu petang musim bunga yang indah, apabila saya tidak mahu pulang ke rumah, dan keinginan yang tidak dapat dihalang untuk hidup dan belajar adalah gatal dan terbakar seperti seterika panas, idea timbul untuk memilih ciri sesat yang menggoda pada tembok api yang dipanggil "Dasar IP DOS".
Selepas belaian awal dan membiasakan diri dengan manual, saya menyediakannya dalam mod Pas-dan-Log, untuk melihat ekzos secara umum dan kegunaan tetapan ini yang meragukan.
Selepas beberapa hari (supaya statistik akan terkumpul, sudah tentu, dan bukan kerana saya terlupa), saya melihat balak dan, menari di tempat, bertepuk tangan - terdapat rekod yang mencukupi, jangan bermain-main. Nampaknya ia tidak boleh menjadi lebih mudah - hidupkan dasar untuk menyekat semua banjir, pengimbasan, pemasangan separuh terbuka sesi dengan larangan selama sejam dan tidur dengan aman dengan kesedaran hakikat bahawa sempadan dikunci. Tetapi tahun ke-34 kehidupan mengatasi maksima muda dan di suatu tempat di bahagian belakang otak terdengar suara tipis: "Mari kita angkat kelopak mata kita dan lihat alamat siapa tembok api kesayangan kita yang diiktiraf sebagai banjir yang berniat jahat? Nah, mengikut urutan yang bukan-bukan."
Kami mula menganalisis data yang diterima daripada senarai anomali. Saya menjalankan alamat melalui skrip mudah Powershell dan mata tersandung pada huruf yang dikenali google.
Saya menggosok mata saya dan berkelip selama kira-kira lima minit untuk memastikan bahawa saya tidak membayangkan sesuatu - sememangnya, dalam senarai mereka yang tembok api dianggap sebagai banjir berniat jahat, jenis serangan adalah - udp banjir, alamat kepunyaan syarikat yang baik.
Saya menggaru kepala, serentak menyediakan tangkapan paket pada antara muka luaran untuk analisis seterusnya. Fikiran cerah terlintas di kepala saya: βBagaimanakah sesuatu dijangkiti dalam Skop Google? Dan ini yang saya temui? Ya, ini, ini adalah anugerah, penghormatan dan permaidani merah, dan kasinonya sendiri dengan blackjack dan, anda faham...β
Menghuraikan fail yang diterima Wireshark-ohm.
Ya, memang dari alamat dari skop Google Paket UDP sedang dimuat turun dari port 443 ke port rawak pada peranti saya.
Tetapi, tunggu sebentar... Di sini protokol berubah dari UDP pada GQUIC.
Semyon Semenych...
Saya terus ingat laporan daripada Beban Tinggi Alexandra Tobolya Β«UDP ΠΏΡΠΎΡΠΈΠ² TCP atau masa depan timbunan rangkaian"().
Di satu pihak, sedikit kekecewaan berlaku - tiada kejayaan, tiada penghormatan untuk anda, tuan. Sebaliknya, masalahnya jelas, ia tetap memahami di mana dan berapa banyak yang perlu digali.
Beberapa minit komunikasi dengan Good Corporation - dan semuanya berjalan lancar. Dalam usaha untuk meningkatkan kelajuan penyampaian kandungan, syarikat itu Google mengumumkan protokol itu pada tahun 2012 QUIC, yang membolehkan anda mengalih keluar kebanyakan kekurangan TCP (ya, ya, ya, dalam artikel ini - ΠΈ Mereka bercakap tentang pendekatan revolusioner sepenuhnya, tetapi, jujurlah, saya mahu foto dengan kucing dimuatkan dengan lebih cepat, dan bukan semua revolusi kesedaran dan kemajuan ini). Seperti yang ditunjukkan oleh penyelidikan lanjut, banyak organisasi kini beralih kepada pilihan penghantaran kandungan jenis ini.
Masalah dalam kes saya dan, saya fikir, bukan sahaja dalam kes saya, adalah pada akhirnya terdapat terlalu banyak paket dan firewall menganggapnya sebagai banjir.
Terdapat beberapa penyelesaian yang mungkin:
1. Tambahkan ke senarai pengecualian untuk Dasar DoS Skop alamat pada tembok api Google. Hanya memikirkan pelbagai alamat yang mungkin, matanya mula berkedip gelisah - idea itu diketepikan sebagai gila.
2. Tingkatkan ambang tindak balas untuk dasar banjir udp - juga bukan comme il faut, tetapi bagaimana jika seseorang yang benar-benar berniat jahat menyelinap masuk.
3. Larang panggilan daripada rangkaian dalaman melalui UDP pada 443 port keluar.
Selepas membaca lebih lanjut mengenai pelaksanaan dan penyepaduan QUIC Π² Google Chrome Pilihan terakhir telah diterima sebagai petunjuk untuk tindakan. Hakikatnya, disayangi oleh semua orang di mana-mana dan tanpa belas kasihan (saya tidak faham mengapa, lebih baik mempunyai rambut merah yang sombong FirefoxMuncung -ovskaya akan menerima untuk gigabait RAM yang digunakan), Google Chrome pada mulanya cuba mewujudkan sambungan menggunakan titik peluhnya QUIC, tetapi jika keajaiban tidak berlaku, maka ia kembali kepada kaedah terbukti seperti TLS, walaupun dia amat malu dengannya.
Buat entri untuk perkhidmatan pada firewall QUIC:
Kami menyediakan peraturan baharu dan meletakkannya di tempat yang lebih tinggi dalam rantaian.
Selepas menghidupkan peraturan dalam senarai anomali, keamanan dan ketenangan, kecuali pelanggar yang benar-benar berniat jahat.
Terima kasih semua atas perhatian anda.
Sumber yang digunakan:
1.
2.
3.
4.
Sumber: www.habr.com