Op een mooie lenteavond, toen ik niet naar huis wilde en het onstuitbare verlangen om te leven en te leren jeukte en brandde als een heet strijkijzer, ontstond het idee om een verleidelijk verdwaald onderdeel van de firewall aan te pakken, genaamd ‘IP-DOS-beleid".
Na voorafgaande liefkozingen en kennismaking met de handleiding, heb ik hem in de modus gezet Pass-en-Log, om te kijken naar de uitlaat in het algemeen en het twijfelachtige nut van deze instelling.
Na een paar dagen (zodat de statistieken zich natuurlijk zouden verzamelen, en niet omdat ik het vergat), keek ik naar de boomstammen en danste ter plekke, klapte in mijn handen - er waren genoeg records, speel niet. Het lijkt erop dat het niet eenvoudiger kan: schakel het beleid in om alle overstromingen, scannen en installeren te blokkeren half open sessies met een verbod van een uur en rustig slapen met het besef dat de grens op slot is. Maar het 34e levensjaar overwon het jeugdige maximalisme en ergens achterin de hersenen klonk een dunne stem: “Laten we onze oogleden opheffen en kijken wiens adressen onze geliefde firewall herkende als kwaadaardige overstromingen? Nou ja, in volgorde van onzin."
We beginnen de ontvangen gegevens uit de lijst met afwijkingen te analyseren. Ik voer adressen door een eenvoudig script Powershell en de ogen stuiten op bekende letters google.
Ik wrijf in mijn ogen en knipper ongeveer vijf minuten om er zeker van te zijn dat ik me geen dingen verbeeld. Op de lijst van degenen die door de firewall als kwaadwillige overstromingen worden beschouwd, is het type aanval inderdaad: udp overstroming, adressen die behoren tot de goede onderneming.
Ik zit op mijn hoofd te krabben, terwijl ik tegelijkertijd pakketopname op de externe interface instel voor latere analyse. Heldere gedachten flitsen door mijn hoofd: “Hoe komt het dat er iets is geïnfecteerd in Google Scope? En dit is wat ik ontdekte? Ja, dit, dit zijn prijzen, onderscheidingen en een rode loper, en een eigen casino met blackjack en, nou ja, je begrijpt het...'
Het ontvangen bestand parseren Wireshark-ohm.
Ja, inderdaad vanaf het adres uit de scope Kopen Google Reviews UDP-pakketten worden gedownload van poort 443 naar een willekeurige poort op mijn apparaat.
Maar wacht even... Hier verandert het protocol van UDP op GQUIC.
Semjon Semenych...
Ik herinner me meteen het rapport van Hoge lading Alexandra Tobolya «UDP против TCP of de toekomst van de netwerkstack"().
Aan de ene kant ontstaat er een lichte teleurstelling - geen lauweren, geen eer voor u, meester. Aan de andere kant is het probleem duidelijk, het blijft de vraag waar en hoeveel je moet graven.
Een paar minuten communicatie met de Good Corporation - en alles valt op zijn plaats. In een poging om de snelheid van de levering van inhoud te verbeteren, heeft het bedrijf Kopen Google Reviews kondigde het protocol al in 2012 aan QUIC, waarmee u de meeste tekortkomingen van TCP kunt wegnemen (ja, ja, ja, in deze artikelen - и Ze praten over een volledig revolutionaire aanpak, maar laten we eerlijk zijn, ik wil dat foto's met katten sneller laden, en niet al deze revoluties van bewustzijn en vooruitgang). Uit verder onderzoek is gebleken dat veel organisaties nu overstappen op dit soort contentleveringsopties.
Het probleem in mijn geval en, denk ik, niet alleen in mijn geval, was dat er uiteindelijk te veel pakketten zijn en dat de firewall ze als een overstroming beschouwt.
Er waren weinig mogelijke oplossingen:
1. Toevoegen aan uitsluitingslijst voor DoS-beleid Reikwijdte van adressen op de firewall Kopen Google Reviews. Alleen al bij de gedachte aan de reeks mogelijke adressen begon zijn oog zenuwachtig te trillen - het idee werd als krankzinnig terzijde geschoven.
2. Verhoog de responsdrempel voor udp-overstromingsbeleid - ook niet comme il faut, maar wat als er echt kwaadaardig iemand binnensluipt.
3. Blokkeer oproepen vanaf het interne netwerk via UDP op 443 poort uit.
Na het lezen van meer over implementatie en integratie QUIC в Google Chrome De laatste optie werd aanvaard als indicatie voor actie. Het feit is dat, geliefd bij iedereen overal en genadeloos (ik begrijp niet waarom, het beter is om een arrogante roodharige te hebben Firefox-ovskaya snuit zal ontvangen voor de verbruikte gigabytes RAM), Google Chrome probeert in eerste instantie een verbinding tot stand te brengen met behulp van zijn zuurverdiende geld QUIC, maar als er geen wonder gebeurt, keert het terug naar beproefde methoden zoals TLS, hoewel hij zich er enorm voor schaamt.
Maak een vermelding voor de service op de firewall QUIC:
We stellen een nieuwe regel op en plaatsen deze ergens hoger in de keten.
Na het inschakelen van de regel in de lijst met afwijkingen, rust en stilte, met uitzondering van echt kwaadaardige overtreders.
Ik dank u allen voor uw aandacht.
Gebruikte bronnen:
1.
2.
3.
4.
Bron: www.habr.com