En fin vårkveld, da jeg ikke hadde lyst til å dra hjem, og det ustoppelige ønsket om å leve og lære klødde og brant som et varmt strykejern, dukket det opp en idé om å pirke på en fristende dingsfunksjon på brannmuren kalt «IP DOS-policy".
Etter noen innledende kjærtegn og tilvenning til manualen, satte jeg den opp i modus Pass-and-Logg, for å se på eksosen generelt og den tvilsomme nytten av denne innstillingen.
Et par dager senere (slik at statistikken skulle hope seg opp, selvfølgelig, og ikke fordi jeg hadde glemt det), så jeg på loggene og danset på stedet, klappet i hendene – det var så mange oppføringer der at du ikke engang kunne forestille deg det. Det skulle virke enkelt – sett policyen til å blokkere all oversvømmelse, skanning og installasjon. halvåpent Økter med en times lang utestengelse og søvn godt, vel vitende om at grensen er låst. Men å fylle 34 overvant ungdommelig maksimalisme, og et sted i bakhodet mitt runget en liten stemme: «La oss løfte øyelokkene og se hvilke adresser vår elskede brannmur gjenkjente som ondsinnede spammere? Vel, bare litt tull.»
Vi begynner å analysere de mottatte dataene med en liste over avvik. Jeg kjører adressene gjennom et enkelt skript. PowerShell og øynene snubler over kjente bokstaver google.

Jeg gnir meg i øynene og blunker i omtrent fem minutter for å forsikre meg om at jeg ikke innbilte meg noe – det finnes virkelig en angrepstype på listen over de brannmuren har ansett som ondsinnede spammere – UDP-flom, adresser som tilhører godselskapet.




Jeg klør meg i hodet, samtidig som jeg setter opp pakkeregistrering på det eksterne grensesnittet for senere analyse. Regnbuetanker farer gjennom hodet mitt: «Hva, noe infisert i Googles område? Og jeg oppdaget dette? Kom igjen, kom igjen – priser, utmerkelser og den røde løperen, og ditt eget kasino med blackjack, og, vel, du skjønner tegninga…»
Jeg analyserer den mottatte filen. Wireshark-om.
Ja, absolutt, fra adressen i omfanget. Google De sender UDP-pakker fra port 443 til en tilfeldig port på enheten min.
Men vent litt ... Her endres protokollen med UDP på GQUIC.
Semjon Semjonitsj...

Rapporten kommer umiddelbart til tankene Høy belastning Aleksander Tobol «UDP против TCP eller fremtiden til nettverksstakken").
På den ene siden setter en liten skuffelse inn – ingen laurbær eller æresbevisninger til deg, sir. På den annen side er problemet klart; alt som gjenstår er å finne ut hvor og hvor mye man skal grave.
Noen få minutters kommunikasjon med Godhetsforeningen, og alt faller på plass. I et forsøk på å forbedre leveringshastigheten for innhold, har selskapet Google annonserte protokollen tilbake i 2012 QUIC, som gjør det mulig å eliminere de fleste av manglene ved TCP (ja, ja, ja, i disse artiklene - и (De snakker om en fullstendig revolusjonerende tilnærming, men la oss være ærlige, vi vil at kattebilder skal lastes inn raskere, ikke alle disse revolusjonene av bevissthet og fremskritt.) Som videre forskning har vist, går mange organisasjoner nå over til denne typen innholdslevering.
Problemet i mitt tilfelle, og jeg tror ikke bare i mitt tilfelle, var at det var for mange pakker til slutt, og brannmuren oppfattet dem som oversvømmelser.
Det var få mulige løsninger:
1. Legg til i ekskluderingslisten for DoS-policy på brannmuren, adresseomfang GoogleBare tanken på alle mulige adresser fikk øyet mitt til å rykke nervøst til – ideen ble lagt på is som galskap.
2. Øk svarterskelen for UDP-flompolitikk - det er heller ikke comme il faut, hva om noen virkelig ondsinnet smyger seg gjennom.
3. Blokker forespørsler fra det interne nettverket UDP på 443 port ut.
Etter å ha lest mer om implementering og integrasjon QUIC в Google Chrome Det siste alternativet ble akseptert som retningen å ta. Saken er at alles favoritt overalt og nådeløst (jeg forstår ikke hvorfor, jeg vil heller ha den frekke rødhårede Firefox-s ansikt vil få betalt for gigabytene med RAM det slukte. Google Chrome prøver i utgangspunktet å etablere en forbindelse ved hjelp av sin hardt tilkjempede QUIC, men hvis mirakelet ikke skjer, vender han tilbake til velprøvde metoder som TLS, selv om han skammer seg dypt over det.
Opprett en brannmuroppføring for tjenesten QUIC:

Vi setter opp en ny regel og plasserer den et sted høyere opp i kjeden.

Etter at regelen er aktivert, er alt stille i anomalilisten, bortsett fra virkelig ondsinnede overtredere.

Takk til alle for oppmerksomheten.
Ressurser brukt:
1.
2.
3.
4.
Kilde: www.habr.com
