En fin vårkveld, da jeg ikke ønsket å reise hjem, og det ukuelige lysten til å leve og lære kløet og brant som et varmt strykejern, oppsto ideen om å plukke på et fristende bortkommen innslag på brannmuren kalt "IP DOS-policy".
Etter foreløpige kjærtegn og kjennskap til manualen, satte jeg den opp i modus Pass-og-logg, for å se på eksosen generelt og den tvilsomme nytten av denne innstillingen.
Etter et par dager (for at statistikken skulle samle seg, selvfølgelig, og ikke fordi jeg glemte det), så jeg på tømmerstokkene og danset på stedet og klappet i hendene - det var nok poster, ikke lek. Det ser ut til at det ikke kunne vært enklere - slå på policyen for å blokkere all oversvømmelse, skanning, installasjon halvåpent økter med forbud i en time og sov fredelig med bevissthet om at grensen er låst. Men det 34. leveåret overvant ungdommelig maksimalisme og et sted bak i hjernen hørtes en tynn stemme: «La oss løfte øyelokkene våre og se hvem adressene vår elskede brannmur ble gjenkjent som ondsinnede flommer? Vel, i rekkefølge av tull."
Vi begynner å analysere de mottatte dataene fra listen over anomalier. Jeg kjører adresser gjennom et enkelt skript PowerShell og øynene snubler over kjente bokstaver google.
Jeg gnir meg i øynene og blunker i omtrent fem minutter for å være sikker på at jeg ikke forestiller meg ting - faktisk, på listen over de som brannmuren betraktet som ondsinnede flommer, er typen angrep - utp flom, adresser som tilhører det gode selskapet.
Jeg klør meg i hodet og setter samtidig opp pakkefangst på det eksterne grensesnittet for påfølgende analyse. Lyse tanker går gjennom hodet mitt: «Hvordan har det seg at noe er infisert i Google Scope? Og dette er hva jeg oppdaget? Ja, dette, dette er priser, æresbevisninger og en rød løper, og et eget kasino med blackjack og, vel, du forstår...”
Parser den mottatte filen Wireshark-ohm.
Ja, faktisk fra adressen fra scope Google UDP-pakker lastes ned fra port 443 til en tilfeldig port på enheten min.
Men, vent litt... Her endres protokollen fra UDP på GQUIC.
Semyon Semenych...
Jeg husker umiddelbart rapporten fra Høybelastning Alexandra Tobolya «UDP против TCP eller fremtiden til nettverksstakken"().
På den ene siden kommer en liten skuffelse - ingen laurbær, ingen heder til deg, mester. På den annen side er problemet klart, det gjenstår å forstå hvor og hvor mye man skal grave.
Et par minutters kommunikasjon med Good Corporation - og alt faller på plass. I et forsøk på å forbedre hastigheten på innholdslevering, har selskapet Google kunngjorde protokollen tilbake i 2012 QUIC, som lar deg fjerne de fleste mangler ved TCP (ja, ja, ja, i disse artiklene - и De snakker om en helt revolusjonerende tilnærming, men la oss være ærlige, jeg vil at bilder med katter skal lastes raskere, og ikke alle disse revolusjonene av bevissthet og fremgang). Som videre forskning har vist, bytter mange organisasjoner nå til denne typen innholdsleveringsalternativer.
Problemet i mitt tilfelle og, tror jeg, ikke bare i mitt tilfelle, var at det til slutt er for mange pakker og brannmuren oppfatter dem som en flom.
Det var få mulige løsninger:
1. Legg til ekskluderingsliste for DoS-policy Omfang av adresser på brannmuren Google. Bare ved tanken på utvalget av mulige adresser begynte øyet å rykke nervøst – ideen ble lagt til side som gal.
2. Øk responsterskelen for UDP flompolitikk - heller ikke comme il faut, men hva om noen virkelig ondsinnede sniker seg inn.
3. Forby anrop fra det interne nettverket via UDP på 443 port ut.
Etter å ha lest mer om implementering og integrasjon QUIC в Google Chrome Det siste alternativet ble akseptert som en indikasjon for handling. Faktum er at, elsket av alle overalt og nådeløst (jeg forstår ikke hvorfor, det er bedre å ha en arrogant rødhårete Firefox-ovskaya snute vil motta for forbrukte gigabyte med RAM), Google Chrome prøver først å etablere en tilkobling ved å bruke den hardt opptjente QUIC, men hvis et mirakel ikke skjer, så går det tilbake til velprøvde metoder som TLS, selv om han skammer seg ekstremt over det.
Opprett en oppføring for tjenesten på brannmuren QUIC:
Vi setter opp en ny regel og plasserer den et sted høyere i kjeden.
Etter å ha slått på regelen i listen over anomalier, fred og ro, med unntak av virkelig ondsinnede overtredere.
Takk alle for oppmerksomheten.
Ressurser brukt:
1.
2.
3.
4.
Kilde: www.habr.com