Pewnego pięknego wiosennego wieczoru, kiedy nie chciałem wracać do domu, a niepohamowana chęć życia i nauki swędziła i paliła jak rozżarzone żelazo, zrodził się pomysł, aby wybrać kuszącą, zabłąkaną funkcję na zaporze ogniowej o nazwie „Polityka IP DOS".
Po wstępnych pieszczotach i zapoznaniu się z instrukcją ustawiłem go w tryb Pass-i-log, żeby przyjrzeć się ogólnie wydechowi i wątpliwej przydatności tego ustawienia.
Po kilku dniach (oczywiście, żeby statystyki się zgromadziły, a nie dlatego, że zapomniałem) spojrzałem na kłody i tańcząc na miejscu, klaskałem w dłonie - płyt wystarczyło, nie baw się. Wydawałoby się, że nie może być prościej – włącz politykę blokującą wszelkie zalewanie, skanowanie, instalowanie na wpół otwarte sesji z godzinnym zakazem i śpij spokojnie ze świadomością, że granica jest zamknięta. Ale 34. rok życia przezwyciężył młodzieńczy maksymalizm i gdzieś z tyłu mózgu zabrzmiał cienki głos: „Podnieśmy powieki i zobaczmy, czyje adresy nasza ukochana zapora sieciowa uznała za złośliwe zalewy? Cóż, w kolejności nonsensów.”
Przystępujemy do analizy otrzymanych danych z listy anomalii. Adresy uruchamiam za pomocą prostego skryptu PowerShell a oczy natrafiają na znajome litery google.
Przecieram oczy i mrugam przez około pięć minut, aby upewnić się, że sobie tego nie wyobrażam - rzeczywiście, na liście tych, których zapora sieciowa uznała za złośliwe programy zalewające, typ ataku to - udp powódź, adresy należące do dobrej korporacji.
Drapię się po głowie, jednocześnie konfigurując przechwytywanie pakietów na interfejsie zewnętrznym do późniejszej analizy. Przez głowę przelatują mi jasne myśli: „Jak to się stało, że coś zostało zainfekowane w Google Scope? I to właśnie odkryłem? Tak, to są nagrody, wyróżnienia i czerwony dywan, a do tego własne kasyno z blackjackiem i no cóż, rozumiecie...”
Analizowanie otrzymanego pliku Wireshark-om.
Tak, rzeczywiście z adresu z zakresu Google Pakiety UDP są pobierane z portu 443 do losowego portu na moim urządzeniu.
Ale poczekaj chwilę... Tutaj zmienia się protokół UDP na GQUIC.
Siemion Semenycz...
Od razu przypomniał mi się raport z Wysokie obciążenia Aleksandra Tobola «UDP против TCP lub przyszłość stosu sieciowego”().
Z jednej strony nadchodzi lekkie rozczarowanie – bez laurów, bez zaszczytów dla Ciebie, mistrzu. Z drugiej strony problem jest jasny, pozostaje zrozumieć, gdzie i ile kopać.
Kilka minut komunikacji z Dobrą Korporacją - i wszystko się układa. Próbując poprawić szybkość dostarczania treści, firma Google ogłosił protokół w 2012 roku QUIC, co pozwala usunąć większość niedociągnięć TCP (tak, tak, tak, w tych artykułach - и Mówią o całkowicie rewolucyjnym podejściu, ale powiedzmy sobie szczerze, żeby zdjęcia z kotami ładowały się szybciej, a nie te wszystkie rewolucje świadomości i postępu). Jak wykazały dalsze badania, wiele organizacji przechodzi obecnie na tego rodzaju opcję dostarczania treści.
Problem w moim przypadku i myślę, że nie tylko w moim przypadku polegał na tym, że ostatecznie pakietów było za dużo i firewall postrzegał je jako powódź.
Możliwych rozwiązań było kilka:
1. Dodaj do listy wykluczeń dla Polityka DoS Zakres adresów na zaporze sieciowej Google. Na samą myśl o gamie możliwych adresów oko zaczęło mu nerwowo drgać – pomysł odrzucono jako szalony.
2. Zwiększ próg reakcji dla polityka przeciwpowodziowa udp - też nie comme il faut, ale co jeśli wkradnie się ktoś naprawdę złośliwy.
3. Zabroń połączeń z sieci wewnętrznej przez UDP na 443 wyprowadzić.
Po przeczytaniu więcej o wdrażaniu i integracji QUIC в Google Chrome Jako wskazówkę do działania przyjęto tę ostatnią opcję. Fakt jest taki, że kochany przez wszystkich wszędzie i bezlitośnie (nie rozumiem dlaczego, lepiej mieć aroganckiego rudzielca Firefox-kaganiec -ovskaya otrzyma za zużyte gigabajty pamięci RAM), Google Chrome początkowo próbuje nawiązać połączenie wykorzystując swoje ciężko zarobione pieniądze QUIC, ale jeśli cud się nie stanie, to wraca się do sprawdzonych metod np TLSchoć bardzo się tego wstydzi.
Utwórz wpis dla usługi na zaporze QUIC:
Ustalamy nową regułę i umieszczamy ją gdzieś wyżej w łańcuchu.
Po włączeniu reguły na liście anomalii panuje cisza i spokój, z wyjątkiem naprawdę złośliwych gwałcicieli.
Dziękuję wszystkim za uwagę.
Wykorzystane zasoby:
1.
2.
3.
4.
Źródło: www.habr.com