Numa bela noite de primavera, quando eu não queria ir para casa, e o desejo irreprimível de viver e aprender estava coçando e queimando como um ferro quente, surgiu a ideia de escolher um recurso tentador e perdido no firewall chamado “Política IP-DOS".
Após cuidados preliminares e familiarização com o manual, configurei-o no modo Passar e registrar, para olhar o escapamento em geral e a utilidade duvidosa dessa configuração.
Depois de alguns dias (para que as estatísticas se acumulassem, é claro, e não porque esqueci), olhei os registros e, dançando no local, bati palmas - havia registros suficientes, não brinque. Parece que não poderia ser mais simples - ative a política para bloquear todas as inundações, verificações, instalações meio aberto sessões com proibição de uma hora e dormir tranquilamente com a consciência de que a fronteira está fechada. Mas o 34º ano de vida superou o maximalismo juvenil e em algum lugar no fundo do cérebro uma voz fina soou: “Vamos levantar as pálpebras e ver quais endereços nosso amado firewall reconheceu como inundadores maliciosos? Bem, na ordem do absurdo."
Começamos a analisar os dados recebidos da lista de anomalias. Eu executo endereços através de um script simples Powershell e os olhos tropeçam em letras familiares google.
Esfrego os olhos e pisco por cerca de cinco minutos para ter certeza de que não estou imaginando coisas - na verdade, na lista daqueles que o firewall considerou inundadores maliciosos, o tipo de ataque é - inundação de udp, endereços pertencentes à boa corporação.
Estou coçando a cabeça, configurando simultaneamente a captura de pacotes na interface externa para análise posterior. Pensamentos brilhantes passam pela minha cabeça: “Como é que algo está infectado no Google Scope? E foi isso que descobri? Sim, isto, isto são prémios, honras e um tapete vermelho, e o seu próprio casino com blackjack e, bem, você entende...”
Analisando o arquivo recebido Wireshark-om.
Sim, de fato do endereço do escopo Google Pacotes UDP estão sendo enviados da porta 443 para uma porta aleatória no meu dispositivo.
Mas espere um minuto... Aqui o protocolo muda de UDP em GQUIC.
Semyon Semenych...
Lembro-me imediatamente do relatório de Carga elevada Alexandra Tobolya «UDP против TCP ou o futuro da pilha de rede"().
Por um lado, surge uma leve decepção - sem louros, sem honras para você, mestre. Por outro lado, o problema é claro, resta saber onde e quanto cavar.
Alguns minutos de comunicação com a Good Corporation - e tudo se encaixa. Na tentativa de melhorar a velocidade de entrega de conteúdo, a empresa Google anunciou o protocolo em 2012 QUIC, que permite remover a maioria das deficiências do TCP (sim, sim, sim, nestes artigos - и Eles falam de uma abordagem totalmente revolucionária, mas, sejamos sinceros, quero que as fotos com gatos carreguem mais rápido, e não todas essas revoluções de consciência e progresso). Como novas pesquisas mostraram, muitas organizações estão agora migrando para esse tipo de opção de entrega de conteúdo.
O problema no meu caso e, creio, não só no meu caso, é que no final há muitos pacotes e o firewall os percebe como uma inundação.
Havia poucas soluções possíveis:
1. Adicionar à lista de exclusão para Política DoS Escopo de endereços no firewall Google. Só de pensar na gama de endereços possíveis, seus olhos começaram a se contorcer nervosamente - a ideia foi posta de lado por ser uma loucura.
2. Aumente o limite de resposta para política de inundação udp - também não é comum, mas e se alguém realmente malicioso entrar furtivamente.
3. Proibir chamadas da rede interna via UDP em 443 porta para fora.
Depois de ler mais sobre implementação e integração QUIC в Google Chrome A última opção foi aceite como indicação de acção. O fato é que, amado por todos em todos os lugares e sem piedade (não entendo porque, é melhor ter uma ruiva arrogante Firefox-ovskaya focinho receberá pelos gigabytes de RAM consumidos), Google Chrome inicialmente tenta estabelecer uma conexão usando seu suado QUIC, mas se um milagre não acontecer, então ele retorna a métodos comprovados como TLS, embora ele esteja extremamente envergonhado disso.
Crie uma entrada para o serviço no firewall QUIC:
Estabelecemos uma nova regra e a colocamos em algum lugar mais alto da cadeia.
Depois de incluir a regra na lista de anomalias, paz e sossego, com exceção de infratores verdadeiramente maliciosos.
Obrigado a todos por sua atenção.
Recursos utilizados:
1.
2.
3.
4.
Fonte: habr.com