Jedného pekného jarného večera, keď sa mi nechcelo ísť domov a nepotlačiteľná túžba žiť a učiť sa ma svrbela a pálila ako žeravé železo, vznikla myšlienka vybrať si na firewalle lákavú túlavú funkciu s názvom „IP DOS politika".
Po predbežných pohladeniach a oboznámení sa s manuálom som ho nastavil do režimu Pass-and-Log, pozrieť sa na výfuk celkovo a pochybnú užitočnosť tohto nastavenia.
Po niekoľkých dňoch (samozrejme, aby sa štatistiky hromadili, a nie preto, že som zabudol) som sa pozrel na denníky a tancoval som na mieste a tlieskal rukami - bolo dosť záznamov, nehrajte. Zdalo by sa, že to nemôže byť jednoduchšie - zapnite politiku, aby ste zablokovali všetky záplavy, skenovanie a inštaláciu polootvorený sedenia so zákazom na hodinu a pokojne spať s vedomím toho, že hranica je zamknutá. Ale 34. rok života prekonal mladícky maximalizmus a kdesi vzadu v mozgu sa ozval tenký hlások: „Zdvihnime viečka a pozrime sa, koho adresy náš milovaný firewall rozpoznal ako zlomyseľné záplavy? No, v poradí nezmyslov."
Začneme analyzovať prijaté údaje zo zoznamu anomálií. Adresy spúšťam cez jednoduchý skript PowerShell a oči narážajú na známe písmená Google.
Pretieram si oči a žmurkám asi päť minút, aby som sa uistil, že si veci nevymýšľam – skutočne, na zozname tých, ktorých firewall považoval za škodlivé záplavy, je typ útoku – udp povodne, adresy patriace dobrej spoločnosti.
Poškriabem sa na hlave a súčasne nastavím zachytávanie paketov na externom rozhraní pre následnú analýzu. Hlavou mi preblesknú jasné myšlienky: „Ako to, že je niečo infikované v rozsahu Google? A toto som objavil? Áno, toto sú ocenenia, vyznamenania a červený koberec a vlastné kasíno s blackjackom a, chápete...“
Analýza prijatého súboru Wireshark-ohm.
Áno, skutočne z adresy z rozsahu Google Pakety UDP sa sťahujú z portu 443 na náhodný port na mojom zariadení.
Ale počkajte chvíľu... Tu sa mení protokol UDP na GQUIC.
Semjon Semenych...
Hneď si spomínam na reportáž z HighLoad Alexandra Tobolya «UDP против TCP alebo budúcnosť sieťového zásobníka"().
Na jednej strane prichádza mierne sklamanie - žiadne vavríny, žiadne vyznamenania pre vás, majstre. Na druhej strane je problém jasný, zostáva pochopiť, kde a koľko kopať.
Pár minút komunikácie s Good Corporation - a všetko zapadne na svoje miesto. V snahe zlepšiť rýchlosť doručovania obsahu spoločnosť Google oznámil protokol už v roku 2012 QUIC, ktorý vám umožňuje odstrániť väčšinu nedostatkov TCP (áno, áno, áno, v týchto článkoch - и Hovoria o úplne revolučnom prístupe, ale povedzme si úprimne, chcem, aby sa fotky s mačkami načítali rýchlejšie, a nie všetky tieto revolúcie vedomia a pokroku). Ako ukázal ďalší výskum, mnohé organizácie teraz prechádzajú na tento typ možnosti doručovania obsahu.
Problém v mojom prípade a myslím, že nielen v mojom bol ten, že v konečnom dôsledku je paketov priveľa a firewall ich vníma ako záplavu.
Možných riešení bolo málo:
1. Pridať do zoznamu vylúčení pre Zásady DoS Rozsah adries na firewalle Google. Už len pri pomyslení na rozsah možných adries mu začalo nervózne trhať oko – nápad bol odložený ako šialený.
2. Zvýšte prah odozvy pre udp povodna politika - tiež nie comme il faut, ale čo ak sa vkradne niekto naozaj zlomyseľný.
3. Zakázať hovory z internej siete cez UDP na 443 port von.
Po prečítaní viac o implementácii a integrácii QUIC в Google Chrome Posledná možnosť bola prijatá ako náznak konania. Faktom je, že milovaný všetkými všade a nemilosrdne (nechápem prečo, je lepšie mať arogantnú ryšavku Firefox-ovskaya papuľa dostane za spotrebované gigabajty RAM), Google Chrome sa spočiatku pokúša nadviazať spojenie pomocou ťažko získaných QUIC, ale ak sa nestane zázrak, tak sa vracia k overeným metódam ako TLS, hoci sa za to nesmierne hanbí.
Vytvorte položku pre službu na bráne firewall QUIC:
Nastavíme nové pravidlo a umiestnime ho niekde vyššie v reťazci.
Po zapnutí pravidla v zozname anomálií pokoj a ticho, s výnimkou skutočne zlomyseľných porušovateľov.
Ďakujem všetkým za pozornosť.
Použité zdroje:
1.
2.
3.
4.
Zdroj: hab.com