Nekega lepega pomladnega večera, ko nisem hotel domov in me je neustavljiva želja po življenju in učenju srbela in pekla kot vroče železo, se je porodila ideja, da bi izbral mamljivo stranpoteško funkcijo na požarnem zidu, imenovano "IP DOS policy".
Po predhodnem božanju in seznanitvi z navodili sem ga nastavil v način Pass-in-Log, da pogledamo izpuh na splošno in dvomljivo uporabnost te nastavitve.
Po nekaj dneh (da bi se statistika kopičila, seveda, in ne zato, ker sem pozabil), sem pogledal dnevnike in, plesoč na mestu, ploskal z rokami - bilo je dovolj zapisov, ne igrajte se. Zdi se, da ne more biti preprostejše - vklopite pravilnik za blokiranje vseh poplav, skeniranja, namestitve napol odprto seje z enourno prepovedjo in mirno spati ob zavedanju, da je meja zaklenjena. Toda 34. leto življenja je premagalo mladostni maksimalizem in nekje v ozadju možganov je zazvenel tanek glasek: »Dvignimo veke in poglejmo, čigave naslove je naš ljubljeni požarni zid prepoznal kot zlonamerne poplave? No, po vrsti neumnosti."
Začnemo analizirati prejete podatke s seznama nepravilnosti. Naslove izvajam s preprostim skriptom PowerShell in oči se spotikajo ob znane črke google.
Pomežim si oči in mežikam kakšnih pet minut, da se prepričam, da si ne domišljam – res, na seznamu tistih, ki jih je požarni zid štel za zlonamerne poplave, je vrsta napada – udp poplava, naslovi, ki pripadajo dobremu podjetju.
Praskam se po glavi in hkrati nastavljam zajem paketov na zunanjem vmesniku za kasnejšo analizo. Po glavi mi švigajo svetle misli: »Kako to, da je v Google Scopeu nekaj okuženo? In to sem odkril? Ja, to, to so nagrade, časti in rdeča preproga, pa lastna igralnica z blackjackom in, no, razumete ...«
Razčlenitev prejete datoteke Wireshark-ohm.
Da, res iz naslova iz obsega google Paketi UDP se pošiljajo iz vrat 443 v naključna vrata v moji napravi.
Ampak, počakaj malo ... Tukaj se protokol spremeni UDP o GQUIC.
Semjon Semenič ...
Takoj se spomnim na poročilo iz HighLoad Aleksandra Tobolya «UDP против TCP ali prihodnost omrežnega sklada"().
Po eni strani sledi rahlo razočaranje - brez lovorik, brez časti zate, mojster. Po drugi strani pa je problem jasen, treba je razumeti, kje in koliko kopati.
Nekaj minut komunikacije z Good Corporation - in vse se postavi na svoje mesto. V poskusu izboljšanja hitrosti dostave vsebine je podjetje google je protokol napovedal že leta 2012 QUIC, ki vam omogoča, da odstranite večino pomanjkljivosti TCP (da, da, da, v teh člankih - и Govorijo o popolnoma revolucionarnem pristopu, ampak, bodimo iskreni, želim, da se fotografije z mačkami hitreje naložijo in ne vse te revolucije zavesti in napredka). Kot so pokazale nadaljnje raziskave, številne organizacije zdaj prehajajo na tovrstno možnost dostave vsebine.
Težava v mojem in mislim, da ne samo v mojem primeru je bila v tem, da je na koncu paketov preveč in jih požarni zid zazna kot poplavo.
Možnih rešitev je bilo malo:
1. Dodaj na seznam izključitev za Politika DoS Obseg naslovov na požarnem zidu google. Že ob sami misli na vrsto možnih naslovov mu je začelo živčno trzati oko - ideja je bila odložena kot nora.
2. Povečajte prag odziva za udp politika poplav - tudi ne comme il faut, a kaj, ko se prikrade kdo res hudoben.
3. Prepoved klicev iz notranjega omrežja prek UDP o 443 port out.
Po branju več o izvajanju in integraciji QUIC в Google Chrome Zadnja možnost je bila sprejeta kot indikacija za ukrepanje. Dejstvo je, da ljubijo vsi povsod in neusmiljeno (ne razumem zakaj, bolje je imeti arogantno rdečelasko Firefox-ovskaya gobec bo prejel za porabljene gigabajte RAM-a), Google Chrome sprva poskuša vzpostaviti povezavo s težko prigaranim QUIC, če pa se ne zgodi čudež, se vrne k preverjenim metodam, kot je TLS, čeprav se tega izjemno sramuje.
Ustvarite vnos za storitev na požarnem zidu QUIC:
Postavimo novo pravilo in ga postavimo nekje višje v verigi.
Po vklopu pravila na seznamu anomalij mir in tišina, z izjemo resnično zlonamernih kršiteljev.
Hvala vsem za vašo pozornost.
Uporabljeni viri:
1.
2.
3.
4.
Vir: www.habr.com