Једне лепе пролећне вечери, када нисам желео да идем кући, а незадржива жеља да живим и учим је сврбила и пекла као ужарено гвожђе, појавила се идеја да се позабавим примамљивом залуталом карактеристиком на заштитном зиду под називом „ИП ДОС политика".
После прелиминарног миловања и упознавања са упутством, поставио сам га у режим Пасс-анд-Лог, да погледамо ауспух уопште и сумњиву корисност ове поставке.
После пар дана (да би се статистика акумулирала, наравно, а не зато што сам заборавио), погледао сам трупце и, плешући на лицу места, пљеснуо рукама - било је довољно плоча, не играјте се. Чини се да не може бити једноставније - укључите политику да блокирате све поплаве, скенирање, инсталирање напола отворен седнице са забраном на сат времена и мирно спавати са свешћу о томе да је граница закључана. Али 34. година живота надјачала је младалачки максимализам и негде у позадини мозга зачуо се танак глас: „Хајде да подигнемо капке и видимо чије адресе је наш вољени заштитни зид препознао као злонамерне поплаве? Па редом глупости“.
Почињемо да анализирамо примљене податке са листе аномалија. Покрећем адресе кроз једноставну скрипту ПоверСхелл а очи наиђу на позната слова google.
Трљам очи и трепћем око пет минута да бих се уверио да не замишљам ствари - заиста, на листи оних које је заштитни зид сматрао злонамерним флоодерима, тип напада је - удп флоод, адресе које припадају доброј корпорацији.
Чешем се по глави, истовремено постављајући хватање пакета на спољни интерфејс за накнадну анализу. Светле мисли ми пролазе кроз главу: „Како то да је нешто заражено у Гоогле Сцопе-у? И ово сам открио? Да, ово, ово су награде, почасти и црвени тепих, и сопствени казино са блекџеком и, добро, разумете...”
Рашчлањивање примљене датотеке Виресхарк-охм.
Да, заиста из адресе из делокруга гоогле УДП пакети се преузимају са порта 443 на насумични порт на мом уређају.
Али, чекај мало... Овде се мења протокол УДП на ГКУИЦ.
Семјон Семенич...
Одмах се сетим извештаја из ХигхЛоад Александра Тобоља «УДП против ТЦП или будућност мрежног стека"().
С једне стране наступа благо разочарење - нема ловорика, нема почасти за тебе, господару. С друге стране, проблем је јасан, остаје да се разуме где и колико копати.
Пар минута комуникације са Гоод Цорпоратион - и све долази на своје место. У покушају да побољша брзину испоруке садржаја, компанија гоогле објавио протокол још 2012. године КУИЦ, што вам омогућава да уклоните већину недостатака ТЦП-а (да, да, да, у овим чланцима - и Они говоре о потпуно револуционарном приступу, али, будимо искрени, желим да се брже учитавају фотографије са мачкама, а не све ове револуције свести и напретка). Као што је показало даља истраживања, многе организације сада прелазе на ову врсту опције испоруке садржаја.
Проблем у мом случају и, мислим, не само у мом случају, био је у томе што на крају има превише пакета и заштитни зид их доживљава као поплаву.
Било је неколико могућих решења:
1. Додај на листу искључења за ДоС политика Опсег адреса на заштитном зиду гоогле. Само на помисао на распон могућих адреса, око му је почело нервозно трзати - идеја је остављена по страни као луда.
2. Повећајте праг одговора за удп политика поплава - такође не цомме ил фаут, али шта ако се неко заиста зао ушуња.
3. Забранити позиве из интерне мреже преко УДП на 443 порт оут.
Након што прочитате више о имплементацији и интеграцији КУИЦ в гоогле цхроме Последња опција је прихваћена као индикација за акцију. Чињеница је да сви свуда воле и немилосрдно (не разумем зашто, боље је имати арогантну црвенокосу фирефок-овска њушка ће добити за потрошене гигабајте РАМ-а), гоогле цхроме у почетку покушава да успостави везу користећи своје тешко зарађене КУИЦ, али ако се чудо не догоди, онда се враћа на проверене методе као ТЛС, иако се тога изузетно стиди.
Направите унос за услугу на заштитном зиду КУИЦ:
Поставили смо ново правило и поставили га негде више у ланцу.
Након укључивања правила на листи аномалија, мир и тишина, са изузетком истински злонамерних прекршилаца.
Хвала свима на пажњи.
Коришћени ресурси:
1.
2.
3.
4.
Извор: ввв.хабр.цом