En vacker vårkväll, när jag inte ville gå hem, och den obotliga lusten att leva och lära kliade och brann som ett hett strykjärn, väcktes idén att plocka på ett frestande slingrande inslag på brandväggen som heter "IP DOS-policy".
Efter preliminära smekningar och bekantskap med manualen satte jag upp den i läge Pass-och-logga, för att titta på avgaserna i allmänhet och den tveksamma användbarheten av denna inställning.
Efter ett par dagar (för att statistiken skulle ackumuleras, naturligtvis, och inte för att jag glömde), tittade jag på stockarna och dansade på plats och klappade händerna - det fanns tillräckligt med rekord, lek inte. Det verkar som att det inte kunde vara enklare - aktivera policyn för att blockera all översvämning, skanning, installation halvöppen sessioner med förbud i en timme och sova lugnt med medvetenhet om att gränsen är låst. Men det 34:e levnadsåret övervann ungdomlig maximalism och någonstans längst bak i hjärnan lät en tunn röst: "Låt oss lyfta våra ögonlock och se vems adresser vår älskade brandvägg kände igen som illvilliga översvämningar? Tja, i ordning av nonsens."
Vi börjar analysera mottagna data från listan över anomalier. Jag kör adresser genom ett enkelt skript powershell och ögonen snubblar över bekanta bokstäver google.
Jag gnuggar mig i ögonen och blinkar i ungefär fem minuter för att vara säker på att jag inte inbillar mig saker - faktiskt, på listan över de som brandväggen ansåg vara skadliga översvämningar, är typen av attack - udp översvämning, адреса, принадлежащие корпорации добра.
Jag kliar mig i huvudet och ställer samtidigt in paketfångning på det externa gränssnittet för efterföljande analys. Ljusa tankar går igenom mitt huvud: ”Hur kommer det sig att något är infekterat i Google Scope? Och det här är vad jag upptäckte? Ja, det här, det här är utmärkelser, utmärkelser och en röd matta, och ett eget kasino med blackjack och, ja, du förstår...”
Parsar den mottagna filen Wireshark-ohm.
Ja, faktiskt från adressen från omfattningen Google UDP-paket laddas ner från port 443 till en slumpmässig port på min enhet.
Men, vänta lite... Här ändras protokollet från UDP på GQUIC.
Semyon Semenych...
Jag minns genast rapporten från Hög last Alexandra Tobolya «UDP против TCP eller framtiden för nätverksstacken"().
Å ena sidan inträder en liten besvikelse - inga lagrar, ingen heder åt dig, mästare. Å andra sidan är problemet tydligt, det återstår att förstå var och hur mycket man ska gräva.
Ett par minuters kommunikation med Good Corporation - och allt faller på plats. I ett försök att förbättra hastigheten på innehållsleverans, företaget Google tillkännagav protokollet redan 2012 QUIC, som låter dig ta bort de flesta av bristerna i TCP (ja, ja, ja, i dessa artiklar - и De pratar om ett helt revolutionerande tillvägagångssätt, men, låt oss vara ärliga, jag vill att bilder med katter ska laddas snabbare, och inte alla dessa revolutioner av medvetande och framsteg). Som ytterligare forskning har visat, byter många organisationer nu till denna typ av innehållsleveransalternativ.
Problemet i mitt fall och, tror jag, inte bara i mitt fall, var att det i slutändan är för många paket och brandväggen uppfattar dem som en översvämning.
Det fanns få möjliga lösningar:
1. Lägg till i undantagslistan för DoS Policy Omfattning av adresser på brandväggen Google. Bara vid tanken på utbudet av möjliga adresser började hans öga rycka nervöst – idén lades åt sidan som galen.
2. Öka svarströskeln för udp översvämningspolitik – inte heller comme il faut, men tänk om någon riktigt illvillig smyger in.
3. Förbjud samtal från det interna nätverket via UDP på 443 port ut.
Efter att ha läst mer om implementering och integration QUIC в Google Chrome Det sista alternativet accepterades som en indikation på åtgärd. Faktum är att, älskad av alla överallt och skoningslöst (jag förstår inte varför, det är bättre att ha en arrogant rödhårig firefox-ovskaya nosparti kommer att ta emot för de förbrukade gigabyte RAM), Google Chrome först försöker upprätta en anslutning med hjälp av sin surt förvärvade QUIC, men om ett mirakel inte händer, då återgår det till beprövade metoder som TLS, även om han skäms extremt över det.
Создаем на файрволе запись для сервиса QUIC:
Настраиваем новое правило и размещаем его где-нибудь повыше в цепочке.
Efter att ha slagit på regeln i listan över anomalier, lugn och ro, med undantag för verkligt illvilliga överträdare.
Tack alla för er uppmärksamhet.
Använda resurser:
1.
2.
3.
4.
Källa: will.com