Isang magandang gabi ng tagsibol, nang ayaw kong umuwi, at ang hindi mapigilang pagnanais na mabuhay at matuto ay nangangati at nagniningas na parang mainit na bakal, ang ideya ay lumitaw na pumili sa isang mapang-akit na naliligaw na tampok sa firewall na tinatawag na "Patakaran sa IP DOS".
Pagkatapos ng mga paunang haplos at pamilyar sa manwal, itinakda ko ito sa mode Pass-and-Log, upang tingnan ang tambutso sa pangkalahatan at ang kahina-hinalang pagiging kapaki-pakinabang ng setting na ito.
Pagkaraan ng ilang araw (upang ang mga istatistika ay maipon, siyempre, at hindi dahil nakalimutan ko), tumingin ako sa mga log at, sumasayaw sa lugar, pumalakpak ng aking mga kamay - may sapat na mga tala, huwag makipaglaro. Mukhang hindi ito maaaring maging mas simple - i-on ang patakaran upang harangan ang lahat ng pagbaha, pag-scan, pag-install kalahating bukas session na may pagbabawal sa loob ng isang oras at matulog nang mapayapa na may kamalayan sa katotohanan na ang hangganan ay naka-lock. Ngunit ang ika-34 na taon ng buhay ay nagtagumpay sa pagiging maximalism ng kabataan at sa isang lugar sa likod ng utak ay isang manipis na tinig ang tumunog: "Itaas natin ang ating mga talukap at tingnan kung kaninong mga address ang ating minamahal na firewall na kinikilala bilang mga malisyosong pagbaha? Well, in order of nonsense."
Nagsisimula kaming pag-aralan ang natanggap na data mula sa listahan ng mga anomalya. Nagpapatakbo ako ng mga address sa pamamagitan ng isang simpleng script Powershell at ang mga mata ay natitisod sa pamilyar na mga titik google.
Kinusot ko ang aking mga mata at kumurap ng humigit-kumulang limang minuto upang matiyak na hindi ako nag-iimagine ng mga bagay - sa katunayan, sa listahan ng mga itinuturing ng firewall na malisyosong pagbaha, ang uri ng pag-atake ay - udp baha, mga address na kabilang sa magandang korporasyon.
Napakamot ako ng ulo, sabay-sabay na nagse-set up ng packet capture sa panlabas na interface para sa kasunod na pagsusuri. Ang mga maliliwanag na kaisipan ay pumapasok sa aking isipan: βPaano ito na-infect sa Google Scope? At natuklasan ko ito? Oo, ito, ito ay mga parangal, karangalan at isang red carpet, at ang sarili nitong casino na may blackjack at, well, naiintindihan mo...β
Pag-parse ng natanggap na file Wireshark-oh.
Oo, sa katunayan mula sa address mula sa saklaw Google Ang mga UDP packet ay ipinapadala mula sa port 443 patungo sa isang random na port sa aking device.
Ngunit, sandali... Dito nagbabago ang protocol UDP sa GQUIC.
Semyon Semenych...
Naalala ko tuloy yung report galing HighLoad Alexandra Tobolya Β«UDP ΠΏΡΠΎΡΠΈΠ² TCP o ang hinaharap ng network stack"().
Sa isang banda, may bahagyang pagkabigo - walang papuri, walang karangalan para sa iyo, master. Sa kabilang banda, ang problema ay malinaw, nananatili itong maunawaan kung saan at kung magkano ang maghukay.
Ilang minuto ng komunikasyon sa Good Corporation - at lahat ay nahuhulog sa lugar. Sa isang pagtatangka upang mapabuti ang bilis ng paghahatid ng nilalaman, ang kumpanya Google inihayag ang protocol noong 2012 QUIC, na nagpapahintulot sa iyo na alisin ang karamihan sa mga pagkukulang ng TCP (oo, oo, oo, sa mga artikulong ito - ΠΈ Pinag-uusapan nila ang isang ganap na rebolusyonaryong diskarte, ngunit, maging tapat tayo, gusto kong mas mabilis na mag-load ang mga larawan kasama ang mga pusa, at hindi lahat ng mga rebolusyong ito ng kamalayan at pag-unlad). Gaya ng ipinakita ng karagdagang pananaliksik, maraming organisasyon ang lumilipat na ngayon sa ganitong uri ng opsyon sa paghahatid ng nilalaman.
Ang problema sa aking kaso at, sa palagay ko, hindi lamang sa aking kaso, ay sa huli ay napakaraming packet at ang firewall ay nakikita ang mga ito bilang isang baha.
Mayroong ilang mga posibleng solusyon:
1. Idagdag sa listahan ng pagbubukod para sa Patakaran ng DoS Saklaw ng mga address sa firewall Google. Sa pag-iisip pa lamang ng hanay ng mga posibleng address, ang kanyang mata ay nagsimulang kumibot sa kaba - ang ideya ay isinantabi na parang baliw.
2. Taasan ang threshold ng pagtugon para sa patakaran sa pagbaha ng udp - hindi rin comme il faut, pero paano kung may pumasok na talagang masama.
3. Ipagbawal ang mga tawag mula sa panloob na network sa pamamagitan ng UDP sa 443 port out.
Matapos basahin ang higit pa tungkol sa pagpapatupad at pagsasama QUIC Π² Google Chrome Ang huling opsyon ay tinanggap bilang indikasyon para sa pagkilos. Ang katotohanan ay iyon, minamahal ng lahat saanman at walang awa (Hindi ko maintindihan kung bakit, mas mahusay na magkaroon ng isang mapagmataas na pulang buhok Firefox-ovskaya muzzle ay makakatanggap para sa natupok na gigabytes ng RAM), Google Chrome sa una ay sumusubok na magtatag ng isang koneksyon gamit ang pinaghirapan nito QUIC, ngunit kung ang isang himala ay hindi mangyayari, pagkatapos ay bumalik ito sa mga napatunayang pamamaraan tulad ng TLS, bagama't labis niyang ikinahihiya ito.
Gumawa ng entry para sa serbisyo sa firewall QUIC:
Nag-set up kami ng bagong panuntunan at inilalagay ito sa mas mataas na lugar sa chain.
Matapos i-on ang panuntunan sa listahan ng mga anomalya, kapayapaan at katahimikan, maliban sa mga tunay na malisyosong lumalabag.
Salamat sa lahat ng iyong atensyon.
Mga mapagkukunang ginamit:
1.
2.
3.
4.
Pinagmulan: www.habr.com