Güzel bir bahar akşamı, eve gitmek istemediğimde ve bastırılamaz yaşama ve öğrenme arzusu kızgın bir demir gibi kaşınıyor ve yanıyorken, güvenlik duvarındaki "" adlı baştan çıkarıcı, başıboş bir özelliği seçme fikri ortaya çıktı.IP DOS politikası".
Ön okşamalardan ve kılavuza aşina olduktan sonra, onu moduna ayarladım. Geçiş ve Günlük, genel olarak egzoza ve bu ayarın şüpheli kullanışlılığına bakmak için.
Birkaç gün sonra (tabii ki istatistikler biriksin diye ve unuttuğum için değil), kütüklere baktım ve yerinde dans ederek ellerimi çırptım - yeterince kayıt vardı, oynamayın. Görünüşe göre bundan daha kolay olamaz; tüm taşmayı, taramayı, yüklemeyi engellemek için politikayı açın yarı açık Bir saat süreyle yasaklı oturumlar yapın ve sınırın kilitli olduğunun bilinciyle huzur içinde uyuyun. Ancak yaşamın 34. yılı gençlik maksimalizminin üstesinden geldi ve beynimizin derinliklerinde bir yerde ince bir ses duyuldu: “Göz kapaklarımızı kaldıralım ve bakalım sevgili güvenlik duvarımız kimin adreslerini kötü niyetli su baskınları olarak tanıdı? Yani saçmalık sırasına göre."
Alınan verileri anormallikler listesinden analiz etmeye başlıyoruz. Adresleri basit bir komut dosyası aracılığıyla çalıştırıyorum powershell ve gözler tanıdık harflere takılıp kalıyor google.
Hayal ürünü olmadığımdan emin olmak için gözlerimi ovuşturuyorum ve beş dakika kadar kırpıştırıyorum - aslında, güvenlik duvarının kötü niyetli akıncılar olarak kabul ettiği kişiler listesinde, saldırı türü şu şekilde: udp seli, iyi bir şirkete ait adresler.
Daha sonraki analiz için eş zamanlı olarak harici arayüzde paket yakalamayı ayarlayarak başımı kaşıyorum. Aklımdan parlak düşünceler geçiyor: “Nasıl oluyor da Google Scope'ta bir şeye virüs bulaşıyor? Ve keşfettiğim şey bu mu? Evet, bu ödüller, onurlar ve kırmızı halı, ayrıca blackjack'li kendi kumarhanesi ve anlıyor musun...”
Alınan dosyayı ayrıştırma Wireshark-ohm.
Evet, gerçekten de kapsamdaki adresten Google UDP paketleri 443 numaralı bağlantı noktasından cihazımdaki rastgele bir bağlantı noktasına indiriliyor.
Ama durun bir dakika... Burada protokol şöyle değişiyor: UDP üzerinde GQUIC.
Semyon Semenıç...
Raporu hemen hatırladım Yüksek Yük Alexandra Tobolya «UDP против TCP veya ağ yığınının geleceği"().
Bir yandan hafif bir hayal kırıklığı başlıyor - sizin için ne şöhret ne de onur var usta. Öte yandan sorun açık, nerede ve ne kadar kazılacağını anlamak kalıyor.
Good Corporation ile birkaç dakikalık iletişim ve her şey yerine oturur. İçerik dağıtım hızını artırmak amacıyla şirket, Google Protokolü 2012'de duyurdu QUICTCP'nin eksikliklerinin çoğunu ortadan kaldırmanıza olanak tanır (evet, evet, evet, bu makalelerde - и Tamamen devrim niteliğinde bir yaklaşımdan bahsediyorlar, ancak dürüst olalım, kedili fotoğrafların daha hızlı yüklenmesini istiyorum, tüm bu bilinç ve ilerleme devrimlerini değil). Daha fazla araştırmanın gösterdiği gibi, birçok kuruluş artık bu tür içerik dağıtım seçeneğine geçiş yapıyor.
Benim durumumdaki ve sanırım sadece benim durumumdaki sorun, sonuçta çok fazla paketin olması ve güvenlik duvarının bunları bir sel olarak algılamasıydı.
Birkaç olası çözüm vardı:
1. Şunun için hariç tutma listesine ekleyin: DoS Politikası Güvenlik duvarındaki adreslerin kapsamı Google. Olası adreslerin çeşitliliği aklına geldikçe gözleri gergin bir şekilde seğirmeye başladı; bu fikir çılgınca olduğu gerekçesiyle bir kenara bırakıldı.
2. Yanıt eşiğini artırın udp taşkın politikası - ayrıca comme il faut değil ama ya gerçekten kötü niyetli biri içeri girerse.
3. Dahili ağdan aramaları yasaklayın UDP üzerinde 443 liman çıkışı.
Uygulama ve entegrasyon hakkında daha fazlasını okuduktan sonra QUIC в Google Chrome Son seçenek eylem göstergesi olarak kabul edildi. Gerçek şu ki, herkes tarafından her yerde ve acımasızca seviliyor (nedenini anlamıyorum, kibirli bir kızıl saçlı olmak daha iyi) Firefox-ovskaya namlu tüketilen gigabayt RAM için alacak), Google Chrome başlangıçta zorlukla kazanılan gücünü kullanarak bir bağlantı kurmaya çalışır QUIC, ancak bir mucize gerçekleşmezse, o zaman kanıtlanmış yöntemlere geri döner. TLSbundan son derece utanmasına rağmen.
Güvenlik duvarında hizmet için bir giriş oluşturun QUIC:
Yeni bir kural belirliyoruz ve onu zincirde daha üst bir yere yerleştiriyoruz.
Gerçekten kötü niyetli ihlalciler hariç, anormallikler listesindeki kuralı açtıktan sonra huzur ve sessizlik.
İlginiz için herkese teşekkürler.
Kullanılan kaynaklar:
1.
2.
3.
4.
Kaynak: habr.com
