一个晴朗的春日傍晚,当我不想回家,对生活和学习的不可抑制的渴望像热熨斗一样痒痒时,我产生了一个想法,那就是选择防火墙上一个诱人的杂散功能,称为“IP DOS 策略«。
经过初步的摸索和熟悉手册后,我将其设置为模式 传递并记录,看看一般的排气以及此设置的可疑用途。
几天后(当然,这样统计数据会累积起来,而不是因为我忘记了),我看着日志,当场跳舞,拍手 - 记录足够了,别玩了。 看起来再简单不过了——开启策略,阻止所有泛洪、扫描、安装 半开 进行一个小时的禁令会议,并在意识到边境已被锁定的情况下安然入睡。 但34岁的人生克服了青春的极端主义,大脑深处某个地方响起了一个细弱的声音:“让我们抬起眼皮,看看谁的地址被我们心爱的防火墙识别为恶意洪流? 好吧,按照废话的顺序。”
我们开始分析从异常列表中接收到的数据。 我通过一个简单的脚本运行地址 PowerShell的 眼睛偶然发现熟悉的字母 谷歌.
我揉了揉眼睛,眨了大约五分钟,以确保我不是在想象事情 - 事实上,在防火墙认为恶意洪水攻击者的列表中,攻击类型是 - udp洪水,地址属于好公司。
我正在挠头,同时在外部接口上设置数据包捕获以进行后续分析。 我的脑海中闪过一个灵光一闪的念头:“Google Scope 里怎么有东西被感染了? 这就是我发现的? 是的,这,这是奖项、荣誉和红地毯,还有自己的二十一点赌场,嗯,你懂的……”
解析接收到的文件 Wireshark的-嗯。
是的,确实是从地址到范围 谷歌 UDP 数据包从端口 443 下载到我设备上的随机端口。
但是,等一下......这里的协议从 UDP 上 GQUIC.
谢苗·谢梅内奇...
我立即想起了来自的报告 高负荷 亚历山德拉·托博利亚 «UDP против TCP 或者网络堆栈的未来”().
一方面,有点失望——没有桂冠,没有荣誉给你,主人。 另一方面,问题很清楚,仍然需要了解在哪里挖掘以及挖掘多少。
与 Good Corporation 进行几分钟的沟通 - 一切都会就位。 为了提高内容交付的速度,该公司 谷歌 早在 2012 年就宣布了该协议 QUIC,它可以让你消除 TCP 的大部分缺点(是的,是的,是的,在这些文章中 - и 他们谈论的是一种完全革命性的方法,但是,说实话,我希望猫的照片加载得更快,而不是所有这些意识和进步的革命)。 进一步的研究表明,许多组织现在正在转向这种类型的内容交付选项。
我的情况的问题,我认为不仅是我的情况,是最终有太多的数据包,防火墙将它们视为洪水。
可能的解决方案很少:
1. 添加到排除列表 拒绝服务策略 防火墙上的地址范围 谷歌。 一想到可能的地址范围,他的眼睛就开始紧张地抽搐——这个想法被认为是疯狂的,被搁置一边。
2. 提高响应阈值 udp洪水策略 - 也不是comme il faut,但是如果有人真的恶意潜入怎么办?
3. 禁止内网通过以下方式呼叫 UDP 上 443 端口输出。
阅读有关实施和集成的更多信息后 QUIC в Google Chrome 最后一个选项被接受作为行动的指示。 事实是,到处都被大家无情地爱着(我不明白为什么,最好有一个傲慢的红发 火狐-ovskaya 枪口将收到消耗的千兆字节 RAM), Google Chrome 最初尝试使用其来之不易的建立连接 QUIC,但如果奇迹没有发生,那么它就会返回到经过验证的方法,例如 TLS,虽然他对此感到无比羞愧。
在防火墙上为该服务创建一个条目 QUIC:
我们制定了一条新规则,并将其放置在链条中更高的位置。
开启异常列表中的规则后,一片平静,除了真正恶意的违规者。
谢谢大家的关注。
使用的资源:
1.
2.
3.
4.
来源: habr.com