在一個晴朗的春日傍晚,當我不想回家,對生活和學習的不可抑制的渴望像熱熨斗一樣癢癢時,我產生了一個想法,那就是選擇防火牆上一個誘人的雜散功能,稱為“IP DOS 策略“。
經過初步的摸索和熟悉手冊後,我將其設定為模式 傳遞並記錄,看看一般的排氣以及此設定的可疑用途。
幾天後(當然,這樣統計數據會累積起來,而不是因為我忘記了),我看著日誌,當場跳舞,拍手 - 記錄足夠了,別玩了。 看起來再簡單不過了——開啟策略,阻止所有泛洪、掃描、安裝 半開 進行一個小時的禁令會議,並在意識到邊境已被鎖定的情況下安然入睡。 但34歲的人生剋服了青春的極端主義,大腦深處某個地方響起了一個細弱的聲音:「讓我們抬起眼皮,看看誰的地址被我們心愛的防火牆識別為惡意洪流? 好吧,按照廢話的順序。”
我們開始分析從異常列表中接收到的資料。 我透過一個簡單的腳本運行地址 PowerShell的 眼睛偶然發現熟悉的字母 谷歌.
我揉了揉眼睛,眨了大約五分鐘,以確保我不是在想像事情 - 事實上,在防火牆認為惡意洪水攻擊者的清單中,攻擊類型是 - udp洪水,地址屬於好公司。
我正在撓頭,同時在外部介面上設置資料包捕獲以進行後續分析。 我的腦海中閃過一個靈光一閃的念頭:「Google Scope 裡怎麼有東西被感染了? 這就是我發現的? 是的,這,這是獎項、榮譽和紅地毯,還有自己的二十一點賭場,嗯,你懂的……”
解析接收到的文件 Wireshark的-歐姆。
是的,確實是從地址到範圍 谷歌 UDP 封包從連接埠 443 下載到我裝置上的隨機連接埠。
但是,等一下......這裡的協議從 UDP 上 GQUIC.
謝苗·謝梅內奇...
我立即想起了來自的報告 高負載 亞歷珊卓·托博利亞 «UDP против TCP 或網路堆疊的未來」().
一方面,有點失望——沒有桂冠,沒有榮譽給你,主人。 另一方面,問題很清楚,仍然需要了解在哪裡挖掘以及挖掘多少。
與 Good Corporation 進行幾分鐘的溝通 - 一切都會就位。 為了提高內容交付的速度,該公司 谷歌 早在 2012 年就宣布了該協議 QUIC,它可以讓你消除 TCP 的大部分缺點(是的,是的,是的,在這些文章中 - и 他們談論的是一種完全革命性的方法,但是,說實話,我希望貓的照片加載得更快,而不是所有這些意識和進步的革命)。 進一步的研究表明,許多組織現在正在轉向這種類型的內容交付選項。
我的情況的問題,我認為不僅是我的情況,是最終有太多的資料包,防火牆將它們視為洪水。
可能的解決方案很少:
1. 新增到排除列表 拒絕服務策略 防火牆上的地址範圍 谷歌. При одной только мысли о диапазоне возможных адресов глазик начал нервно дергаться — отложена идея как бредовая.
2. 提高響應閾值 udp洪水策略 - 也不是comme il faut,但如果有人真的惡意潛入怎麼辦?
3. 禁止內網透過以下方式呼叫 UDP 上 443 連接埠輸出。
閱讀有關實施和整合的更多資訊後 QUIC в 谷歌瀏覽器 最後一個選項被接受作為行動的指示。 事實是,到處都被大家無情地愛著(我不明白為什麼,最好有一個傲慢的紅發 火狐瀏覽器-ovskaya 槍口將收到消耗的千兆位元組 RAM), 谷歌瀏覽器 最初嘗試使用其來之不易的建立連接 QUIC,但如果奇蹟沒有發生,那麼它就會回到經過驗證的方法,例如 TLS,雖然他對此感到無比羞恥。
在防火牆上為該服務建立一個條目 QUIC:
我們制定了一條新規則,並將其放置在鏈條中更高的位置。
開啟異常清單中的規則後,一片平靜,除了真正惡意的違規者。
謝謝大家的關注。
使用的資源:
1.
2.
3.
4.
來源: www.habr.com