Использование TCP Dump Я захватил этот пакет, который все время делает мое программное обеспечение недоступным.Правило IPTables регистрируется, а затем удаляет пакеты, чем содержит шестую строку, найденную через TCDUMP.
18:56:58.979504 IP Ubuntu-1404-trusty-64-minimal.13333 > XXX.XXX.XXX.XXX.60323: Flags [.], ack 47, win 227, options [nop,nop,TS val 26672837 ecr 695829589], length 0
0x0000: f4cc 554b 552c 5404 a6a6 8f40 0800 4500 ..UKU,[email protected]
0x0010: 0034 0ac8 4000 4006 25aa b009 6f56 bca5 [email protected]@.%...oV..
0x0020: 2e4d 2f4f eba3 ffa0 f75a aac5 8dfb 8010 .M/O.....Z......
0x0030: 00e3 72ad 0000 0101 080a 0196 fec5 2979 ..r...........)y
0x0040: 8455
После нескольких проверок, я заметил, что этот пакет имеет фиксированную часть, которая останется неизменной в каждом захваченном пакете, эта часть находится в 0x0010
смещении exactley: b009 6f56 bca5
. Прежде всего я пытаться войти этот пакет, когда прибыл с помощью IPTables:
iptables -A INPUT -p tcp --dport 13333 -m string --algo bm --hex-string "|b0096f56bca5|" -j LOG --log-prefix "b009-6f56-bca5:"
К сожалению, это Iptables правило не work.But, когда я изменил его:
iptables -A INPUT -p tcp --dport 13333 -m string --algo bm --hex-string "|bca5|" -j LOG --log-prefix "b009-6f56-bca5:"
Она работает без каких-либо проблем , Что не так с 1-м правилом? Я уже пробовал "|b009 6f56 bca5|"
без успеха.
Любая помощь будет оценена по достоинству. С уважением.
Что произойдет, если вы установите шестнадцатеричную строку в шестнадцатеричные парах, например b0 09 6f .. – BugFinder
даже это правило не работает! 'iptables -A INPUT -p tcp -dport 13333 -m string --algo bm -hex-string" | b0 09 6f 56 bc a5 | " -j LOG -log-prefix "b009-6f56-bca5::" ' – user3072470
Я, возможно, сжимаю соломинку, но что, если вы измените алгоритм на kmp – BugFinder