iptables 根据十六进制字符串匹配丢弃数据包

tag-icon tag-icon iptables tcpdump packet
iptables 根据十六进制字符串匹配丢弃数据包

我使用 tcpdump 捕获了此数据包,但我不知道如何使用 --hex-string 参数来匹配数据包。有人可以告诉我怎么做吗?

11:18:26.614537 IP (tos 0x0, ttl 17, id 19245, offset 0, flags [DF], proto UDP (17), length 37)
    x.x.187.207.1234 > x.x.152.202.6543: [no cksum] UDP, length 9
        0x0000:  f46d 0425 b202 000a b853 22cc 0800 4500  .m.%.....S"...E.
        0x0010:  0025 4b2d 4000 1111 0442 5ebe bbcf 6701  .%[email protected]^...g.
        0x0020:  98ca 697d 6989 0011 0000 ffff ffff 5630  ..i}i.........V0
        0x0030:  3230 3300 0000 0000 0000 0000            203.........

答案1

十六进制字符串需要用|符号包围。空格是可选的

iptables --append INPUT --match string --algo kmp --hex-string '|f4 6d 04 25 b2 02 00 0a|' --jump ACCEPT

请注意,字符串匹配应该是最后的手段。它很耗时,而且不可靠,因为它作用于数据包而不是连接。它还只在 TCP 连接中的第三个数据包上开始工作,这限制了您可以使用的操作(例如,您无法对连接进行 NAT)。

相关内容