Mit TCP-Dump ich erfasst dieses Paket, die die ganze Zeit ist, dass meine Software nicht verfügbar.IPTables Regel zu protokollieren dann Pakete zu löschen als enthält eine Hex-Zeichenfolge gefunden über TCDUMP
18:56:58.979504 IP Ubuntu-1404-trusty-64-minimal.13333 > XXX.XXX.XXX.XXX.60323: Flags [.], ack 47, win 227, options [nop,nop,TS val 26672837 ecr 695829589], length 0
0x0000: f4cc 554b 552c 5404 a6a6 8f40 0800 4500 ..UKU,[email protected]
0x0010: 0034 0ac8 4000 4006 25aa b009 6f56 bca5 [email protected]@.%...oV..
0x0020: 2e4d 2f4f eba3 ffa0 f75a aac5 8dfb 8010 .M/O.....Z......
0x0030: 00e3 72ad 0000 0101 080a 0196 fec5 2979 ..r...........)y
0x0040: 8455
Nach mehreren Untersuchungen aufgefallen, dass dieses Paket ein festes Teil aufweist, das in jedem erfassten Paket unverändert bleibt, ist dieser Teil exactley im Offset 0x0010
liegt: b009 6f56 bca5
. Zunächst einmal versuche ich, dieses Paket zu melden Sie sich bei der Verwendung von iptables angekommen:
iptables -A INPUT -p tcp --dport 13333 -m string --algo bm --hex-string "|b0096f56bca5|" -j LOG --log-prefix "b009-6f56-bca5:"
Leider ist dieses iptables Regel work.But nicht, wann ich es geändert:
iptables -A INPUT -p tcp --dport 13333 -m string --algo bm --hex-string "|bca5|" -j LOG --log-prefix "b009-6f56-bca5:"
Es ohne Probleme arbeiten . Was ist falsch an der 1. Regel? Ich habe bereits "|b009 6f56 bca5|"
ohne Erfolg versucht.
Jede Hilfe wird geschätzt. Mit freundlichen Grüßen.
versuchen Was passiert, wenn Sie die Hex-String an den hex paarweise zB b0 09 6f .. gesetzt geschieht – BugFinder
Selbst diese Regel funktioniert nicht! 'iptables -A INPUT -p tcp --dport 13333 -m Zeichenkette --algo bm --hex-Zeichenkette" | b0 09 6f 56 bc a5 | " -j LOG --log-Präfix "b009-6f56-bca5::" " – user3072470
ich vielleicht auf Strohhalme klammern, aber was ist, wenn Sie den Algo zu kmp ändern – BugFinder