Используя TCP Dump, я захватил этот пакет, который все время делает мое программное обеспечение недоступным.
18:56:58.979504 IP Ubuntu-1404-trusty-64-minimal.13333 > XXX.XXX.XXX.XXX.60323: Flags [.], ack 47, win 227, options [nop,nop,TS val 26672837 ecr 695829589], length 0
0x0000: f4cc 554b 552c 5404 a6a6 8f40 0800 4500 ..UKU,[email protected].
0x0010: 0034 0ac8 4000 4006 25aa b009 6f56 bca5 .4..@.@.%...oV..
0x0020: 2e4d 2f4f eba3 ffa0 f75a aac5 8dfb 8010 .M/O.....Z......
0x0030: 00e3 72ad 0000 0101 080a 0196 fec5 2979 ..r...........)y
0x0040: 8455
После нескольких проверок я заметил, что этот пакет имеет фиксированную часть, которая остается неизменной в каждом захваченном пакете, эта часть находится по смещению 0x0010
в точности: b009 6f56 bca5
. Прежде всего, я пытаюсь зарегистрировать этот пакет, когда он прибыл с помощью iptables:
iptables -A INPUT -p tcp --dport 13333 -m string --algo bm --hex-string "|b0096f56bca5|" -j LOG --log-prefix "b009-6f56-bca5:"
К сожалению, это правило iptables не работает. Но когда я изменил его на:
iptables -A INPUT -p tcp --dport 13333 -m string --algo bm --hex-string "|bca5|" -j LOG --log-prefix "b009-6f56-bca5:"
Работает без проблем. Что не так с 1-м правилом? Я уже пробовал "|b009 6f56 bca5|"
безуспешно.
Любая помощь будет оценена. С наилучшими пожеланиями.
iptables -A INPUT -p tcp --dport 13333 -m string --algo bm --hex-string "|b0 09 6f 56 bc a5|" -j LOG --log-prefix "b009-6f56-bca5: : "
- person user3072470   schedule 09.06.2016iptables -A INPUT -p tcp --dport 13333 -m string --algo kmp --hex-string "|b0 09 6f 56 bc a5|" -j LOG --log-prefix "b009-6f56-bca5: "
Тот же результат. Не работает - person user3072470   schedule 09.06.2016bca5
, но не дляb0096f56bca5
- person user3072470   schedule 09.06.2016