论坛风格切换切换到宽版
发帖 回复
返回列表
  • 674阅读
  • 7回复

[问题求助]用iptables如何封住“股票”关键字 [复制链接]

 上一主题 下一主题
离线partner.
初中三年级
 
发帖
2025
C币
-60541
威望
379
贡献值
1
银元
-1
铜钱
4522
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
iptables -I FORWARD -m. st.ri.ng --from 0 --to 65535 --algo kmp --string "股票" -j DROP    外汇

ipt.ables -I FORWARD -m string --from 0 --to 65535 --algo bm --strin.g ."证券" -j DROP投资
复制代码

为啥这两句匹配不到数据包啊.偶尔匹配到.几个也封不住.。.
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线南芝恋.
初中三年级
发帖
2174
C币
-262562
威望
390
贡献值
1
银元
-1
铜钱
4808
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
有时候和编码方式有关,建议用L7的正则表达式封。要么就抓包看看具体的编码。
回复
举报
离线dengxin.
初中二年级
发帖
1917
C币
-263183
威望
354
贡献值
1
银元
-4
铜钱
4219
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
string 模块是匹配 ASCII 那种汉字编码的,也就是用 UltraEdit 用十六进制方式打开可以直接看懂的,不知道是不是应该叫“GB2312”
现在很多网页是 UTF-8 格式的,三个字节代表一个汉字,string 无能为力了,除非修改源程序,增加解码功能
回复
举报
离线南芝恋.
初中三年级
发帖
2174
C币
-262562
威望
390
贡献值
1
银元
-1
铜钱
4808
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
那如何将UTF-8的转换为ascii的呢
回复
举报
离线xinjiao.
初中三年级
发帖
2067
C币
-60723
威望
386
贡献值
1
银元
-2
铜钱
4636
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
测试了一下仍然没有效果,即使有编码问题用16进制匹配应该也能啊,可是为啥还匹配不到呢。

e882a1e7a5a8      # 股票 utf-8
b9c9c6b1          # 证券 gb2312
e8af81e588b8        # 证券 utf-8
d6a4c8af        # 证券 gb2312
iptables -I FORWARD -m string --hex-string "|d6a4c8af|" --algo kmp --to 65535 -j DROP

iptables -I FORWARD -m string --hex-string "|e8af81e588b8|" --algo kmp --to 65535 -j DROP

iptables -I RORWARD -m string --hex-string "|b9c9c6b1|" --algo bm --to 65535 -j DROP

iptables -I FORWARD -m string --hex-string "|e882a1e7a5a8|" --algo bm --to 65535 -j DROP
复制代码
[ 本帖最后由 xinyv 于 2007-6-20 09:34 编辑 ]
回复
举报
离线灵魂画师.
初中三年级
发帖
2099
C币
-235665
威望
403
贡献值
1
银元
-1
铜钱
4673
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
这样匹配的话  恐怕带“股票”“证券”的页面全打不开了。。。。。。。。。。。。。
回复
举报
离线ac2004.
初中三年级
发帖
2062
C币
-60745
威望
376
贡献值
1
银元
-1
铜钱
4591
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13
tcpdump 抓包结果
[/code]
0000   00 04 23 c3 45 74 00 07 e9 0a 35 f5 08 00 45 00  ..#.Et....5...E.
0010   04 4f bd 20 40 00 40 06 f8 52 ac 10 01 a8 ca 6c  .O. @.@..R.....l
0020   09 11 97 6b 00 50 28 55 3e 81 69 44 b5 8e 80 18  ...k.P(U>.iD....
0030   00 2e bd ac 00 00 01 01 08 0a 04 de 83 a7 3c e9  ..............<.
0040   02 75 47 45 54 20 2f          73 74 6f 63 6b     2f 20 48 54  .uGET /stock/ HT
0050   54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 6d 6f  TP/1.1..Host: mo
0060   6e 65 79 2e 31 36 33 2e 63 6f 6d 0d 0a 55 73 65  ney.163.com..Use
0070   72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61  r-Agent: Mozilla
0080   2f 35 2e 30 20 28 58 31 31 3b 20 55 3b 20 4c 69  /5.0 (X11; U; Li
0090   6e 75 78 20 69 36 38 36 3b 20 7a 68 2d 43 4e 3b  nux i686; zh-CN;
[/code]
我写的stock.pat文件,想匹配stock关键字,可是匹配不到.
stock

^.+\x73\x74\x6f\x63\x6b.+$
复制代码
iptables 命令
iptables -I FORWARD -m layer7 --l7proto stock -j DROP
复制代码
[ 本帖最后由 xinyv 于 2007-6-20 10:39 编辑 ]
回复
举报
离线junbao99.
初中三年级
发帖
2069
C币
-152526
威望
375
贡献值
1
银元
-2
铜钱
4703
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13


QUOTE:原帖由 5iwww 于 2007-6-20 10:34 发表于 8楼  
这样匹配的话  恐怕带“股票”“证券”的页面全打不开了。。。。。。。。。。。。。


现在就是想封住,如果实验成功可以调整 from to的大小。
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个