Início / unix / Perguntas / 781885
Accepted
metablaster
Asked: 2024-08-14 15:07:55 +0800 CST

Construções bit a bit para corresponder aos sinalizadores TCP em nftables

  • 772

Não consigo encontrar nenhuma documentação que explique a sintaxe e a avaliação dos seguintes exemplos de construção:

add rule filter output tcp flags & (syn | ack) == syn | ack
add rule filter output tcp flags & (fin | syn) != 0

Eu li a resposta do @AB aqui: logging TCP flags .

Isso apenas explica o propósito dessas construções ( TCPsinalizadores de correspondência), mas eu gostaria de saber a sintaxe e como funciona a avaliação das expressões junto com os operadores.

Particularmente o significado dos operadores "bit a bit" e como eles são avaliados nas flagsexpressões como um todo.

Também não está claro para mim o que != 0faz e, em particular, o propósito do &operador inicial.

Eu sei que eles são OR, AND etc., mas não entendo como isso se aplica às nftablesregras.

Alguns exemplos mais complexos também poderiam ajudar.

tcp

1 respostas

  1. Best Answer

    Usar operadores bit a bit dessa maneira é uma abordagem comum para extrair valores de bits específicos. Assim, com flags TCP, se você se preocupa apenas com SYN e ACK ( ???A??S?), você “e” os flags com “SYN ou ACK”, o que limpa todos os outros flags ( 000A00S0). Você pode então comparar o resultado com 0 se você se importa apenas se um dos bits está definido ou com uma combinação específica de sinalizadores se quiser uma correspondência exata.

    Na primeira regra, a expressão é tcp flags & (syn | ack) == syn | ack. Trabalhando por precedência:

    • (syn | ack)calcula a combinação de bits que representam SYN ou ACK
    • tcp flags & (syn | ack)calcula a interseção dos flags TCP e “SYN ou ACK”: o resultado é apenas os flags SYN e/ou ACK, se um ou ambos estiverem configurados
    • tcp flags & (syn | ack) == syn | ackcompara o resultado da expressão anterior comsyn | ack

    O efeito geral é que a expressão retorna verdadeira se os sinalizadores SYN e ACK estiverem definidos. Todos os outros sinalizadores são ignorados.

    Outra maneira de ver isso é esta:

    SYN em sinalizadores ACK em sinalizadores Sinalizadores & (SYN ou ACK) SYN ou ACK ==
    0 0 00 11 Falso
    0 1 01 11 Falso
    1 0 10 11 Falso
    1 1 11 11 Verdadeiro

    Na segunda regra, a expressão é tcp flags & (fin | syn) != 0. Trabalhando novamente:

    • (fin | syn)calcula a combinação de bits que representam FIN ou SYN
    • tcp flags & (fin | syn)calcula a intersecção dos flags TCP e “FIN ou SYN”: o resultado é apenas os flags FIN e/ou SYN, se um ou ambos estiverem configurados (teoricamente; na prática apenas um pode ser configurado)
    • tcp flags & (fin | syn) != 0tem sucesso se o resultado da expressão anterior for diferente de zero

    O efeito geral é que a expressão retorna verdadeiro se os sinalizadores FIN ou SYN forem definidos. Todos os outros sinalizadores são ignorados.

    Outra maneira de ver isso é esta:

    FIN em bandeiras SYN em sinalizadores Sinalizadores & (FIN ou SYN) != 0
    0 0 00 Falso
    0 1 01 Verdadeiro
    1 0 10 Verdadeiro
    1 1 11 Verdadeiro
    • 1

relate perguntas