主页 / server / 问题 / 1073350
Accepted
light9876
Asked: 2021-08-03 12:29:51 +0800 CST

如何阻止点“。” 在 iptables 规则中?

  • 772

我的 iptables 中有这条规则来阻止以 : 结尾的域.watch

sudo iptables -A OUTPUT -j DROP -m string --string ".watch" --algo kmp

但问题是.无法匹配。所以上面的行不匹配任何东西。但是,如果我从中删除点.watchwatch它就可以了。

我怎样才能阻止点“。” 在 iptables 规则中?

iptables

1 个回答

  1. Best Answer

    从语法上讲,这似乎是正确的,但是您的方法不适合此目的。字符串补丁匹配数据包中任意位置的字符串:

    • 您正在丢弃任何具有watch.watch任何地方的数据包。这很可能导致误报,甚至引入了新的拒绝服务攻击向量。
    • 它无法处理加密流量。它无法阻止大部分网络流量
    • bm尽管匹配算法( Boyer–Moore & Knuth–Pratt–Morris)有相对较好的选择,kmp但字符串过滤器的使用仍然是计算密集型的。

    该文档也明确警告这一点:

    请谨慎使用此匹配项。很多人想用这个匹配来阻止蠕虫,以及 DROP 目标。这是一个重大错误。它会被任何 IDS 规避方法打败。

    以类似的方式,很多人一直在使用这种匹配作为一种手段,通过丢弃任何包含字符串 POST 的 HTTP 数据包来停止 HTTP 中的特定功能,如 POST 或 GET。请理解,这项工作最好由过滤代理完成。此外,任何带有 POST 字样的 HTML 内容都将被前一种方法丢弃。这个匹配被设计成能够对用户态感兴趣的数据包进行排队以便更好地分析,仅此而已。基于此丢弃数据包将被任何 IDS 规避方法击败。

    对于您要实现的目标,有更好的选择:

    • 基于 DNS 的过滤。任何 DNS 服务器都可以做到这一点。例如,Dnsmasq是一个常见的轻量级 DNS 转发器:您可以添加address=/watch/0.0.0.0到它的配置中。
    • 基于 Web 代理的过滤。
    • 3

相关问题