特定の文字列を含むトラフィックをブロックしたいです"anypattern"。
正しい iptables ルールは次のとおりです。
iptables -m string --algo bm --string "anypattern" -j DROP
データは複数のTCPシーケンスに分割できます。そして、"anypattern"文字列が2つのパケットに分割される危険があります。たとえば、パケット1にはが含まれ"anyp"、2番目のパケットにはが含まれます。"attern"
iptablesにTCPの断片化を検出し、最終的なTCPペイロードを確認させる方法は?それとも、この種の問題に対する解決策はありますか?
答え1
私はnetfilter文字列の拡張がこれを安全に実行するのに適したツールだとは思わない。文字列を検出するために既存のiptablesを使用するのは簡単ですが、より安定した結果が必要な場合は、専用のアプリケーション層IDS(Es。スリカタワー)