IptablesがドロップしたHTTP 302パケットには、疑わしいドメイン文字列が含まれています。

IptablesがドロップしたHTTP 302パケットには、疑わしいドメイン文字列が含まれています。

ブロックするHTTP 302パケットは次のとおりです。

Header

HTTP/1.1 302 Found
Location: http://www.yxjiaodai.com/ad/?id=1023&url=http%3A//a1819.oadz.com/link/C/1819/3081547/dtMdon4l79FwsIo2JXEHqtdp5eQ_/p007/0/http%3A//www.womai.com/AdvRedirect.do%3Furi%3Dhttp%3A//www.womai.com/%26utm_source%3DtongyongG%26utm_medium%3Dtongyong%26utm_campaign%3Damg
Connection: close

「yxjiaodai.com」と一致して、これらのパッケージをすべて削除したいと思います。可能ですか?

答え1

これを行うには、ディープパケットチェックを使用する必要があり、iptablesはそのために設計されていません。

次のような文字列の一致から始めることができます

iptables -A INPUT -p tcp --dport 80 -d DESTINATIONIP -m string --algo bm --string "HTTP/1.1 302 Found" -j DROP

DESTINATIONIPコンピュータのIPアドレスに置き換えてください。

しかし、これは当然侵入検知システムの役割であることを覚えておいてください。

関連情報