免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 4881 | 回复: 9
打印 上一主题 下一主题

[网络管理] iptables过滤TTL的问题 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2010-05-20 08:32 |只看该作者 |倒序浏览
本帖最后由 带脚镣跳舞 于 2010-05-20 08:34 编辑

系统环境如下

[root@localhost ~]# uname -r
2.6.18-53.el5xen
[root@localhost ~]# iptables -V
iptables v1.3.5

[root@localhost ~]# iptables -A INPUT -i eth0 -m ttl --ttl 62 -j DROP


[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 9362 packets, 1014K bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           TTL match TTL == 62

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           TTL match TTL == 62
    0     0 DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           TTL match TTL == 62

Chain OUTPUT (policy ACCEPT 7218 packets, 1326K bytes)
pkts bytes target     prot opt in     out     source               destination  

因为是个VM的虚拟机,在上面做个iptables的过滤,凡是发送给本机的eth0的TTL=62的全部屏蔽掉,但实际上测试下来没有效果,请给位指点指点。

论坛徽章:
0
2 [报告]
发表于 2010-05-20 10:35 |只看该作者
你确定有 TTL = 62 的包过来吗?
你可以改成 64 或 128 试试,应该可以拦截不过路由的 Linux 或 Windows 包
如果能做到上面的功能,就证明不是 iptables 的问题,问题出在网络拓扑或你的理解上

论坛徽章:
0
3 [报告]
发表于 2010-05-20 12:43 |只看该作者
本帖最后由 带脚镣跳舞 于 2010-05-20 12:54 编辑

不好意思,有这个包过来的,确认,我自己本机和VM测试下了,该语句没有问题可以过滤

明天再到实际环境里测试一下,哈哈,如果能成功,那是在是太帅了,我估计楼上的同学,不知道我想干什么,嘿嘿,

如果测试成功就发出来,让大家以后避免被*****

论坛徽章:
0
4 [报告]
发表于 2010-05-21 00:48 |只看该作者
说说看想做什么?

论坛徽章:
0
5 [报告]
发表于 2010-05-21 21:17 |只看该作者
很多公司用了上网行为管理设备,MD,分析了一下,监控功能比较简单,就通过iptables绕过他们上网了

论坛徽章:
0
6 [报告]
发表于 2010-05-21 23:52 |只看该作者
阻断特定 TTL 的数据包就能实现绕过上网行为管理设备??

论坛徽章:
0
7 [报告]
发表于 2010-05-22 00:36 |只看该作者
阻断特定 TTL 的数据包就能实现绕过上网行为管理设备??
platinum 发表于 2010-05-21 23:52



   这里阻断TTL仅仅是个特列,可以阻断N多的参数,主要是分析上网行为管理的管控方式,我测试过几个都是可以的,嘿嘿

论坛徽章:
0
8 [报告]
发表于 2010-05-22 09:56 |只看该作者
如果没才错的话,TTL 是解决防止私搭私建小路由或代理上网限制的
至于你说的其他东西,何不向大家介绍一下?
只来 CU 卖关子有什么意思?

论坛徽章:
0
9 [报告]
发表于 2010-05-22 13:32 |只看该作者
本帖最后由 带脚镣跳舞 于 2010-05-22 13:34 编辑
如果没才错的话,TTL 是解决防止私搭私建小路由或代理上网限制的
至于你说的其他东西,何不向大家介绍一下 ...
platinum 发表于 2010-05-22 09:56



1、 很多东西不能说的太清楚,我自己本身就是厂家的人,再说别的厂家卖几个设备混饭吃,我们就把别人干掉,这个总不太好吧

2、为何要做这个:
   公司突然上了一个设备,对接入互联网进行控制,事后得知是上海XXX公司的设备,这个公司还有个产品叫XX督察 (浮想联翩和我无关)

3、当打开一个页面到时候, 会自动打开认证页面,认证页面上要求你用手机编辑XXX发送到XXXX号码,获得密码,这个手机必须经过认证的,
   没有认证过的人,自然就无法获得密码,无法上网!

4、上sniffer了抓了下包,看了下劫持过程,了解了劫持原理
  4.1 DNS查询和应答没有问题
  4.2 TCP syn包
  4.3 目标web服务器返回syn+ack
   4.4 ACK
   4.5  http get
HTTP过程开始,通过body onload 跳到认证页面,

4.3这个包是行为管理设备伪造目标服务器的发过来的,在第二次握手就接管回话,真服务器发过来的syn+ack自然就被扔掉了
    这些包独有明显的特征,本打算在WINDOWS上实现的,无奈不会写驱动,去过滤,用了IPTABLES,OK!

技术不难,关键是前面的抓包分析!

不是每个设备都可绕过去的

论坛徽章:
0
10 [报告]
发表于 2010-05-24 00:24 |只看该作者
那 TTL 在这里的用途是……?
不是我说的那个作用吗?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP