论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-05-20 08:32 |只看该作者 |倒序浏览

本帖最后由带脚镣跳舞于 2010-05-20 08:34 编辑

系统环境如下

[root@localhost ~]# uname -r
2.6.18-53.el5xen
[root@localhost ~]# iptables -V
iptables v1.3.5

[root@localhost ~]# iptables -A INPUT -i eth0 -m ttl --ttl 62 -j DROP

[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 9362 packets, 1014K bytes)
pkts bytes target    prot opt in    out    source             destination
0    0 DROP    all  --  eth0 *    0.0.0.0/0          0.0.0.0/0          TTL match TTL == 62

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target    prot opt in    out    source             destination
0    0 DROP    all  --  eth0 *    0.0.0.0/0          0.0.0.0/0          TTL match TTL == 62
0    0 DROP    all  --  eth0 *    0.0.0.0/0          0.0.0.0/0          TTL match TTL == 62

Chain OUTPUT (policy ACCEPT 7218 packets, 1326K bytes)
pkts bytes target    prot opt in    out    source             destination

因为是个VM的虚拟机，在上面做个iptables的过滤，凡是发送给本机的eth0的TTL=62的全部屏蔽掉，但实际上测试下来没有效果，请给位指点指点。

文库|博客

platinum

广告杀手

论坛徽章:: 0

2楼 [报告]

发表于 2010-05-20 10:35 |只看该作者

你确定有 TTL ＝ 62 的包过来吗？
你可以改成 64 或 128 试试，应该可以拦截不过路由的 Linux 或 Windows 包
如果能做到上面的功能，就证明不是 iptables 的问题，问题出在网络拓扑或你的理解上

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

带脚镣跳舞

丰衣足食

论坛徽章:: 0

3楼 [报告]

发表于 2010-05-20 12:43 |只看该作者

本帖最后由带脚镣跳舞于 2010-05-20 12:54 编辑

不好意思，有这个包过来的，确认，我自己本机和VM测试下了，该语句没有问题可以过滤

明天再到实际环境里测试一下，哈哈，如果能成功，那是在是太帅了，我估计楼上的同学，不知道我想干什么，嘿嘿，

如果测试成功就发出来，让大家以后避免被*****

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

4楼 [报告]

发表于 2010-05-21 00:48 |只看该作者

说说看想做什么？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

带脚镣跳舞

丰衣足食

论坛徽章:: 0

5楼 [报告]

发表于 2010-05-21 21:17 |只看该作者

很多公司用了上网行为管理设备，MD，分析了一下，监控功能比较简单，就通过iptables绕过他们上网了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

6楼 [报告]

发表于 2010-05-21 23:52 |只看该作者

阻断特定 TTL 的数据包就能实现绕过上网行为管理设备？？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

带脚镣跳舞

丰衣足食

论坛徽章:: 0

7楼 [报告]

发表于 2010-05-22 00:36 |只看该作者

阻断特定 TTL 的数据包就能实现绕过上网行为管理设备？？
platinum 发表于 2010-05-21 23:52

这里阻断TTL仅仅是个特列，可以阻断N多的参数，主要是分析上网行为管理的管控方式，我测试过几个都是可以的，嘿嘿

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

8楼 [报告]

发表于 2010-05-22 09:56 |只看该作者

如果没才错的话，TTL 是解决防止私搭私建小路由或代理上网限制的
至于你说的其他东西，何不向大家介绍一下？
只来 CU 卖关子有什么意思？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

带脚镣跳舞

丰衣足食

论坛徽章:: 0

9楼 [报告]

发表于 2010-05-22 13:32 |只看该作者

本帖最后由带脚镣跳舞于 2010-05-22 13:34 编辑

如果没才错的话，TTL 是解决防止私搭私建小路由或代理上网限制的
至于你说的其他东西，何不向大家介绍一下 ...
platinum 发表于 2010-05-22 09:56

1、很多东西不能说的太清楚，我自己本身就是厂家的人，再说别的厂家卖几个设备混饭吃，我们就把别人干掉，这个总不太好吧

2、为何要做这个：
公司突然上了一个设备，对接入互联网进行控制，事后得知是上海XXX公司的设备，这个公司还有个产品叫XX督察（浮想联翩和我无关）

3、当打开一个页面到时候，会自动打开认证页面，认证页面上要求你用手机编辑XXX发送到XXXX号码，获得密码，这个手机必须经过认证的，
没有认证过的人，自然就无法获得密码，无法上网！

4、上sniffer了抓了下包，看了下劫持过程，了解了劫持原理
  4.1 DNS查询和应答没有问题
  4.2 TCP syn包
  4.3 目标web服务器返回syn+ack
4.4 ACK
4.5  http get
HTTP过程开始，通过body onload 跳到认证页面，

4.3这个包是行为管理设备伪造目标服务器的发过来的，在第二次握手就接管回话，真服务器发过来的syn+ack自然就被扔掉了
这些包独有明显的特征，本打算在WINDOWS上实现的，无奈不会写驱动，去过滤，用了IPTABLES，OK！

技术不难，关键是前面的抓包分析！

不是每个设备都可绕过去的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

10楼 [报告]

发表于 2010-05-24 00:24 |只看该作者

那 TTL 在这里的用途是……？
不是我说的那个作用吗？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › iptables过滤TTL的问题

[网络管理] iptables过滤TTL的问题 [复制链接]

浏览过的版块