应用层防火墙

platinum

原帖由 chenyx 于 2009-12-16 21:46 发表
L7里面有ipp2p模块吧

两者是相互独立的，不存在包含关系
l7-filter 是通过 conntrack 来累积所有七层 payload 数据，然后统一做 search
ipp2p 是分析每一个 packet 里面的具体内容，很定式化，不支持正则，且没有 l7-filter 的“匹配后自动不处理”机制
但 ipp2p 却可以做到很多 l7-filter 做不到的东西，比如某协议有如下特点
1、第一个字节和第四个字节一定想等、第二个字节和第三个字节一定想等，但他们的内容随机
2、前两个字节所表示的大小恰好是数据包有效载荷的长度

platinum

原帖由 emmoblin 于 2009-12-16 23:09 发表
lz所说的应用层防火墙我有点不太清楚，是不是包的处理功能在应用层实现？

同感，不知道这里是否存在歧义，是处理应用层的数据，还是在应用层完成对数据的处理？

Godbach

原帖由 platinum 于 2009-12-17 10:50 发表

同感，不知道这里是否存在歧义，是处理应用层的数据，还是在应用层完成对数据的处理？

白金兄是怎么理解的。
我个人的理解更偏重于是处理应用层数据的防火墙，呵呵

platinum

我和小伟的看法一样，呵呵

Godbach

ubuntuer

呵呵  其实我也就是为了学习....   现在找完工作处于在学校休息状态！！！
今天突然奇想能不能在内核中分析http协议,获得host    user-agent等！目前正在看ipip代码

1. 
   
2.   haystack += tcph->doff * 4; /*get TCP-Header-Size*/
   
3.             hlen -= tcph->doff * 4;
   

复制代码

自己再琢磨琢磨  数据一个一个打  慢慢测试!!!

platinum

当然可以，写个挂在 netfilter 上的钩子就可以了

Godbach

完全可以。skb你都截获的到，还担心有什么操作不了了啊，呵呵

duanjigang

支持LZ研究下ipfw windows下的移植成wipfw了。
我做的客户端网络管理，就用ipwf做引擎，封堵端口

[ 本帖最后由 duanjigang 于 2009-12-17 14:02 编辑 ]