论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-08-21 11:01 |只看该作者 |倒序浏览

感觉用现有的iptables模块无法实现，不知扩展模块有没有能实现这个功能的。\r\n另一个想法是自己写匹配模块，对tcp连接进行跟踪记录，但稍麻烦点。\r\n水平有限，请高人指点，谢谢！

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2008-08-21 11:51 |只看该作者

-m stats --SYN\r\n或者是-m stats --NEW\r\n\r\n语法可能有错。你自己试试即可。\r\n\r\n另外参考IPTABLES指南。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ukyo111

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2008-08-21 13:46 |只看该作者

感谢ls帮助，查了一下，SYN或NEW应该都是匹配tcp的握手包，含tcp数据的包的flag应该是PSH | ACK，而跟踪的状态应该是establish，这两种方式都无法匹配到第一个含tcp数据的包。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

4楼 [报告]

发表于 2008-08-21 14:14 |只看该作者

哦,你是要匹配第一个包含数据的包哦。也就是3次握手后的第一个包。\r\n\r\n这个目前应该是无法实现的。\r\n不过不知道你要匹配了有什么意义。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kentchoi

小富即安

论坛徽章:: 0

5楼 [报告]

发表于 2008-08-21 14:28 |只看该作者

3次握手完了之后，发送的第一个数据包，\r\n\r\n我看得是 http 的，，client 想server发起的 GET 请求，，数据包，，\r\n\r\naeq 号跟ack 号是跟握手使用的第三步一样的号，\r\n\r\nFlag 里的 PSH 位置一了，，，\r\n\r\n但是 FTP 协议就变得不一样了。