https://www.opennet.ru/openforum/vsluhforumID3/76839.html Данная статья основывается на материале "Разработка Match-модуля для iptables своими руками" (http://www.linuxjournal.com/article/7184), но код работает на ядрах 2.6.20+.<br><br>Мне потребовалось изменить ID IP пакетов, в интернете подходящей инструкции как это сделать на ядре 2.6.24 я не нашел, из-за этого решил написать, как удалось решить задачу.<br><br>Для реализации задуманного нам понадобится написать модуль ядра, который будет выполнять проверку и модуль расширения для iptables, который будет работать с модулем ядра - создавать новые цепочки,<br>использующие наш модуль, выводить информацию о критерии при выводе списка правил на экран, а также проверять корректность передаваемых модулю параметров.<br><br>Сначала создадим общий заголовочный файл ipt_ID.h:<br><br> #ifndef _IPT_ID_H<br> #define _IPT_ID_H<br><br> enum {<br> IPT_ID_RAND = 0,<br> IPT_ID_INC<br> };<br><br> #define IPT_ID_MAXMODE IPT_ID_INC<br><br> struct ipt_ID_info {<br> u_int8_t mode;<br> u_int16_t id;<br> };<br><br> #endif<br><br>Теперь с https://www.opennet.ru/openforum/vsluhforumID3/76839.html#9 Thu, 05 May 2011 19:17:17 GMT &gt; ну так как-бы согласен с тем, что соединение подвиснет ?<br><br>Если честно, лень смотреть, пущай будет сбрасываться :)<br> https://www.opennet.ru/openforum/vsluhforumID3/76839.html#8 Thu, 05 May 2011 15:10:05 GMT ну так как-бы согласен с тем, что соединение подвиснет ?<br> https://www.opennet.ru/openforum/vsluhforumID3/76839.html#7 Wed, 04 May 2011 10:07:22 GMT &gt;&gt; Ну и будет там запрос "GET / HTTP/1.1" и чё дальше?<br>&gt;&gt; Как это спасёт от DoS/DDoS ?<br>&gt; Допустим что там будет нечто специфичное и мы сможем выделить "нужные" :-)<br><br>На месте DDoSеров я бы не повторялся, <br><br>"GET /1 HTTP/1.1"<br>"GET /11 HTTP/1.1"<br>"GET /111 HTTP/1.1"<br>"GET /1111 HTTP/1.1"<br>...<br>"GET /FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF HTTP/1.1"<br><br>:)<br><br>--- <br>Можно с другой стороны конечно...<br><br>Через парсер от апача создавать проверку на запрос к реальным ресурсам<br><br>[code]<br>-m string ! -string "GET / HTTP/1.1" -j REJECT --reject-with tcp-reset<br>-m string ! -string "GET /index.html HTTP/1.1" -j REJECT --reject-with tcp-reset<br>-m string ! -string "GET /index.php HTTP/1.1" -j REJECT --reject-with tcp-reset<br>-m string ! -string "GET /main.php HTTP/1.1" -j REJECT --reject-with tcp-reset<br>-m string ! -string "GET /about.php HTTP/1.1" -j REJECT --reject-with tcp-reset<br>...<br>...<br>...<br>-m string ! -string "GET http://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?quote=not_empty&az=po https://www.opennet.ru/openforum/vsluhforumID3/76839.html#6 Wed, 04 May 2011 06:19:35 GMT &gt;&gt; Итак, ситуация - вебсервер, (д)дос.<br>&gt;&gt; Прилетает запрос к веб-серверу. Хотим делать фильтрацию iptables-ом по содержимому запроса.<br>&gt;&gt; Чтобы получить запрос, соединение должно быть установлено.<br>&gt;&gt; В тот момент, когда срабатывает правило <br>&gt;&gt; -A INPUT -p tcp --dport 80 -m string -string .... -j REJECT <br>&gt;&gt; --reject-with tcp-reset <br>&gt; Ну и будет там запрос "GET / HTTP/1.1" и чё дальше? <br>&gt; Как это спасёт от DoS/DDoS ?<br><br>Допустим что там будет нечто специфичное и мы сможем выделить "нужные" :-)<br><br>&gt;&gt; tcp-reset отправляется только в сторону, откуда пришел запрос, в итоге имеем <br>&gt;&gt; подвешенное соединение с нашей стороны.<br>&gt; -j REJECT --reject-with tcp-reset сбрасывает соединение, а не вешает.<br><br>:-) Ты уже посмотрел в код? Типовой use-case это посылка сброса на еще не установленном соединении (флаг определяет что полетит _не_ icmp пакет).<br>В рассматриваемом случае использование несколько иное - соединение будет уже установлено. И далее:<br><br><br>&gt;&gt; tcp-reset отправляется только в сторону, откуда пришел запро https://www.opennet.ru/openforum/vsluhforumID3/76839.html#5 Tue, 03 May 2011 18:47:48 GMT &gt; Итак, ситуация - вебсервер, (д)дос.<br>&gt; Прилетает запрос к веб-серверу. Хотим делать фильтрацию iptables-ом по содержимому запроса. <br>&gt; Чтобы получить запрос, соединение должно быть установлено.<br>&gt; В тот момент, когда срабатывает правило <br>&gt; -A INPUT -p tcp --dport 80 -m string -string .... -j REJECT <br>&gt; --reject-with tcp-reset <br><br>Ну и будет там запрос "GET / HTTP/1.1" и чё дальше? <br>Как это спасёт от DoS/DDoS ?<br><br>&gt; tcp-reset отправляется только в сторону, откуда пришел запрос, в итоге имеем <br>&gt; подвешенное соединение с нашей стороны.<br><br>-j REJECT --reject-with tcp-reset сбрасывает соединение, а не вешает. <br> https://www.opennet.ru/openforum/vsluhforumID3/76839.html#4 Tue, 03 May 2011 02:50:43 GMT могу подкинуть идею полезного и вроде как реально нужного патча / модуля:<br><br>Итак, ситуация - вебсервер, (д)дос.<br>Прилетает запрос к веб-серверу. Хотим делать фильтрацию iptables-ом по содержимому запроса. Чтобы получить запрос, соединение должно быть установлено. <br>В тот момент, когда срабатывает правило<br><br>-A INPUT -p tcp --dport 80 -m string -string .... -j REJECT --reject-with tcp-reset<br><br> tcp-reset отправляется только в сторону, откуда пришел запрос, в итоге имеем подвешенное соединение с нашей стороны. <br><br>Ну вот соответственно требуется модификация имеющегося или новый модуль :-)<br> https://www.opennet.ru/openforum/vsluhforumID3/76839.html#3 Mon, 02 May 2011 20:34:51 GMT а зачем это?<br> https://www.opennet.ru/openforum/vsluhforumID3/76839.html#2 Mon, 02 May 2011 11:15:20 GMT Гораздо полезнее было бы сделать U32 target для изменения произвольного поля пакета, а --id описать как синоним опр. смещения.<br> https://www.opennet.ru/openforum/vsluhforumID3/76839.html#1 Mon, 02 May 2011 09:24:56 GMT А для чего это вообще нужно? Ну в смысле менять ID пакета?<br>