2. 程式人生 > >iptables實現字串匹配,URL過濾,安全策略

iptables實現字串匹配,URL過濾,安全策略

阿新 發佈:2019-02-15

通過string匹配域名來過濾,範例如下:

iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP
iptables -I OUTPUT -p udp -m string --string "qq.com" --algo kmp -j DROP

這樣就無法訪問與QQ相關的業務了,但是代理好像還是可以

系統要求:

1:核心在2.6.18以上

2:iptables在1.3.5以上

3:核心中包含字串匹配模組。在.config檔案中應有

CONFIG_NETFILTER_XT_MATCH_STRING=m

man手冊

iptables -m string -help
string

         This  modules  matches  a  given string by using somepattern matching strategy. It requires a linux kernel >= 2.6.14.

        --algo  bm|kmp

              Select the pattern matching strategy. (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)
      設定字元匹配的查詢演算法,一般預設使用bm演算法效果就可以了,另外還可以設定kmp演算法,那是一種更復雜的演算法,詳細內容可自行參見高等數學裡的資料。(bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)

 

        --from offset

              Set the offset from which it starts looking for any matching. If not passed, default is 0.

        --to offset

              Set the offset to which it starts looking for any matching. If not passed, default  is  the

              packet size.

        --string pattern

              Matches the given pattern.  --hex-string pattern Matches the given pattern in hex notation.
 
              定義字串內容,可以是URL裡任意字元,如果是需要block下載某些型別的檔案或請求,這個有很大的發揮空間,可自由想象喔。

常見的應用程式和有用的示例規則

1:防止入侵的方法
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "cmd.exe" --algo bm -j DROP

iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"

2:保護DDOS服務
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "domain.com" --algo kmp -j DROP
3:防止電子郵件欺騙
iptables -I INPUT -p tcp --dport 25 -m string --string "Subject" --algo bm -j DROP
做個最優規則
iptables -I INPUT -p tcp --dport 25 -m string --string "Subject"  --algo bm --to 15000 -j DROP

相關推薦

iptables實現字串匹配,URL過濾,安全策略

通過string匹配域名來過濾,範例如下: iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP iptables -I OUTPUT -p udp -m string --strin

Rabin-karp演算法實現 字串匹配

// RabinKarp演算法實現 // RabinKarp演算法實現 const primeRK = 16777619 func hashStr(seq string) (uint32, uint32) { hash := uint32(0) for _, value

實戰ssl-bump,實現squid的url過濾功能

使用代理伺服器squid,想實現url過濾,禁止訪問某個url,我們自然就想到了使用url_regex,可以使用正則對url進行過濾 比如說我們要禁止使用百度搜索,可使用下面的過濾 acl deny_url  url_regex //www\.baidu\.com/s h

java實現字串匹配問題之求兩個字串的最大公共子串

轉載請註明出處:http://blog.csdn.net/xiaojimanman/article/details/38924981 最近在專案工作中有一個關於文字對比的需求,經過這段時間的學習,總結了這篇部落格內容:求兩個字串的最大公共子串。 演算法思想:基於圖計算兩字串

Api接口通用安全策略實現-OSS.Core

參數 num 我會 信息 簽名 算法 活躍度 webapi 參與   這篇文章一直說寫,遲遲沒有動手,這兩天看到一些應用接口數據被別人爬蟲、短信接口被人高頻率請求攻擊等案列,感覺簡單概述分享一下接口安全驗證還是有必要的。畢竟當下基本都以客戶端應用為主,如果前期疏忽,發布之後

3-華為防火墻:公共地址集、安全策略匹配順序

-m -o cef water splay 優先 實驗 inter sort 一、實驗拓撲:二、實驗要求: 三、命令部署:1、手工調整策略之間的優先級:[SRG-policy-interzone-trust-untrust-outbound]policy 0[SRG-pol

字串匹配的RabinKarp演算法的c語言實現

</pre><pre name="code" class="cpp">#include<string.h> int check( char *s1,char *s2,int n ); int main() { char s1[10000],s2[1000000]

php 特殊字元轉義,實現字串安全存入資料庫

php 特殊字元轉義,實現字串安全存入資料庫 <?php /** * php 特殊字元轉義,實現字串安全存入資料庫 * * @param [type] $content [description] * @return [type] [description

字串匹配演算法實現

KMP演算法 1 void Next(char *src,int n,int *next) 2 { 3 int j,k; 4 j=0; 5 k=-1; 6 next[0] = -1; 7 while(j<n-1) 8 { 9 if(k==-1 || src[j] == src[

邊學邊敲邊記之爬蟲系列(三):url去重策略實現

一、前言 今天給大家分享的是,Python爬蟲裡url去重策略及實現。 二、url去重及策略簡介 1.url去重     從字面上理解,url去重即去除重複的url,在爬蟲中就是去除已經爬取過的url,避免重複爬取,既影響爬蟲效率,又產生冗

字串匹配原理及實現(C++版)

字串匹配原理及實現(C++版) 1. 字串匹配概念 2. BF 2.1 原理 2.2 程式碼實現 3. KMP 3.1 原理 3.2 程式碼實現 4. BM 4.1 壞字元

PAT乙級——1093(字串匹配)Java實現

題目:字串A+B (20 分) 給定兩個字串 A 和 B,本題要求你輸出 A+B,即兩個字串的並集。要求先輸出 A,再輸出 B,但重複的字元必須被剔除。 輸入格式: 輸入在兩行中分別給出 A 和 B,均為長度不超過 10​6​​ 的、由可見 ASCII 字元 (即碼值為32~12

匹配URL,Email,電話號碼正則字串

匹配URL字串 NSMutableString * attStr = attString.mutableString; NSError *error = nil;; NSStrin

字串匹配——KMP(C++實現

字串匹配是計算機的基本任務之一。 舉例來說,有一個字串"BBC ABCDAB ABCDABCDABDE",我想知道,裡面是否包含另一個字串"ABCDABD"? 許多演算法可以完成這個任務,Knuth-Morris-Pratt演算法(簡稱KMP)是最常用的之一。它以三個發明者命名,起頭的

資料結構的應用——使用棧實現字串括號匹配檢查

假設表示式中允許包含兩種括號:圓括號和方括號,其巢狀順序隨意,及([]())或[([][])]等均為正確的格式,[(])或([())或(()]均為不正確的格式。 匹配演算法的思想是: 首先將第一個括號壓入棧,然後從第二個括號開始,如果與棧頂元素能匹配,能將棧頂元素彈出;如果不

Java實現演算法導論中樸素字串匹配演算法

樸素字串匹配演算法沿著主串滑動子串來迴圈匹配,演算法時間效能是O((n-m+1)m),n是主串長度,m是字串長度,結合演算法導論中來理解,具體程式碼參考: package cn.ansj; publ

[演算法]兩種字串匹配演算法(索引法,KMP演算法)對比,C語言實現

今天做了個一個簡單的字元對比程式,功能是實現從A串刪除包含B最多的字元的操作,比如A=“aaaaabbbbbbabababa” B=“aaccbaab”,應當刪除“aab”的,不是aa,相信知道搜尋引擎的朋友肯定是知道的吧,這種演算法主要用於去除頁面中無效的關鍵字,來減少收錄的計算消耗的一種方法,好了,具體演

C語言實現字串的複製,比較,模式匹配,替換等各種操作。

c語言中沒有字串,想要用字串只能用字元指標來實現了。這些函式都是自己學習C後復現的,和C的模板庫中的會有差別。字串的常見操作有:strcpy(p, p1)將字串p1複製到p的開頭char* strcpy(char* dest, const char* src) { if (

C++ 用棧實現字串中括號匹配問題()

使用C++中的stack容器可以很容易的實現字串中括號的匹配判斷問題: #include<iostream> #include<string> #include<stac

字串匹配演算法總結 (分析及Java實現)

字串模式匹配演算法(string searching/matchingalgorithms) 顧名思義,就是在一個文字或者較長的一段字串中,找出一個或多個指定字串(Pattern),並返回其位置。這類演算法屬基礎演算法,各種程式語言都將其