Всех приветствую. На используемое мной приложение есть эксплоит, который вредит стабильной работе сервера. Софт для запуска атак я нашел(буду тестировать с помощью него)
Хочу попробовать отбрасывать такие соединения с помощью iptables. Покопался на форумах, понял, что можно попробовать отбрасывать соединения с определенным содержимым запроса.
Ниже пример.
пример 1: iptables -I INPUT -p udp --dport $i -m string --algo bm --string "19e5f1e722f4ab6d0d41c82f89c65295" -j DROP #strings of exploit
пример 2: iptables -I INPUT -p udp --dport $i -m string --algo bm --hex-string "|178f5230e2e17d73d6bc6562f1ed29e0|" -j DROP #antifake3
Так вот, вопрос, как получить содержимое, я попробовал составить команду:
sudo tcpdump -XX -q -i eth0 port XXXX
В итоге я получаю примерно такой результат в консоли:
0x0000: 2899 3ae6 834a 309c 23b2 7323 0800 4500 (.:..J0.#.s#..E.
0x0010: 003e fa6c 0000 4011 5a67 c312 1bf1 5b7c .>.l..@.Zg....[|
0x0020: eb5b 1e58 e147 002a 2617 075b 48bb 5156 .[.X.G.*&..[H.QV
0x0030: a014 69eb 82b0 0130 0322 f332 f342 f352 ..i....0.".2.B.R
0x0040: f362 f372 f382 f392 f313 02f0 .b.r........
Я думаю, что это не совсем то, что нужно, чтобы добавить в string iptables и в дальнейшем блокировать. Хотел бы попросить помощи, подскажите как составить команду для моих целей и как ей пользоваться.
