ip包过滤常用规则

最新推荐文章于 2021-09-23 17:24:47 发布
最新推荐文章于 2021-09-23 17:24:47 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: 安全 运维 文章标签: ip filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lepton126/article/details/79493422
版权
本文详细探讨了IP包过滤的工作原理,重点介绍了如何设置和应用常见的过滤规则,以确保网络的安全性和流量管理。内容涵盖了基本的允许和拒绝规则,以及更复杂的基于端口、协议和来源地址的过滤策略。
摘要由CSDN通过智能技术生成


 

www.wireshark.org/tools/string-cf.html

IP Filters

ip[0] & 0x0f

low nibble: header length in 4octet words. should be 5

ip[1]

type of service/QoS/DiffServ

ip[2:2]

total length of datagram in octets

ip[4:2]

IP ID number

ip[6] & 0x80

reserved bit (possibly used for ECN)

ip[6] & 0x40

DF bit

ip[6] & 0x20

MF bit

ip[6:2] & 0x1fff

fragment offset (number of 8octet blocks)

ip[8]

ttl

ip[9]

protocol

ip[10:2]

header checksum

ip[12:4]

source IP

ip[16:4]

destination IP

Samples

(ip[12:4] = ip[16:4])

Src IP = Dest IP (land attack)

ip[0] & 0xf0

high nibble: IP version. almost always 4

(ip[0] & 0xf0 != 0x40)

IP versions !=4

(ip[0:1] & 0x0f > 5)

IP with options set

(ip[19] = 0xff)

Broadcasts to x.x.x.255

(ip[19] = 0x00)

Broadcasts to x.x.x.0

(ip and ip[1] & 0xfc == 0xb8)

search for EF in DSCP

(ip and ip[1] & 0xfc == 0x28)

search for AF11 in DSCP

(ip and ip[1] & 0xfc != 0x00)

search for DCSP Packets != 0
最低0.47元/天 解锁文章
lepton126
关注
专栏目录
基于linux的嵌入IPv4协议栈的内容过滤防火墙系统(4)-过滤模块和内容过滤模块
sunlen的专栏(编程技术探讨)
02-19 2360
二。过滤模块和内容过滤模块2。1 技术背景采用技术  2。1。1 模块编程  2。1。2 netfilter              Netfilter是linux2.4内核实现数据过滤/数据处理/NAT等的功能框架。它在网络上设置了五个钩(hook),我们可以在我们所需要的一个钩对数据进行过滤,在本程序中,我们对所有进入服务器的数据进行过滤。  2。1。3 TCP/IP协议      
Wireshark 抓过滤命令大全,不会抓的网工不是好网工!
最新发布
网络技术联盟站
07-10 1487
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,括 Windows、macOS 和 Linux。
IP过滤源码(C++)
10-23
IP过滤,使用Visual Studio C++ 编写。
IP过滤
11-09 4683
/*利用操作系统提供的API编写防火墙.该程序涉及到的API说明请访问微软的MSDN Library代码在C++ Builder 5编译通过如果您想和我交流请email:zzwinner@163.com*/#pragma hdrstop#include "windows.h"#include "Fltdefs.h"//需要加载"iphlpapi.lib"#pragma argsusedint ma
iptables IP过滤规则设置
做好自己
09-13 830
添加自定义规则iptables -N ODAE_DRUID_INPUT 删除空的自定义规则iptables -X ODAE_DRUID_INPUT -t nat 添加一条规则到自定义规则iptables -A ODAE_DRUID_INPUT -s 10.244.160.58 -p tcp -m multiport --dports 26200:26999 -j REJECT 关联自定义规则iptables -A INPUT -s 172.31.0.0/16 -j ODAE_DRUID_IN
0 Wireshark抓常用过滤规则.docx
10-27
过滤常用协议** - 支持过滤的协议括:`arp`, `ip`, `icmp`, `tcp`, `udp`, `bootp` (DHCP), `dns`, `http`, `https`, `ftp`, `snmp`, `smtp`, `ssl`, `radius`等。 - 特别提示:Wireshark中过滤DHCP时应使用`...
Wireshark (抓)捕获过滤常用规则及代码示例
殷阳的博客
07-12 5500
Wireshark 捕获过滤器使用的语法与 tcpdump、WinDump、Analyzer 这类使用 libpcap/WinPcap 库的程序一致。
详解Linux iptables常用防火墙规则
01-20
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息过滤和...
bpfcountd:一个使用 bpf(伯克利数据过滤器)监控网络流量的小守护进程
05-29
bpfcountd 创建此守护程序是为了在不增加 CPU 资源压力的情况下获取大型网络中的数据统计信息。 bpfcountd将随着时间的推移计算和字节的数量(对于每个定义的规则)。 这些规则是使用 tcpdump 过滤器语法 ( ) 定义的。 收集的数据以明文形式在unix套接字上提供。 依赖关系 libpcap 支持的平台 经测试: Arch Linux Debian 应该在没有特别注意的情况下工作: 任何基于 systemd 的 Linux 发行版 在 init 系统中集成后应该可以工作: Linux 尚不支持: 任何其他支持 libpcap 的平台 get_mac(...)还不是跨平台的 例子 您可以使用 bpf 语法定义多个规则,并为每个规则分配一个标识符。 格式为<identifier>;<bpf> 。 请参阅下面的示例: 筛选器 arp-me;arp an
伯克利过滤
LISTONE的个人博客
06-03 956
伯克利过滤器(BPF) 什么是BPF? BPF,即伯克利过滤器 Berkeley Packet Filter,诞生于1992年,其作用是提供一种过滤的方法来避免在内核空间复制无用的数据到用户空间。由于其简化的语言以及存在于内核中的即时编译器(JIT),使BPF成为一个性能卓越的过滤工具。 BPF语法 BPF过滤规则由一个或多个原语(原子式)组成。原语通常由一个标识(id,名称或数字)和标识前面的一个或多个限定词组成。 BPF过滤规则有三种类型的限定词,分别为type、dir和 proto。 ty
伯克利过滤 (学生版笔记)
qq_45650527的博客
05-24 453
本文章介绍的是 本菜自学wireshark时候的笔记 话不多说直接上图 准备好 开始 放大招 伯克利过滤 英称(Berkeley packet filter) 额英文 采用一种与自然语言相近的语法 利用语法构造字符串确定保留具体符合规则的数据 而忽略其他数据 通俗一点就是 用语法构建一个字符串, 来代替表示 一种协议 代替要筛选的内容 (为什么要用这个 不要问 问就是事实就在用!)从而简化表示的方法(次要) 实现具体确定要保留那些协议 那些规则的数据(主要) 并且 BP
wireshark-2-伯克利过滤
bronze_s的博客
02-24 418
伯克利过滤(Berkeley Packet Filter, BPF) 名称 功能 常见类型 type 这种限定符表示指代的对象,例如 IP 地址、子网或者端口等。 host:表示主机名和IP地址 net:用来表示子网 port:用来表示端口 dir 表示数据传输的方向 src:源地址 dst:目的地址 proto 表示与数据匹配的协议类型 arp、http、dns 关系符 符号 用途 ...
Berkeley Packet Filter (BPF) zero copy buffer
weixin_33717298的博客
04-05 197
TheBerkeley Packet Filteror BPF provides, on someUnix-likesystems, a raw interface todata link layers, permitting raw link-layer packets to be sent and received. In additio...
BPF过滤规则
补丁_1024的博客
09-23 2182
概述 伯克利过滤器(Berkeley Packet Filter,缩写 BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封的收发。除此之外,如果网卡驱动支持混杂模式,那么它可以让网卡处于此种模式,这样可以收到网络上的所有,不管他们的目的地是不是所在主机。另外,BPF支持过滤数据——用户态的进程可以提供一个过滤程序来声明它想收到哪些数据。通过这种过滤可以避免从操作系统内核向用户态复制其他对用户态程序无用的数据,从而极大地提高性能。 BPF简介 多年前很多程序,例如网络监控器,都
ip 过滤
chengsiqu6748的博客
08-25 1499
Iptables 就是一个 IP 过滤器。IP 过滤主要工作于 TCP/IP 协议栈的第二层,当然 Iptables 有工作于第三层的能力。 假如 IP 过滤器严格的按照定义来实现,那么换句话讲就是 IP 过滤只能基于 IP 报文头来实现,例如源/目的地址,TOS/DSCP/ECN,TTL ...
11、安全配置:服务器IP筛选过滤策略
郭盛华的CSDN技术博客
10-08 1554
主讲老师:郭盛华 IP过滤技术 是一种过滤技术,可将访问和被访问者限制在一个特定范围内。 1、在“开始”-“运行”输入“secpol.msc”回车即打开“本地安全策略”页面,见图1.   二、 如图1,右键点击“IP安全策略,在本地计算机”,选择“管理IP筛选器列表和筛选器操作(M)…”,弹出如图2“管理IP筛选列表”设置页面。点击“添加(D)…”   三、输入相应名称和描述...
wireshark 数据分析技巧总结
热门推荐
Bonnie Learning Summary --- Special column
08-24 1万+
摘抄自: http://blog.51cto.com/shayi1983/1558161 wireshark 过滤表达式的比较运算符一览 (类 C 形式和对应的英语形式) enighish           C-like           含义和实例 eq                 ==               等于       ip.src == 10.0.0.5 ne     ...
tcpdump抓命令过滤多个目的IP
03-12
在使用tcpdump抓命令时,可以通过过滤规则来指定抓取的目的IP地址。以下是一些常用过滤多个目的IP的方法: 1. 使用逻辑运算符"or"(||):可以使用逻辑运算符"or"来指定多个目的IP地址。例如,要抓取目的IP地址为192.168.1.100或者192.168.1.200的数据,可以使用以下命令: ``` tcpdump dst host 192.168.1.100 or dst host 192.168.1.200 ``` 2. 使用逗号分隔多个过滤条件:可以使用逗号分隔多个过滤条件来指定多个目的IP地址。例如,要抓取目的IP地址为192.168.1.100和192.168.1.200的数据,可以使用以下命令: ``` tcpdump dst host 192.168.1.100, dst host 192.168.1.200 ``` 3. 使用括号分组多个过滤条件:可以使用括号来分组多个过滤条件,以便更复杂的过滤规则。例如,要抓取目的IP地址为192.168.1.100或者192.168.1.200,并且源IP地址为10.0.0.1的数据,可以使用以下命令: ``` tcpdump '(dst host 192.168.1.100 or dst host 192.168.1.200) and src host 10.0.0.1' ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值