Linux下通过iptables抓取tcp连接

最新推荐文章于 2022-05-04 16:34:41 发布
最新推荐文章于 2022-05-04 16:34:41 发布
阅读量1.4k 收藏 1
点赞数
文章标签: linux 防火墙 socket output internet tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pmunix/article/details/4908449
版权

1.1.1   iptables原理

 

1.1.2   以本地为源的包路径

Step

Table

Chain

Comment

1

 

 

本地程序(比如,服务程序或客户程序)

2

 

 

路由判断,要使用源地址,外出接口,还有其他一些信息。

3

mangle

OUTPUT

在这儿可以mangle包。建议不要在这儿做过滤,可能有副作用哦。

4

nat

OUTPUT

这个链对从防火墙本身发出的包进行DNAT操作。

5

filter

OUTPUT

对本地发出的包过滤。

6

mangle

POSTROUTING

这条链主要在包DNAT之后(译者注:作者把这一次DNAT称作实际的路由,虽然在前面有一次路由。对于本地的包,一旦它被生成,就必须经过路由代码的处理,但这个包具体到哪儿去,要由NAT代码处理之后才能确定。所以把这称作实际的路由。),离开本地之前,对包 mangle。有两种包会经过这里,防火墙所在机子本身产生的包,还有被转发的包。

7

nat

POSTROUTING

在这里做SNAT。但不要在这里做过滤,因为有副作用,而且有些包是会溜过去的,即使你用了DROP策略。

8

 

 

离开接口(比如: eth0)

9

 

 

在线路上传输(比如,Internet)

1.1.3   规则添加

从上面可以看出只需要在OUTPUT链增加如下的类似规则即可实现将特定ip + porttcp连接劫持到本地某个端口即可

       目的ip: 200.200.30.228 端口443

       本地ip: 200.200.30.122, 端口28888

       iptables -t nat -A OUTPUT -p tcp -d 200.200.30.228 -j DNAT --dport 443 --to-destination 200.200.30.122:28888

       测试OK

1.1.4   相关处理

(1)    依赖于iptables工具

(2)    应用层如何获取对应关系?

其实这个时候可以通过netstat命令发现如下奇怪的现象:

 

同时和200.200.30.228443端口和本地28888端口建立了连接,

所以这里也可以获取到原来要连接的资源和端口

 

SO_ORIGINAL_DST是一个socket参数(SOL_IP层的)。
   调用方式如下:
   getsockopt (clifd, SOL_IP, SO_ORIGINAL_DST, &orig_addr, &sin_size);
   clifd是hijack到的客户socket,orig_addr是sockaddr_in结构的参数,sin_size=sizeof(sockaddr_in).
   返回0如果成功,-1失败。
   如果成功orig_addr将是客户真正需要去的方向

 

pmunix
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux下原始ip数据包包头(tcp头、udp头)的获取和分析
l1902090的专栏
05-15 9531
前言     在有些时候我们需要直接抓取并分析原始ip数据包(比如说netfilter内核框架中数据包的分析、原始套接字中数据包的分析),但是我们所能获得的ip数据包通常只是一个若干字节的在连续地址空间中存储的数据,比如存在数组char[MSG_SIZE]中,下面介绍如何分析原始ip数据包中的数据。     在开始分析包头之前我们假设原始ip数据包存储在缓存char buf[MSG_S
基于iptables来做系统依赖(TCP协议调用)容灾测试
iamzhongyong的专栏
06-21 115
    ​首先说明一下为啥写这篇文章,其实iptables的使用,在网上随便搜一下很多。如果了解原理,然后在做容灾测试的时候,就可以直接用上。重要的不是iptables,重要的是容灾测试、     ​A和B两个系统,A对B在业务上是非强依赖,也就是说B系统挂掉了,A系统也需要能够正常提供服务。假如系统之间调用是通过TCP协议完成的,在调用B系统的代码的时候,方法体中没有加入try...catc...
linux-tcpdump-iptables抓包
qq_45206551的博客
02-29 945
文章目录iptables iptables
linux tcp频率限制,linux抵御DDOS攻击 通过iptables限制TCP连接和频率
weixin_33533460的博客
05-15 675
##CC攻击及参数详解cc攻击一到就有点兵临城下的感觉,正确的设置防护规则可以做到临危不乱,这里给出一个iptables对ip进行连接频率和并发限制,限制单ip连接和频率的设置规则的介绍 单个IP在60秒内只允许新建20个连接,这里假设web端口就是80,iptables -I INPUT -i eth0 -p tcp -m tcp –dport 80 -m state –state NEW -...
监控虚拟机跟外部的tcp连接
weixin_30732825的博客
11-15 401
1.监控虚拟机跟外部的tcp连接,如果连接数超过阈值,就在FORWARD把ip DROP ,并且发送邮件 root@InternetGateway:~# cat /root/scripts/check_conntrack.sh#!/bin/bashscript_home=`dirname $0`script_home=`cd $script_home;pwd`file_dir=/var/scri...
iptables
sinat_33384251的博客
07-02 408
查看iptables生效状态 在中转服务器查看 iptables -t nat -L -v 查看指定规则表状态 iptables -t nat -vnL POSTROUTING iptables -t nat -vnL PREROUTING 查看连接状态 在目标服务器查看 lsof -i:10010 重启防火墙 ufw reload -A PREROUTING -i eth0 -p tcp...
linux查看连接ip并删除,linux – 需要删除与iptables建立的连接
weixin_39684052的博客
05-05 277
对于应用程序测试目的,当有状态防火墙通过超时将已建立的TCP连接从客户端丢弃到服务器时,我需要模拟一种情况.我在Virtualbox中安装了3个来宾VM:>客户端,network1 ip:10.0.2.110>防火墙,network1 ip:10.0.2.5,network2 ip:10.0.3.5>服务器,network2 ip:10.0.3.6客户端和服务器是禁用iptabl...
Linux透明代理 —— 使用iptables实现TCP透明代理(nat方式,一个客户端对应一个服务器)
杰儿__er 的博客
02-22 2万+
目录: 1、什么是透明代理? 2、透明代理的作用? 2.1 TCP代理服务器可以隐藏背后真正TCP服务器 2.2 保护TCP服务器免受应用层以下级别的协议栈攻击 2.3 TCP转址机 3、socket透明代理的实现原理? 4、在实现TCP代理服务器时,遵循以下几点原则 5、应用背景 6、关键技术? 7、如何建立透明代理? 7.1 Tcp透明代理实现的中心思想 7.2 搭建环...
Iptables之conntrack连接跟踪模块
wdt3385的专栏
02-28 9796
Iptables是有状态机制的防火墙,通过conntrack模块跟踪记录每个连接的状态,通过它可制定严密的防火墙规则。 可用状态机制: 1 2 3 4 5 #http://blog.onovps.com NEW #新连接数据包 ESTABLISHED #已连接数据包 RELATED #和出有送的数据包 INVALID #无效数据包
iptables中state模块的连接状态
weixin_33834628的博客
03-10 473
前言   在之前的学习中对iptables的语法有了一定的了解,对于在不太复杂的网络结构中的一些简单的语句可以进行简单的分析了。当然,如果对语句和相关架构不清楚的可以参考:(Linux防火墙之Netfilter)http://waringid.blog.51cto.com/65148/402648以及(iptables之语法初步)http://waringid.blog.51cto.com/65...
linux系统中查看己设置iptables规则
热门推荐
chengxuyuanyonghu的专栏
07-13 18万+
1、iptables -L 查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。 说明:-L是--list的简写,作用是列出规则。 2、iptables -L [-t 表名] 只查看某个表的中的规则。 说明:表名一共有三个:filter,nat,m
iptables-TCP协议和UDP协议
m0_57633272的博客
05-04 2235
文章目录 1.iptables 2.传输层 1.iptables iptables 是一个防火墙工具 Linux内核中有一个用户空间(user space)和内核空间(kernel space),iptables工作在用户空间,在内核空间中相对应的是netfilter,iptables给netfilter传递参数,之后netfilter会对传输进来的数据进行过滤,然后通知应用程序取数据 ...
查看iptables状态-重启
llwan的专栏
09-10 7万+
iptables 所在目录 /etc/sysconfig/iptables service iptables status 查看iptables状态 service iptables restart iptables服务重启 service iptables stop iptables服务禁用
linu系统中的防火墙iptables
dghfttgv的博客
11-23 136
一、使用iptables防火墙的管理 ## 1、iptables的管理和存储方式 ### (1)iptables的安装 yum install iptables -y |安装iptables ### (2)使用iptables的环境配置 systemctl stop firewalld |关闭firewalld systemctl disable firewall...
AF_UNIX实现linux本地socket通信的笔记
干煸四季豆
05-15 4212
iptables连接跟踪ip_conntrack
weixin_34405557的博客
08-05 1213
一、ip_conntrack模块介绍:ip_conntrack 是Linux NAT一个跟踪连接条目的模块记录着允许的跟踪连接条目ip_conntrack 模块会记录 tcp 通讯协议的 established connection 记录, 而且预设 timeout 时间长达五天 (432,000 秒).所以局域网中当有人使用p2p类的软件就很容易使ip_conntrack达...
本地透明代理的实现
路人甲的专栏
09-05 7960
 本地透明代理的实现 Windows下实现本地透明代理可以通过一个过滤驱动和代理进程实现。 过滤驱动Attach到“//Device//Tcp”和"//Device//Udp",然后在Dispatch函数中修改 连接的目的地址并保存原始目的地址和源地址。 上层的代理进程在accept到连接时,向过滤驱动查询连接的原始目的地址, 然后向原始目的地址发起连接。 Linux下面使用netfilter(iptables)可以很容易的实现一个TCP透明代理, 使用iptables的REDIRECT选项无需编写内核模块
iptables 防火墙命令解析
chichooyy的博客
03-02 2387
防火墙iptables有三个要素:表,链,规则。 五个链: INPUT OUTPUT FORWARD PEROUTING POSTROUTING 四个表: raw mangle nat filter(优先级:raw --> mangle --> nat --> filter) 以下内置链可以满足对iptables的基本配置: INPUT:进来的数据包应用此规则链中的策略; OUTPUT:外出的数据包应用此规则链中的策略; FORWARD:转发数据包时应用此规则链中的策略;
Linux networking
最新发布
07-27
iptables命令用于配置和管理Linux内置的防火墙,包括端口转发、访问控制和连接追踪等功能。此外,还可以使用一些命令来管理Linux网络状态,如重启网络服务、修改配置和重新启动网络管理器等。\[3\] 总之,Linux ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值