Iptables descartando pacotes HTTP 302 contêm uma cadeia de domínio suspeita

1

Os pacotes HTTP 302 que eu quero bloquear têm:

Header

HTTP/1.1 302 Found
Location: http://www.yxjiaodai.com/ad/?id=1023&url=http%3A//a1819.oadz.com/link/C/1819/3081547/dtMdon4l79FwsIo2JXEHqtdp5eQ_/p007/0/http%3A//www.womai.com/AdvRedirect.do%3Furi%3Dhttp%3A//www.womai.com/%26utm_source%3DtongyongG%26utm_medium%3Dtongyong%26utm_campaign%3Damg
Connection: close

Eu quero largar todos esses pacotes combinando "yxjiaodai.com", isso é possível?

    
por Edward 16.09.2015 / 05:36

1 resposta

1

Você tem que usar a inspeção profunda de pacotes para esta tarefa, que o iptables não é realmente feito para isso.

Você poderia começar com a correspondência de string como esta

iptables -A INPUT -p tcp --dport 80 -d DESTINATIONIP -m string --algo bm --string "HTTP/1.1 302 Found" -j DROP

Substitua DESTINATIONIP pelo endereço IP da sua máquina.

Mas tenha em mente que isso é naturalmente uma tarefa para um sistema de detecção de intrusão.

    
por 16.09.2015 / 05:47