原理:在Linux系统的路由器上,通过iptables,或者UNIX,如华为,cisco等设备,使用ACL将中国移动IDS系统和旁路设备返回的虚假数据包丢弃。
iptables配置规则
丢弃中国移动IDS系统设备返回的RST数据包,解决墙中墙问题。
iptables -A FORWARD -p tcp --tcp-flags RST RST -j DROP
基于TTL检测,将旁路设备抢答返回的虚假数据包丢弃,解决当下载以.exe、.rar、.zip、.apk等为后缀的文件时,被中国移动通过302重定向至自己网内cache服务器的问题。
通过抓包检测,旁路设备返回的虚假302重定向数据包TTL值在20-30内,不同省份可能不同,而真实的服务器TTL大都在40-60左右(Linux)和100-128(Windows)。
iptables -A FORWARD -p tcp -m tcp --sport --m ttl --ttl-gt 20 -m ttl --ttl-lt 30 -j DROP
iptables其他参数
-s 0.0.0.0/0 可自定义源IP
-d 0.0.0.0/0 自定义目的IP
--ttl-gt TTL大于一个值
--ttl-lt TTL小于一个值
--ttl-eq TTL等于一个值
评论