Zavier's Blog

基于iptables,针对中国移动HTTP劫持,发送RST包屏蔽部分网站的解决办法

原理:在Linux系统的路由器上,通过iptables,或者UNIX,如华为,cisco等设备,使用ACL将中国移动IDS系统和旁路设备返回的虚假数据包丢弃。

iptables配置规则

#丢弃中国移动IDS系统设备返回的RST数据包,解决墙中墙问题。

iptables -A FORWARD -p tcp --tcp-flags RST RST -j DROP

#基于TTL检测,将旁路设备抢答返回的虚假数据包丢弃,解决当下载以.exe、.rar、.zip、.apk等为后缀的文件时,被中国移动通过302重定向至自己网内cache服务器的问题。

#通过抓包检测,旁路设备返回的虚假302重定向数据包TTL值在20-30内,不同省份可能不同,而真实的服务器TTL大都在40-60左右(Linux)和100-128(Windows)。

iptables -A FORWARD -p tcp -m tcp --sport --m ttl --ttl-gt 20 -m ttl --ttl-lt 30 -j DROP


#iptables其他参数

-s 0.0.0.0/0 可自定义源IP

-d 0.0.0.0/0 自定义目的IP

--ttl-gt  TTL大于一个值

--ttl-lt  TTL小于一个值

--ttl-eq TTL等于一个值

  • 评论列表:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright © 2017-2019 Zavier的博客.网站地图