论文研究-基于iptables的包内容过滤防火墙的设计与实现 .pdf

所需积分/C币:18 2019-08-15 13:02:59 177KB .PDF

基于iptables的包内容过滤防火墙的设计与实现,关尔昱,周亚建,本文利用iptables提供的libipq函数库,用C语言在Linux平台下编写一个用户空间程序,与iptables规则配合起来对数据包内容的关键字匹配,达��
取国科技论在线 包内容过滤的实现 代码的主要部分是一个无限循环,来等待处理从内核当中发送过来的数据包。以下代码 忽略了错误处理 取国科技论在线 其中的 函数用来匹配数据包中的关键字,这里用到了多模式匹配算法,增加 匹直的效率 结论 在进行测试之前要首先设置 的规则,运行如下命令(需要有计算机的权限) 即把所有进来的数据包都传送到用户队列空间,以配合程序使用。 测试时使用北邮人论坛的登录名作为关键词进行过滤,如果检测到 字符串 则不允许数据包通过,也就表现为用户不能登陆。运行如下命令: 此时在北邮人论坛用用户进行登陆则没有反映,一直显示正在连接。结果如图所 邮人论坛→用户登录 请输入您的用户名、密码叠录 调输入您的用户名 noto 没有壮册 请入您的密码 Cookie选项 °不保存,关闭浏览器就失效 请选择你的Cke保存时间,下次访间保存一天 可以方儇输入。 保有一月 保存一年 登录 图用户无法登陆 取国科技论在线 而同时系统还会在 目录中生成 日志文件。日志内容如图所示 文件()编辑)查看()終端()标签)帮助(H 他d」un1321:35:232007 ource addr:2116871 66 Dest Addr:59.64.152.253 .ource port: 80 □est卩ort:50401 Len:1500 Wed jun1321:35:232007 Source Addr: 211.68.71.66 Dest Addr:59.64.152.253 ource port. 80 Dest卩ort:50401 Len:1500 №dJun1321:35:23207 ource Addr:211.6871.66 Dest Addr:59.64.152.25 Source port:8〔 Dest Port: 50401 Len:1500 图阻挡日 可以看出日忐中记录了被阻挡的数据包的源地址、目标地址以及源端口目标端口和数据 包程度等内容,供系统管理员进行分析 从测试结果可以看出,本程序和 的规则配合起来,可以有效的进行数据包内容 过滤,以达到阻挡特定连接的作用,在保护网络和主机和限制特定应用方面都有一定作用。 但也要看到本程序的不足之处。由于程序是在用户空间进行数据包处理,效率是个很大 的问题,肯定不比在内核空间直接处理效率高。所以本程序日前仅适用于小型网终或者单机 使用。 参考文献 防火墙第版机械T业出版社 魏晓宁基于 防火墙的设计与实现科技资讯第期年,月: 取国科技论在线

...展开详情
img

关注 私信 TA的资源

上传资源赚积分,得勋章
相关内容推荐