ROPE是一个“匹配模块”为Linux的iptables的,允许使用高度灵活的规则,写成一个简单的目的设计的脚本语言相匹配的数据包。它被写最初提供为P2PWall项目用于控制各种样式的对等应用程序通信的下一阶段的支持,但比这要广泛得多,在它的可能的用途。请参阅基础页的教程式的概述。
iptables的的匹配模块允许的规则,以根据数据包是否符合特定标准或不行动。的netfilter / iptables的标准分发提供了一系列这种类型的有用的模块。这些典型地允许进行检查的协议类型(TCP或UDP),源和目的地地址以及端口等。
还有一组有趣的“额外”比可以被编译进内核提供一些扩展包匹配功能。其中一个例子是“字符串”模块,允许数据包进行匹配的指定的字符串中的数据包的数据有效载荷部分的任何地方是否存在等(或其他方式)的基础上。还有一些其他的藏宝可用于显著延长该系统的功能。
为了使用绳索构建匹配规则,你首先需要编写绳子小脚本编码的匹配条件。作为一个例子,我们可以找到“内容长度”HTTP下载头和检查长度不使用下面的脚本超过百万字节..
这个脚本,以使其工作步骤如下:
1.搜索分组的字符串的数据有效载荷“内容长度:”,但忽略信情况下它搜索。
2.如果未找到字符串,脚本将停止,并返回一个“不匹配”状态的netfilter。
3.如果找到字符串,该脚本采用它后面的数字,并将它们存储为一个字符串在寄存器$ N。
4.在$ N的字符串转换为整数,相比对数1000000。如果$ n较大超过100万则脚本终止并返回一个“匹配”状态的iptables。
5.否则,脚本终止了“不匹配”的地位。
在其中这样的脚本编写语言是基于ReversePolish符号的想法,但扩展到处理AnchorBrackets的概念。语言是详细记录在LanguageReference。
评论没有发现