我想用u32 iptable的分机来匹配mdshash cookie的RDP数据包。 在Debian Jessie上
Linux version 3.16.0-4-amd64 ([email protected]) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)
下一个规则有效(TPKT v3,长度为47):
-m u32 --u32 "0>>22 & 0x3C @ 12>>26 & 0x3C @ 0=0x0300002f"
但是如果接下来的4字节检查为COTP PDU“CR连接请求”添加:
-m u32 --u32 "0>>22 & 0x3C @ 12>>26 & 0x3C @ 0=0x0300002f && 0=0x2ae0000"
规则不再匹配。 但是我需要在数据包中检查更多的字节序列。
我要检查的数据包的一部分:
0x0030: ffff fab3 0000 0300 002f 2ae0 0000 0000 ........./*..... 0x0040: 0043 6f6f 6b69 653a 206d 7374 7368 6173 .Cookie:.mstshas
这是否意味着u32只能检查4个字节,而不是在不同位置的字节序列?