iT邦幫忙

0

Ethernet(Layer2) Packet 封包檢測

各位先進大大們,
小弟想請問有哪個在Linux的工具可以做到對Ethernet(Layer 2)封包進行payload的過濾?

由於這種Ethernet封包並沒有IP的標頭,只有 Source and Destination MAC位址,
iptables完全抓不到這類的封包, 而 ebtables 只能針對 MAC位址進行過濾,
小弟想針對這種封包的payload部分進行檢測,例如指定檢測Ethernet封包的最後一個byte.
卻苦苦找不到工具...
還請各位先進大大們指點迷津! 小弟真心感激萬分啊!

2 個回答

2
cmwang
iT邦高手 1 級 ‧ 2014-01-30 09:11:38
最佳解答

印象中Linux的iptables可以把L2的封包當成L3處理,再配合string模組應該就能做到,不過現在書不在手邊就是了....

懇請CM大大再提供詳細一點的資訊...感覺很接近了啊!!

cmwang iT邦高手 1 級 ‧ 2014-02-05 20:58:10 檢舉

請參考悅知文化出版的Linux網路安全技術與實現,第9章關於通透式防火牆的部份(主要由351頁開始),不過鵝也沒試過就是了汗汗....

2
macliu
iT邦研究生 5 級 ‧ 2014-01-31 13:38:03

這功能不常用
我憑記憶回應您
請您參考看看囉!

指令格式如下:
#iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
這樣是直接拒絕指定的MAC連進Linux
#iptables -t mangle -A PREROUTING -s <IP> -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
一進入Linux ROUTER就先判斷是否要予與拒絕

================================
馬克資訊科技有限公司(M.I.T.C.)
系統工程師
Mac Liu(劉淵精)
[MCSE/MCDBA/CCNA/TCSE/RHCSA/RHCE]
macliu@mac-tech.idv.tw
Http://www.mac-it.com.tw
TEL:02-87928846
FAX:02-87928845
Mobile:0927-300404
MSN&FB:macliu_tw@hotmail.com

公司資格:丙種電器承裝業、丙種電信工程業
人員資格:丙級用電設備檢驗技術士(166-007098)、丙級網路架設技術士(172-000664)、丙級電腦硬體裝修技術士(120-117438)、乙級電腦硬體裝修技術士(120-007804)、丙級視聽電子技術士(029-018052)、丙級工業電子技術士(028-131687)
訓練資格:勞工安全衛生管理員結訓、佈線系統測試工程師結訓
特殊資格:甲種勞工安全衛生業務主管、初級救護技術員、基本救命術指導員、繩索作業技術人員、中華山岳協會C級運動攀登教練
保險資格:人身壽險業務員、產物保險業務員
================================

M大您好, 謝謝您的幫忙, 但是我想要檢測的Ethernet frame並不含IP Header, 所以iptables抓不到, 而ebtables無法對payload部分進行string match.
所以想再次叨擾M大, 可另有對策??

我要發表回答

立即登入回答