如何通过Iptables-String在Linux中筛选出含恶意SQL关键词的HTTP请求?
- 内容介绍
- 文章标签
- 相关推荐
本文共计818个文字,预计阅读时间需要4分钟。
iptables的string模块可以匹配HTTP明文请求中的SQL关键字(如SELECT、UNION、INSERT INTO等),但仅适用于未加密的HTTP流量,且需要严格的匹配范围和位置控制,否则易造成误拦或失效。
确认系统支持 string 模块
执行以下命令验证内核和 iptables 是否启用该功能:
iptables -m string --help
若输出帮助信息,说明可用;若报错 Unknown arg,则需检查:
– 内核是否编译了 CONFIG_NETFILTER_XT_MATCH_STRING(常见于精简版容器或嵌入式系统)
– 是否安装完整版 iptables(非 nftables 替代包)
– 推荐使用 CentOS 7+、Ubuntu 18.04+ 等主流发行版
限定匹配范围,避免性能与误判
HTTP 请求头通常位于数据包前几百字节,正文可能含编码或分块传输。盲目全包扫描既低效又危险:
- 用 --from 0 --to 512 将搜索限制在首 512 字节,覆盖请求行、Headers 和部分 URL/POST body 起始
- 避免使用 --to 65535(默认上限),防止跨包误匹配或拖慢转发
- 对 POST 请求,关键字多出现在 application/x-www-form-urlencoded 或 multipart/form-data 开头,仍适用上述范围
编写针对性过滤规则
以拦截常见 SQL 注入特征为例(仅作用于 HTTP 80 端口):
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --from 0 --to 512 --string "union select" --icase -j DROP
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --from 0 --to 512 --string "select * from" --icase -j DROP
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --from 0 --to 512 --string "insert into" --icase -j DROP
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --from 0 --to 512 --string "drop table" --icase -j DROP
注意:
– 必须放在 通用 ACCEPT 规则之前,否则会被跳过
– --icase 启用大小写不敏感,应对变形输入(如 UnIoN SeLeCt)
– --algo bm(Boyer-Moore)适合 ASCII 固定字符串,比 kmp 更快;kmp 仅在含重复子串时更稳,一般无需切换
关键限制与替代建议
string 模块不是 WAF,它有不可绕过的硬性边界:
- HTTPS 流量无效:TLS 加密后正文完全不可见,SNI 和 Client Hello 中仅能捕获域名或协议版本,无法识别 SQL 关键字
- 不支持正则与上下文分析:无法区分 SELECT 是代码还是文章标题,也无法解析 URL 编码(如 %73%65%6c%65%63%74)
- 无会话状态:单包匹配,无法关联多请求行为(如探测→注入→提权)
生产环境应结合:
– Web 应用防火墙(如 ModSecurity)做语义级检测
– 数据库层启用查询白名单或审计日志 + fail2ban 实时封禁
– 应用层强制参数化查询,从根源杜绝注入可能
本文共计818个文字,预计阅读时间需要4分钟。
iptables的string模块可以匹配HTTP明文请求中的SQL关键字(如SELECT、UNION、INSERT INTO等),但仅适用于未加密的HTTP流量,且需要严格的匹配范围和位置控制,否则易造成误拦或失效。
确认系统支持 string 模块
执行以下命令验证内核和 iptables 是否启用该功能:
iptables -m string --help
若输出帮助信息,说明可用;若报错 Unknown arg,则需检查:
– 内核是否编译了 CONFIG_NETFILTER_XT_MATCH_STRING(常见于精简版容器或嵌入式系统)
– 是否安装完整版 iptables(非 nftables 替代包)
– 推荐使用 CentOS 7+、Ubuntu 18.04+ 等主流发行版
限定匹配范围,避免性能与误判
HTTP 请求头通常位于数据包前几百字节,正文可能含编码或分块传输。盲目全包扫描既低效又危险:
- 用 --from 0 --to 512 将搜索限制在首 512 字节,覆盖请求行、Headers 和部分 URL/POST body 起始
- 避免使用 --to 65535(默认上限),防止跨包误匹配或拖慢转发
- 对 POST 请求,关键字多出现在 application/x-www-form-urlencoded 或 multipart/form-data 开头,仍适用上述范围
编写针对性过滤规则
以拦截常见 SQL 注入特征为例(仅作用于 HTTP 80 端口):
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --from 0 --to 512 --string "union select" --icase -j DROP
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --from 0 --to 512 --string "select * from" --icase -j DROP
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --from 0 --to 512 --string "insert into" --icase -j DROP
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --from 0 --to 512 --string "drop table" --icase -j DROP
注意:
– 必须放在 通用 ACCEPT 规则之前,否则会被跳过
– --icase 启用大小写不敏感,应对变形输入(如 UnIoN SeLeCt)
– --algo bm(Boyer-Moore)适合 ASCII 固定字符串,比 kmp 更快;kmp 仅在含重复子串时更稳,一般无需切换
关键限制与替代建议
string 模块不是 WAF,它有不可绕过的硬性边界:
- HTTPS 流量无效:TLS 加密后正文完全不可见,SNI 和 Client Hello 中仅能捕获域名或协议版本,无法识别 SQL 关键字
- 不支持正则与上下文分析:无法区分 SELECT 是代码还是文章标题,也无法解析 URL 编码(如 %73%65%6c%65%63%74)
- 无会话状态:单包匹配,无法关联多请求行为(如探测→注入→提权)
生产环境应结合:
– Web 应用防火墙(如 ModSecurity)做语义级检测
– 数据库层启用查询白名单或审计日志 + fail2ban 实时封禁
– 应用层强制参数化查询,从根源杜绝注入可能