[tanya-jawab] Blok Teamviewer (Layer7) (Was: Ngeblok Team Viewer di IPTables)

Arief Yudhawarman Thu, 25 Mar 2010 07:34:49 -0700

On Mon, Mar 15, 2010 at 12:42:26PM +0800, Nyoman [D] wrote:

> Mungkin perlu dicoba pake -m string --string "teamviewer" pak
> Coba jalankan ini di gateway bapak, dan amati log (/var/log/messages)


Kebetulan lagi belajar layer7 di mikrotik dan capture packet dengan tcpdump
serta wireshark untuk analisa. Mumpung pikiran masih hangat jadi saya jawab,
untuk blok teamviewer:

1. Blok normal tcp port 5938. Ini bisa pakai iptables.
2. Spoofing dns teamviewer.com ke 127.0.0.1 di dnscache.
   Sudah saya post emailnya.
3. Alternatif 2 pakai layer7 filtering (http://l7-filter.sourceforge.net/)

Untuk no 3, setelah dilakukan analisa data aplikasi teamviewer yg lewat tcp
port 80, maka diperoleh pola string untuk aktivasi client teamviewer:

0000   00 0c 42 20 94 47 00 25 9c 2f a6 68 08 00 45 00  ..B .G.%./.h..E.
0010   01 17 e6 eb 40 00 7f 06 c4 bb ac 10 02 2c 57 e6  ....@........,W.
0020   49 17 06 5b 00 50 66 2f 4c 60 15 c9 7d 09 50 18  I..[.Pf/L`..}.P.
0030   ff ff 1b d4 00 00 47 45 54 20 2f 64 69 6e 2e 61  ......GET /din.a
0040   73 70 78 3f 73 3d 30 30 30 30 30 30 30 30 26 69  spx?s=00000000&i
0050   64 3d 35 33 36 37 38 30 34 37 35 26 63 6c 69 65  d=536780475&clie
0060   6e 74 3d 44 79 6e 47 61 74 65 26 72 6e 64 3d 38  nt=DynGate&rnd=8
0070   31 34 39 36 39 32 30 26 70 3d 31 30 30 30 30 30  1496920&p=100000
0080   30 31 20 48 54 54 50 2f 31 2e 31 0d 0a 41 63 63  01 HTTP/1.1..Acc
0090   65 70 74 3a 20 2a 2f 2a 0d 0a 55 73 65 72 2d 41  ept: */*..User-A
00a0   67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e  gent: Mozilla/4.
00b0   30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d  0 (compatible; M
00c0   53 49 45 20 36 2e 30 3b 20 44 79 6e 47 61 74 65  SIE 6.0; DynGate
00d0   29 0d 0a 48 6f 73 74 3a 20 6d 61 73 74 65 72 31  )..Host: master1
00e0   32 2e 74 65 61 6d 76 69 65 77 65 72 2e 63 6f 6d  2.teamviewer.com
00f0   0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65  ..Connection: Ke
0100   65 70 2d 41 6c 69 76 65 0d 0a 43 61 63 68 65 2d  ep-Alive..Cache-
0110   43 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 63 61 63 68  Control: no-cach
0120   65 0d 0a 0d 0a                                   e....

The data is started by string:
  GET /din.aspx?s=00000000&id=536780475&client=DynGate&rnd=81496920&p=10000001 
HTTP/1.1

Masukan pattern ini di layer7 filter:
 ^get./din.aspx\?s=[0-9]+&id=[0-9]+&client=dyngate&rnd=[0-9]+&p=[0-9]+[ 
-~\t-\r]*host:.+.teamviewer.com

-- 
Arief Yudhawarman
http://awarmanf.wordpress.com

-- 
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id
Arsip dan info milis selengkapnya di http://linux.or.id/milis

[tanya-jawab] Blok Teamviewer (Layer7) (Was: Ngeblok Team Viewer di IPTables)

Reply via email to