On Mon, Mar 15, 2010 at 12:42:26PM +0800, Nyoman [D] wrote: > Mungkin perlu dicoba pake -m string --string "teamviewer" pak > Coba jalankan ini di gateway bapak, dan amati log (/var/log/messages)
Kebetulan lagi belajar layer7 di mikrotik dan capture packet dengan tcpdump serta wireshark untuk analisa. Mumpung pikiran masih hangat jadi saya jawab, untuk blok teamviewer: 1. Blok normal tcp port 5938. Ini bisa pakai iptables. 2. Spoofing dns teamviewer.com ke 127.0.0.1 di dnscache. Sudah saya post emailnya. 3. Alternatif 2 pakai layer7 filtering (http://l7-filter.sourceforge.net/) Untuk no 3, setelah dilakukan analisa data aplikasi teamviewer yg lewat tcp port 80, maka diperoleh pola string untuk aktivasi client teamviewer: 0000 00 0c 42 20 94 47 00 25 9c 2f a6 68 08 00 45 00 ..B .G.%./.h..E. 0010 01 17 e6 eb 40 00 7f 06 c4 bb ac 10 02 2c 57 e6 ....@........,W. 0020 49 17 06 5b 00 50 66 2f 4c 60 15 c9 7d 09 50 18 I..[.Pf/L`..}.P. 0030 ff ff 1b d4 00 00 47 45 54 20 2f 64 69 6e 2e 61 ......GET /din.a 0040 73 70 78 3f 73 3d 30 30 30 30 30 30 30 30 26 69 spx?s=00000000&i 0050 64 3d 35 33 36 37 38 30 34 37 35 26 63 6c 69 65 d=536780475&clie 0060 6e 74 3d 44 79 6e 47 61 74 65 26 72 6e 64 3d 38 nt=DynGate&rnd=8 0070 31 34 39 36 39 32 30 26 70 3d 31 30 30 30 30 30 1496920&p=100000 0080 30 31 20 48 54 54 50 2f 31 2e 31 0d 0a 41 63 63 01 HTTP/1.1..Acc 0090 65 70 74 3a 20 2a 2f 2a 0d 0a 55 73 65 72 2d 41 ept: */*..User-A 00a0 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e gent: Mozilla/4. 00b0 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 0 (compatible; M 00c0 53 49 45 20 36 2e 30 3b 20 44 79 6e 47 61 74 65 SIE 6.0; DynGate 00d0 29 0d 0a 48 6f 73 74 3a 20 6d 61 73 74 65 72 31 )..Host: master1 00e0 32 2e 74 65 61 6d 76 69 65 77 65 72 2e 63 6f 6d 2.teamviewer.com 00f0 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 ..Connection: Ke 0100 65 70 2d 41 6c 69 76 65 0d 0a 43 61 63 68 65 2d ep-Alive..Cache- 0110 43 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 63 61 63 68 Control: no-cach 0120 65 0d 0a 0d 0a e.... The data is started by string: GET /din.aspx?s=00000000&id=536780475&client=DynGate&rnd=81496920&p=10000001 HTTP/1.1 Masukan pattern ini di layer7 filter: ^get./din.aspx\?s=[0-9]+&id=[0-9]+&client=dyngate&rnd=[0-9]+&p=[0-9]+[ -~\t-\r]*host:.+.teamviewer.com -- Arief Yudhawarman http://awarmanf.wordpress.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis