On Wed, Apr 21, 2010 at 03:16:41PM +0700, Lynn Nooks wrote:
> > ada yang tau cara ngeblok aplikasi vidalia by iptable atau squid, di =
> > squid saya, saya blok facebook dan web-web tertentu, tapi ada user pake =
> > apliaksi vidalia bisa bablas...
> >
> > bagaimana cara ngeblok aplikasi ini ? ada yang tau ?
> >
>
> coba settingannya mbah Dharmo dipakai deh...
> Mbah Dhar... coba juga sampeyan install vidalia, apa bisa tembus masih?
> Atau nunggu solusinya mas Arif Yudhawarman via filter hex.
Jadi tertantang lagi nih ;)
Toolnya tetap yang sama, sniffer dan wireshark.
Pertama, kumpulin semua paket yang dikirim oleh vidalia.
Kedua, cek pola paket client hello yang dikirim oleh aplikasi ini.
Ternyata aplikasi ini mempunyai protokol suite untuk ssl yang berbeda
dengan mozilla dan firefox windows xp. Jadi ini adalah
karakteristiknya yang unik:
- Cipher Suites Length: 56
- Cipher Suites (28 suites)
Patternnya:
c00ac01400390038c00fc0050035c007c009c011c01300330032c00cc00ec002c00400040005002fc008c01200160013c00dc003feff000a
Jalankan iptables untuk DROP pola ini, karena saya main di lokal jadi pakai
chain
OUTPUT, sesuaikan dengan tempat anda:
iptables -A OUTPUT -p tcp --dport 443 -m string --to 256 --hex-string \
'|C00AC01400390038C00FC0050035C007C009C011C01300330032C00CC00EC002C00400040005002FC008C01200160013C00DC003FEFF000A|'
--algo bm -j DROP
# iptables -L OUTPUT -nv
Chain OUTPUT (policy ACCEPT 7308K packets, 3084M bytes)
pkts bytes target prot opt in out source destination
50 10080 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:443 STRING match
"|c00ac01400390038c00fc0050035c007c009c011c01300330032c00cc00ec002c00400040005002fc008c01200160013c00dc003feff000a|"
ALGO name bm TO 256
--
Arief Yudhawarman
http://awarmanf.wordpress.com
--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id
Arsip dan info milis selengkapnya di http://linux.or.id/milis
