Netopia D3100-I IDSL, D3232 IDSL, D7100 SDSL, D7171 SDSL - page 87

Security 8-87

AA

AAbb

bboo

oouu

uutt

tt gg

ggee

eenn

nnee

eerr

rr iiiicc

cc ff

ffiiiilllltt

tt ee

eerr

rr ss

ss

One of the more difficult aspects of writing Generic filter sets is determining how many bytes into the packet

(the Offset) the value you want to test is. In order to find the Offset value a good understanding of packet

formats is helpful. The following figure depicts a typical packet format structure for purposes of this example.

Observe that the first six bytes of the packet (frame) are used to indicate the destination MAC address and the

next six are used define the source MAC address. So, for example, to write a Generic filter set that would block

all incoming traffic to Mac address 00-00-c8-e3-95 you could create a filter rule like this:

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Time to Live | Protocol | Header Checksum |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Source Address |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Destination Address |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Options | Padding |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| data |

| Source Port | Destination Port |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Sequence Number |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Acknowledgment Number |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Data | |U|A|P|R|S|F| |

| Offset| Reserved |R|C|S|S|Y|I| Window |

| | |G|K|H|T|N|N| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

TCP Header Format

Note that one tick mark represents one bit position.

Destination

Address Source

Address Frame Type Frame Data CRC

6 octets 6 octets 2 octets 64 - 1500 octets 4 octets