package/iptables/files/l7/ntp.pat

   1 # (S)NTP - (Simple) Network Time Protocol - RFCs 1305 and 2030
   2 # Pattern quality: good veryfast overmatch
   3 #
   4 # This pattern is tested and is believed to work. If this does not work
   5 # for you, or you believe it could be improved, please post to
   6 # l7-filter-developers@lists.sf.net .  Subscribe at
   7 # http://lists.sourceforge.net/lists/listinfo/l7-filter-developers
   8
   9 # client|server
  10 # Requires the server's timestamp to be in the present or future (of 2005).
  11 # Tested with ntpdate on Linux.
  12 # Assumes version 2, 3 or 4.
  13
  14 # Note that ntp packets are always 48 bytes, so you should match on that too.
  15
  16 ntp
  17 ^([\x13\x1b\x23\xd3\xdb\xe3]|[\x14\x1c$].......?.?.?.?.?.?.?.?.?[\xc6-\xff])