F5BIG-IP会话保持cookie value换算

笔者在网络攻防演练时，在client端看到有铭文的F5BIG-IP cookie value，铭文的value是一段IP和port的换算的组合，可以通过转码的方式换算出后台的IP地址和port。

BIGipServer【#pool name】=XXXXXXXXXX.YYYYY.0000
【#pool name】，代表F5BIG-IP设备中pool的名称；
XXXXXXXXXX，10个十进制的数字代表IP地址；
YYYYY.0000，代表port端口；

计算过程：
IP地址转换过程：
XXXXXXXXXX（十进制）--AB CD EF GH(16进制)
AB--转换，十进制
CD--转换，十进制
EF--转换，十进制
GH--转换，十进制
倒叙排列：
GH(十进制).EF（十进制）.CD（十进制）.AB（十进制）

端口转换过程：
YYYYY（十进制--）abcd（16进制）
倒叙排列：
dcba
dcba转换十进制

拼凑组合：服务器IP：port：
GH(十进制).EF（十进制）.CD（十进制）.AB（十进制）：dcba（十进制）

举例：
BIGipServerPool-wangyin=3355551936.36895.0000
Pool-wangyin：F5BIG-IP设备中pool的命名
3355551936：LB负载均衡后台的IPV4的地址
36895.0000：后台server的port

IP地址转换：
十进制：3355551936
转换转换16进制：C801A8C0
C8-200
01-1
A8-168
C0-192
倒叙排列：192.168.1.200

端口转换：36895.0000
十进制：36895
转换转换16进制：901F
倒叙排列：1F90
1F90转换十进制：8080

3355551936.36895.0000计算的结果为：192.168.1.200:8080

 

通过转码换算可以看出负载后台的IP和port，如果使用BIG-IP cookie会话保持尽量开启加密策略。