QQ Game 游戏的正则表达式
本帖最后由 luhong_1979 于 2011-1-29 22:23 编辑QQ Game 进入房间后,游戏开始时才出现游戏所在服务器的IP。本列抓取的是游戏开始后,本机对与游戏服务器之间的第一个带数据字段的包,发现有如下规律:
00 78 2D 00 00 00 11 1C FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 22 3F FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 2F 1A FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 01 16 FF FF 14 9F 9F 5F 01 38 ...
QQ Game的16进制特征如下,都是以00 78 2D开头,并且红色的那两个16进制会有变化。
00 78 2D 00 00 00 01 16 FF FF 14 9F 9F 5F 01 38
于是我做了如下的规则
add name=QQGame regexp="\00\78\2D\00\00\00.+\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="\00\78\2D\00\00\00.\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="\00\78\2D\00\00\00.\?.\?\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="^\00\78\2D\00\00\00.\?.\?\FF\FF\14\9F\9F\5F\01\38"
经测试发现,都在ROS下都能匹配
能成功的找出QQ游戏服务器所在的IP地址。
但出现一个非常意外的问题,我做的这个正则,无论是放在Mangle列表的哪个位置,都会造成别http的l7规则无法识别,导到用到HTTP的l7规则无效了,不知道何解?
但QQ Game的正则是有效的,可以正确识别出QQ游戏的服务器IP来。
请版主及各路高手帮忙看看是怎么回事,还有帮忙看看我写的那个正则正确吗,如果有问题请帮忙写一个正则,谢谢。。
附上QQ Game 游戏的抓包。
我也很想研究啊。 终于有一位老大留言了,太感谢了,各路版主,及高手们,帮忙看看吧,谢谢! 学习一下、、、 还不如标记443端口省事。 277370403 发表于 2011-1-30 11:07 static/image/common/back.gif
还不如标记443端口省事。
HTTPS也是走443,你这样省要省出很多问题。 443端口~p2p流量也会占用上的~ layer7把00当成null
你把表达式改为
add name=QQGame regexp="^\78\2D\?.\?\FF\FF\14\9F\9F\5F\01\38"
试下 想得太美 发表于 2011-1-30 13:36 static/image/common/back.gif
layer7把00当成null
你把表达式改为
add name=QQGame regexp="^\78\2D\?.\?\FF\FF\14\9F\9F\5F\01\38"
试了不行。 一直没有搞明白的L7,看来真的是很难啊 唉.........说到ROSL7的部分我一直想搞懂,但是他的正规表示又与Linuxiptables的不同,太美老大都出手了,还是没人可以破解!...............ros 好用唯独 L7没法搞懂! 本帖最后由 805333 于 2011-2-1 05:04 编辑
问下楼主用的是什么软件捕包的,呵呵 是科来么? 各位老大们帮忙研究一下吧,谢谢 本帖最后由 805333 于 2011-2-5 18:48 编辑
L7太难了,没有ROS正则语法教程,ROS的正则与V8的正则不同 很强大
页:
[1]
2