LUYOKY 发表于 2011-5-2 14:04:43

L7特征码怎么写?

winbox-Tools-Packet Sniffer抓包,三个包的前面64字节。
4500 0240 2c3e 0000 4006 89ee c0a8 2ff6 ddee f3fe 0d89 19f0 e11d 4f73 8f03 d18e 5010 fbde e2e1 0000 c3ce ea0a bdc8 8106 8775 ac23 3ea8 b5fa 8e73 98f9 95a1 fdff
4500 0240 2c26 0000 4006 8a06 c0a8 2ff6 ddee f3fe 0d89 19f0 e11d 57d3 8f03 d18e 5010 fbde 1026 0000 fedf 3ffe 27b5 af7a 06dd a834 203a 982f c354 e524 47cd 4bac
4500 0240 2c25 0000 4006 8a07 c0a8 2ff6 ddee f3fe 0d89 19f0 e11d 55bb 8f03 d18e 5010 fbde 07ab 0000 4f3c d931 e8cf c474 60bd bfa7 3421 e239 5b16 aeca 7b3c 53e2

9939781 发表于 2011-5-2 14:12:49

你这是神马?

LUYOKY 发表于 2011-5-2 14:32:23

我刚开始学L7,东南西北都还分不清。
那些是winbox自带的抓包工具抓的包,很大的包,size=1480,每个我只贴了前面的64字节。

LUYOKY 发表于 2011-5-2 14:47:10

你就当16进特征码是:01 01 08 0a,L7应该怎样写呢?

WGHBOY 发表于 2011-5-2 15:15:11

抓这个很累人

LUYOKY 发表于 2011-5-2 15:44:27

我试过把^(GET|get)换成^(\x47\x45\x54|\x67\x65\x74)可以检测到流量。
而^(\x01\x01\x08\x0a)就是检测不到流量。
包特征的确是(0101080a),L7特征码写成:^(\x01\x01\x08\x0a)应该也没错。
@#$@#$%#$

LUYOKY 发表于 2011-5-3 08:59:53

用winbox自带的抓包工具抓包很方便,再把包贴到记事本上找特征也很快捷。
就是不知道怎么写L7特征码。

注册马 发表于 2011-5-3 09:46:14

wireshark捉包~然后用diff 对比找出来的数据~

yus 发表于 2011-5-3 10:20:56

回复 bobwalker 的帖子

我没有经常写,只是在学习,最近对十六进制的分析也遇到问题。

jt00278 发表于 2011-5-3 14:02:53

很复杂……

yuefy 发表于 2011-5-4 18:40:47

我觉得写L7特征码容易,就是特征码定位太难了,有些软件太多封包类型了!就好像qvod,找了几个小时,都觉得不对,后来干脆放弃!

crc8 发表于 2011-5-17 15:51:07

希望能看到相关教程或讨论

brqtpt007 发表于 2011-5-18 08:46:47

这个还在云里雾里我:L
页: [1]
查看完整版本: L7特征码怎么写?