用ROS 30. RC6，成功阻拦了QQ

专卖精品

利用layer 7 protocol，成功阻拦了QQ，官方已经给出了很多应用的规则

不过导入后是乱码，要等下一个版本才修正

a249424746

ksw520

前段时间看 飞鱼 打了个首款具有拦截QQ功能的路由。当时还以为是封的IP和端口。
哈哈。3.0的ROS真值得期待。

专卖精品

可以做更多的事情了，不过总体上看还是按照特征来判断的，有的速度快一些，有的慢

tpy372

原帖由 专卖精品 于 2007-10-6 12:42 发表

                               
登录/注册后可看大图

可以做更多的事情了，不过总体上看还是按照特征来判断的，有的速度快一些，有的慢

哦？？？可以网页优先，游戏优先了哦。。。。

cracks

----------------------------------------------------------------------------------------------------
企业使用，光是在网关上做工作，还是不够的，用行为管理比较有效果。

特征码一换，又要换了。。。。所以还是比较被动。

自己抓包的方式这一点在isa防火墙上就用的很好，对于应用层ros要走的路还很长。。。

**********************************************************
/ip firewall layer7-protocol  协议方式

一.QQ的签名信息头

:if ([:len [find name=qq]] > 0) do={ :put "already have qq" } else={ add name=qq regexp="^.\?\02.+\03\$" }


就是这个双引号的部分了，其它的大家从楼主的附件中下载，用写字板打开不会乱格式。特征：" ^.\?\02.+\03\$ "

二. pcanywhere的远程控制软件的签名信息

:if ([:len [find name=pcanywhere]] > 0) do={ :put "already have pcanywhere" } else={ add name=pcanywhere regexp="^(nq|st)\$" }

三.RSTP视频点播流的签名信息

:if ([:len [find name=http-rtsp]] > 0) do={ :put "already have http-rtsp" } else={ add name=http-rtsp regexp="^(get[\09-\0D -~]* Accept: application/x-rtsp-tunnelled|http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9] [\09-\0D -~]*a=control:rtsp://)" }
                              秋风落叶扫㊣简单整理于2007-10-06日  于广东中山 期待ros3.0加入更多新功能.............

四.citrix终端服务器签名信息
:if ([:len [find name=citrix]] > 0) do={ :put "already have citrix" } else={ add name=citrix regexp="\32\26\85\92\58" }

五. msnmessenger的签名信息

:if ([:len [find name=msnmessenger]] > 0) do={ :put "already have msnmessenger" } else={ add name=msnmessenger regexp="ver [0-9]+ msnp[1-9][0-9]\? [\09-\0D -~]*cvr0\0D\0A\$|usr 1 [!-~]+ [0-9. ]+\0D\0A\$|ans 1 [!-~]+ [0-9. ]+\0D\0A\$" }

以下是msn的文件传输签名信息
:if ([:len [find name=msn-filetransfer]] > 0) do={ :put "already have msn-filetransfer" } else={ add name=msn-filetransfer regexp="^(ver [ -~]*msnftp\0D\0Aver msnftp\0D\0Ausr|method msnmsgr:)" }


六.VNC远程控制工具的签名信息
:if ([:len [find name=vnc]] > 0) do={ :put "already have vnc" } else={ add name=vnc regexp="^rfb 00[1-9]\\.00[0-9]\0A\$" }


七.yahoo通聊天工具的签名信息
:if ([:len [find name=yahoo]] > 0) do={ :put "already have yahoo" } else={ add name=yahoo regexp="^(ymsg|ypns|yhoo).\?.\?.\?.\?.\?.\?.\?[lwt].*\C0\80" }

八.RDP远程桌面控制的签名信息

:if ([:len [find name=rdp]] > 0) do={ :put "already have rdp" } else={ add name=rdp regexp="rdpdr.*cliprdr.*rdpsnd" }


九.ciscovpn签名信息

:if ([:len [find name=ciscovpn]] > 0) do={ :put "already have ciscovpn" } else={ add name=ciscovpn regexp="^\01\F4\01\F4" }

十.http上网时的80协议签名信息

:if ([:len [find name=http]] > 0) do={ :put "already have http" } else={ add name=http regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9] [\09-\0D -~]*(connection:|content-type:|content-length:|date:)|post [\09-\0D -~]* http/[01]\\.[019]" }

十一.ftp协议签名信息

:if ([:len [find name=ftp]] > 0) do={ :put "already have ftp" } else={ add name=ftp regexp="^220[\09-\0D -~]*ftp" }
                                                      
                                秋风落叶扫㊣简单整理于2007-10-06日  于广东中山 期待ros3.0加入更多新功能.............

十二.edonkey驴子签名信息

:if ([:len [find name=edonkey]] > 0) do={ :put "already have edonkey" } else={ add name=edonkey regexp="^[\C5\D4\E3-\E5].\?.\?.\?.\?([\01\02\05\14\15\16\18\19\1A\1B\1C\20\21\32\33\34\35\36\38\40\41\42\43\46\47\48\49\4A\4B\4C\4D\4E\4F\50\51\52\53\54\55\56\57\58[\60\81\82\90\91\93\96\97\98\99\9A\9B\9C\9E\A0\A1\A2\A3\A4]|\59................\?[ -~]|\96....\$)" }

十三.SMTP端口25协议签名信息

:if ([:len [find name=smtp]] > 0) do={ :put "already have smtp" } else={ add name=smtp regexp="^220[\09-\0D -~]* (e\?smtp|simple mail)" }

十四.POP3端口110协议签名信息

:if ([:len [find name=pop3]] > 0) do={ :put "already have pop3" } else={ add name=pop3 regexp="^(\\+ok |-err )" }

十五.SSH的签名信息

:if ([:len [find name=ssh]] > 0) do={ :put "already have ssh" } else={ add name=ssh regexp="^ssh-[12]\\.[0-9]" }


------------------------------------------------------------------------------------------

What's new in 3.0rc6:

*) RIP - fixed some problems;
*) RIP - automatically distribute connected routes
   falling within range of some configured network;
*) RIPng - network configuration statements removed,
   interface configuration now is mandatory;
*) added support for IPv6 Firewall in WinBox;
*) added support for IPv6 DNS cache in WinBox;
*) added support for MME routing protocol in WinBox;
*) added support for L7 matcher in WinBox;
*) added support for Prolific 2303 based USB serial devices;
*) specify tcp-mss in dynamicly added PPP mangle rules & do not add
   them when mtu is bigger then 1500;
*) fixed USB UPS detection;
*) fixed bug - PPTP client did not work with Windows PPTP server;
*) limited number of active authentication sessions for PPPoE server
   to not overload RADIUS server;
*) fixed bug - ssh command did not work on RB333;
*) added support for Intel EXPI9404PT PCI-E ethernet adpater;
*) added simple SNTP client to system package
   & removed regular ntp from bundle package;
*) updated timezone information;

[ 本帖最后由 cracks 于 2007-10-6 18:16 编辑 ]

专卖精品

至少可以吹牛一下了

net1974

crack_ros

7层以上的管理 用ISA2006 吧

那才是精华

LINUX 这方面 唉 需要努力啊

tpy372

特征码也不是说换就换的。。。。以后想封什么就封什么...

billzhong

牛B。呀。

狼孩

把木马、病毒的特征码也写进去……

naboo

匹配太多的特征码很浪费资源。

naboo

精品一句话，让我突然想到，ROS在我们手里已经可以叫作：多功能网关了！

那天有经销商做领导工作，整来个设备一看，我K，又是路由又是墙外加集成VPN加密加速模块还带杀毒。。。，今天看来，ROS亦是一样啊！

[ 本帖最后由 naboo 于 2007-10-8 13:50 编辑 ]

likeme

武器有了。要怎么用，还是得靠自己。