找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 14838|回复: 22

[layer7] QQ Game 游戏的正则表达式

  [复制链接]
发表于 2011-1-29 21:51:40 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
本帖最后由 luhong_1979 于 2011-1-29 22:23 编辑

QQ Game 进入房间后,游戏开始时才出现游戏所在服务器的IP。本列抓取的是游戏开始后,本机对与游戏服务器之间的第一个带数据字段的包,发现有如下规律:
00 78 2D 00 00 00 11 1C FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 22 3F FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 2F 1A FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 01 16 FF FF 14 9F 9F 5F 01 38 ...
QQ Game的16进制特征如下,都是以00 78 2D开头,并且红色的那两个16进制会有变化。
00 78 2D 00 00 00 01 16 FF FF 14 9F 9F 5F 01 38

于是我做了如下的规则
add name=QQGame regexp="\00\78\2D\00\00\00.+\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="\00\78\2D\00\00\00.\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="\00\78\2D\00\00\00.\?.\?\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="^\00\78\2D\00\00\00.\?.\?\FF\FF\14\9F\9F\5F\01\38"

经测试发现,都在ros下都能匹配
能成功的找出QQ游戏服务器所在的IP地址。

但出现一个非常意外的问题,我做的这个正则,无论是放在Mangle列表的哪个位置,都会造成别http的l7规则无法识别,导到用到HTTP的l7规则无效了,不知道何解?
但QQ Game的正则是有效的,可以正确识别出QQ游戏的服务器IP来。

请版主及各路高手帮忙看看是怎么回事,还有帮忙看看我写的那个正则正确吗,如果有问题请帮忙写一个正则,谢谢。。

附上QQ Game 游戏的抓包。
QQ Game.jpg
QQ Game.rar (342 Bytes, 下载次数: 26)
routeros
发表于 2011-1-29 21:59:27 | 显示全部楼层
我也很想研究啊。
routeros
回复

使用道具 举报

 楼主| 发表于 2011-1-29 22:17:46 | 显示全部楼层
终于有一位老大留言了,太感谢了,各路版主,及高手们,帮忙看看吧,谢谢!
routeros
回复

使用道具 举报

发表于 2011-1-29 23:15:25 | 显示全部楼层
学习一下、、、
routeros
回复

使用道具 举报

发表于 2011-1-30 11:07:23 | 显示全部楼层
还不如标记443端口省事。
routeros
回复

使用道具 举报

发表于 2011-1-30 11:18:20 | 显示全部楼层
routeros
回复

使用道具 举报

发表于 2011-1-30 12:18:00 | 显示全部楼层
443端口~p2p流量也会占用上的~
routeros
回复

使用道具 举报

发表于 2011-1-30 13:36:50 | 显示全部楼层
layer7把00当成null
你把表达式改为
add name=QQGame regexp="^\78\2D\?.\?\FF\FF\14\9F\9F\5F\01\38"
试下
routeros
回复

使用道具 举报

发表于 2011-1-30 15:35:38 | 显示全部楼层
想得太美 发表于 2011-1-30 13:36
layer7把00当成null
你把表达式改为
add name=QQGame regexp="^\78\2D\?.\?\FF\FF\14\9F\9F\5F\01\38"

试了不行。
routeros
回复

使用道具 举报

发表于 2011-1-31 00:44:10 | 显示全部楼层
一直没有搞明白的L7,看来真的是很难啊
routeros
回复

使用道具 举报

发表于 2011-1-31 13:40:31 | 显示全部楼层
唉.........说到ROS  L7的部分我一直想搞懂,但是他的正规表示又与Linux  iptables的不同,太美老大都出手了,还是没人可以破解!...............ros 好用唯独 L7  没法搞懂!
routeros
回复

使用道具 举报

发表于 2011-2-1 05:03:46 | 显示全部楼层
本帖最后由 805333 于 2011-2-1 05:04 编辑

问下楼主用的是什么软件捕包的,呵呵 是科来么?
routeros
回复

使用道具 举报

 楼主| 发表于 2011-2-3 20:11:25 | 显示全部楼层
各位老大们帮忙研究一下吧,谢谢
routeros
回复

使用道具 举报

发表于 2011-2-3 22:37:30 | 显示全部楼层
本帖最后由 805333 于 2011-2-5 18:48 编辑

L7太难了,没有ROS正则语法教程,ROS的正则与V8的正则不同
routeros
回复

使用道具 举报

发表于 2011-2-5 02:37:01 | 显示全部楼层
很强大
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-8 04:02 , Processed in 0.067743 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表