QQ Game 游戏的正则表达式

luhong_1979

QQ Game 进入房间后，游戏开始时才出现游戏所在服务器的IP。本列抓取的是游戏开始后，本机对与游戏服务器之间的第一个带数据字段的包，发现有如下规律：
00 78 2D 00 00 00 11 1C FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 22 3F FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 2F 1A FF FF 14 9F 9F 5F 01 38 ...
00 78 2D 00 00 00 01 16 FF FF 14 9F 9F 5F 01 38 ...
QQ Game的16进制特征如下，都是以00 78 2D开头，并且红色的那两个16进制会有变化。
00 78 2D 00 00 00 01 16 FF FF 14 9F 9F 5F 01 38

于是我做了如下的规则
add name=QQGame regexp="\00\78\2D\00\00\00.+\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="\00\78\2D\00\00\00.\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="\00\78\2D\00\00\00.\?.\?\FF\FF\14\9F\9F\5F\01\38"
add name=QQGame regexp="^\00\78\2D\00\00\00.\?.\?\FF\FF\14\9F\9F\5F\01\38"

经测试发现，都在ros下都能匹配
能成功的找出QQ游戏服务器所在的IP地址。

但出现一个非常意外的问题，我做的这个正则，无论是放在Mangle列表的哪个位置，都会造成别http的l7规则无法识别，导到用到HTTP的l7规则无效了，不知道何解？
但QQ Game的正则是有效的，可以正确识别出QQ游戏的服务器IP来。

请版主及各路高手帮忙看看是怎么回事，还有帮忙看看我写的那个正则正确吗，如果有问题请帮忙写一个正则，谢谢。。

附上QQ Game 游戏的抓包。

QQ Game.rar (342 Bytes, 下载次数: 26)

2011-1-29 21:51 上传

点击文件名下载附件

zooyo

我也很想研究啊。

luhong_1979

终于有一位老大留言了，太感谢了，各路版主，及高手们，帮忙看看吧，谢谢！

peckpock

学习一下、、、

277370403

还不如标记443端口省事。

zooyo

277370403 发表于 2011-1-30 11:07

                               
登录/注册后可看大图

还不如标记443端口省事。

HTTPS也是走443，你这样省要省出很多问题。

注册马

443端口~p2p流量也会占用上的~

心想事成

layer7把00当成null
你把表达式改为
add name=QQGame regexp="^\78\2D\?.\?\FF\FF\14\9F\9F\5F\01\38"
试下

zooyo

想得太美 发表于 2011-1-30 13:36

                               
登录/注册后可看大图

layer7把00当成null
你把表达式改为
add name=QQGame regexp="^\78\2D\?.\?\FF\FF\14\9F\9F\5F\01\38"

试了不行。

805333

一直没有搞明白的L7，看来真的是很难啊

wanken

唉.........说到ROS  L7的部分我一直想搞懂，但是他的正规表示又与Linux  iptables的不同，太美老大都出手了，还是没人可以破解！...............ros 好用唯独 L7  没法搞懂！

805333

问下楼主用的是什么软件捕包的，呵呵 是科来么？

luhong_1979

各位老大们帮忙研究一下吧，谢谢

805333

L7太难了，没有ROS正则语法教程，ROS的正则与V8的正则不同

spfnui

很强大