抓到了BT协议特征，有什么办法封掉吗。

skylove

没抓，我现在没在那网内，我现在回家了。。。所以从外部连进去，再用tcpdump的话会有麻烦。

tnnd，real用什么udp包嘛，讨厌

PKkingSon

udp的代价小啊。不维持复杂的状态

skylove

他代价小了。。。nnd，维护网络的人代价可就大了。。。哎~！！！！！

wsgtrsys

我抓了QQ的包来看.只有两个特征:包头是02,包尾是02.
l7用正则表达式来匹配,
^\x02
\x02$
两个怎样组合在一起?

skylove

我没用l7，所以没去看它的格式定义文档
http://l7-filter.sourceforge.net/layer7-patterns/HOWTO 这里有，自己慢慢看

不过您提到的，l7只抓开始2k。。。。qq的结束字节万一在2k之外了呢？？？

我想大致写法
^x02(.*)02$ 吧。。。。大致是如此，就不知道是不是确定了。。。。哦呵呵

对了，开始^x为什么要写成^\x呢？请教。。。

PKkingSon

屏蔽掉x的含义啊，变成一个16进制串

wsgtrsys

但是如果qq使用外部代理的话,它的协议特征会变吗?

PKkingSon

抓了才知道。

skylove

[quote]原帖由 "KkingSon"]屏蔽掉x的含义啊，变成一个16进制串[/quote 发表：


那和直接用^02有什么区别？？？？我想的是，抓包的时候，看到的事实上都是类似02 18 4A 这样的“string”啊，是不是16进制，或者说是字符还是数字，不过是我们人为判断的说法。。。。抓包的时候是不可能出x这个字符的，因此，我在想^02和^\x02的区别何在

双眼皮的猪

我觉得layer7来做的话，效率肯定低的不行...
看看各位大哥的讨论先....