forum.opennet.ru - "Layer-7 regexp" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Layer-7 regexp"

Форумы Программирование под UNIX (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Layer-7 regexp"
Сообщение от den68 (ok) on 15-Дек-07, 03:04
Плз, кто силен в регэкспах, пытаюсь описать пакет для фильтра layer-7 к netfilter/iptables, ничего неполучаеться, все равно проходят при: ^Adobe\.Flash\.Proxy\.Auto-Discovery* сам пакет: \| c.Sc 0x00F0 \| 2b4a 7461 673d 6670 6164 7265 713b 7469 \| +Jtag=fpadreq;ti 0x0100 \| 6d65 7374 616d 703d 3135 3530 3137 353b \| mestamp=1550175; 0x0110 \| 7a6f 6e65 3d30 3b75 7269 3d72 746d 703a \| zone=0;uri=rtmp: 0x0120 \| 2f2f 3139 342e 3138 362e 3132 312e 3737 \| //194.186.121.77 0x0130 \| 3a38 302f 696d 6573 7361 6765 3501 0837 \| :80/imessage5..7 0x0140 \| 012b 3c20 4164 6f62 6520 466c 6173 6820 \| .+<.Adobe.Flash. 0x0150 \| 5072 6f78 7920 4175 746f 2d44 6973 636f \| Proxy.Auto-Disco 0x0160 \| 7665 7279 ff \| very. 0x0000 \| 0100 0001 4bea 56be 0000 0000 0000 0000 \| ....K.V.........
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Layer-7 regexp, Doka, 10:49 , 15-Дек-07, (1)

Layer-7 regexp, den68, 01:42 , 17-Дек-07, (3)

Layer-7 regexp, angra, 15:41 , 15-Дек-07, (2)
Layer-7 regexp, tux2002, 10:40 , 18-Дек-07, (4)

Layer-7 regexp, den68, 00:56 , 19-Дек-07, (5)

Layer-7 regexp, den68, 04:00 , 19-Дек-07, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Layer-7 regexp"

Сообщение от Doka (??) on 15-Дек-07, 10:49

>[оверквотинг удален]
>0x0140 | 012b 3c20 4164 6f62 6520 466c 6173 6820 | .+<.Adobe.Flash.
>
>0x0150 | 5072 6f78 7920 4175 746f 2d44 6973 636f | Proxy.Auto-Disco
>
>0x0160 | 7665 7279 ff
>
>         | very.
>
>0x0000 | 0100 0001 4bea 56be 0000 0000 0000 0000 | ....K.V.........
>
Adobe\.Flash\.Proxy\.Auto-Discovery*
а без ^

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Layer-7 regexp"

Сообщение от den68 (ok) on 17-Дек-07, 01:42

>Adobe\.Flash\.Proxy\.Auto-Discovery*
>а без ^
тож не работает, как-бы грамотно начало пакета описать ...
а то замучали уже dhcp сервер бедный ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Layer-7 regexp"

Сообщение от angra (ok) on 15-Дек-07, 15:41

С данной реализацией регексов не сталкивался, но по стандартным правилам ваш регекс означает: строка с _начала_ которой идет Adobe.Flash.Proxy.Auto-Discover, после чего произвольное количество раз может повторится буква "y"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Layer-7 regexp"

Сообщение от tux2002 on 18-Дек-07, 10:40

Может .*Adobe\.Flash\.Proxy\.Auto-Discovery.*

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Layer-7 regexp"

Сообщение от den68 (ok) on 19-Дек-07, 00:56

>Может .*Adobe\.Flash\.Proxy\.Auto-Discovery.*
:) :(( тож не работает ....
там в примерах следующие реализации регэкспов:

bittorrent:
^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=)|d1:ad2:id20:|\x08'7P\)[RP]
dhcp:
^[\x01\x02][\x01- ]\x06.*c\x82sc
# (\x01|\x02) is for BOOTREQUEST or BOOTREPLY
# Is there a demand for doing these seperately?  The Packeteer does.
#
# [\x01-\x20] is for any of the hardware address types listed at
# (http://www.iana.org/assignments/arp-parameters) and hopefully faster
# ethernets too (100, 1000 and 10000mb) as well (do they share the 10mb
# number?).
#
# \x06 for "hardware address length = 6 bytes".  Does anyone use other lengths
# these days?  If so, this pattern won't match it as it stands.

dns:
^.?.?.?.?[\x01\x02].?.?.?.?.?.?[\x01-?][a-z0-9][\x01-?a-z]*[\x02-\x06][a-z][a-z][fglmoprstuvz]?[aeop]?(um)?[\x01-\x10\x1c][\x
01\x03\x04\xFF]

ftp:
# by default, we allow only ASCII
^220[\x09-\x0d -~]*ftp
# This covers UTF-8 as well
#^220[\x09-\x0d -~\x80-\xfd]*ftp
# This allows any characters and is about 4x faster than either of the above
# (which are about the same as each other)
#^220.*ftp
# This is much slower
#^220[\x09-\x0d -~]*ftp|331[\x09-\x0d -~]*password
# This pattern is more precise, but takes longer to match. (3 packets vs. 1)
#^220[\x09-\x0d -~]*\x0d\x0aUSER[\x09-\x0d -~]*\x0d\x0a331
# same as above, but slightly less precise and only takes 2 packets.
#^220[\x09-\x0d -~]*\x0d\x0aUSER[\x09-\x0d -~]*\x0d\x0a
http://l7-filter.sourceforge.net/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Layer-7 regexp"

Сообщение от den68 (ok) on 19-Дек-07, 04:00

^[\x01\x02][\x01- ]\x06.*c\x82sc\+Jtag=fpadreq;ti mestamp=[0-9];zone=0;uri=rtmp://194.186.121.77:80/[\x09-\x0d -~]
попробовал изобразить так :(( тож не работает ....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Layer-7 regexp"
Сообщение от Doka (??) on 15-Дек-07, 10:49
>[оверквотинг удален] >0x0140 \| 012b 3c20 4164 6f62 6520 466c 6173 6820 \| .+<.Adobe.Flash. > >0x0150 \| 5072 6f78 7920 4175 746f 2d44 6973 636f \| Proxy.Auto-Disco > >0x0160 \| 7665 7279 ff > > \| very. > >0x0000 \| 0100 0001 4bea 56be 0000 0000 0000 0000 \| ....K.V......... > Adobe\.Flash\.Proxy\.Auto-Discovery* а без ^
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Layer-7 regexp"
	Сообщение от den68 (ok) on 17-Дек-07, 01:42
	>Adobe\.Flash\.Proxy\.Auto-Discovery* >а без ^ тож не работает, как-бы грамотно начало пакета описать ... а то замучали уже dhcp сервер бедный ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Layer-7 regexp"
Сообщение от angra (ok) on 15-Дек-07, 15:41
С данной реализацией регексов не сталкивался, но по стандартным правилам ваш регекс означает: строка с _начала_ которой идет Adobe.Flash.Proxy.Auto-Discover, после чего произвольное количество раз может повторится буква "y"
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Layer-7 regexp"
Сообщение от tux2002 on 18-Дек-07, 10:40
Может .Adobe\.Flash\.Proxy\.Auto-Discovery.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Layer-7 regexp"
	Сообщение от den68 (ok) on 19-Дек-07, 00:56
	>Может .Adobe\.Flash\.Proxy\.Auto-Discovery. :) :(( тож не работает .... там в примерах следующие реализации регэкспов: bittorrent: ^(\x13bittorrent protocol\|azver\x01$\|get /scrape\?info_hash=)\|d1:ad2:id20:\|\x08'7P\)[RP] dhcp: ^[\x01\x02][\x01- ]\x06.c\x82sc # (\x01\|\x02) is for BOOTREQUEST or BOOTREPLY # Is there a demand for doing these seperately? The Packeteer does. # # [\x01-\x20] is for any of the hardware address types listed at # (http://www.iana.org/assignments/arp-parameters) and hopefully faster # ethernets too (100, 1000 and 10000mb) as well (do they share the 10mb # number?). # # \x06 for "hardware address length = 6 bytes". Does anyone use other lengths # these days? If so, this pattern won't match it as it stands. dns: ^.?.?.?.?[\x01\x02].?.?.?.?.?.?[\x01-?][a-z0-9][\x01-?a-z][\x02-\x06][a-z][a-z][fglmoprstuvz]?[aeop]?(um)?[\x01-\x10\x1c][\x 01\x03\x04\xFF] ftp: # by default, we allow only ASCII ^220[\x09-\x0d -~]ftp # This covers UTF-8 as well #^220[\x09-\x0d -~\x80-\xfd]ftp # This allows any characters and is about 4x faster than either of the above # (which are about the same as each other) #^220.ftp # This is much slower #^220[\x09-\x0d -~]ftp\|331[\x09-\x0d -~]password # This pattern is more precise, but takes longer to match. (3 packets vs. 1) #^220[\x09-\x0d -~]\x0d\x0aUSER[\x09-\x0d -~]\x0d\x0a331 # same as above, but slightly less precise and only takes 2 packets. #^220[\x09-\x0d -~]\x0d\x0aUSER[\x09-\x0d -~]*\x0d\x0a http://l7-filter.sourceforge.net/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Layer-7 regexp"
	Сообщение от den68 (ok) on 19-Дек-07, 04:00
	^[\x01\x02][\x01- ]\x06.*c\x82sc\+Jtag=fpadreq;ti mestamp=[0-9];zone=0;uri=rtmp://194.186.121.77:80/[\x09-\x0d -~] попробовал изобразить так :(( тож не работает ....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]