Layer7 Protocol & regexp

Базовая функциональность RouterOS
Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden

Layer7 Protocol & regexp

Сообщение promychev »

Здравствуйте дорогие пользователи форума.
Не так давно я задался вопросом, как же все таки сгенерировать regex для Layer7 protocol в Mikrotik. Нашел готовые решения
http://l7-filter.sourceforge.net/protocols
Но хотел создать свой, так и не смог разобраться.
На ум мне пришло сграбить пакеты и провести анализ.
Например при логировании в приложение data выбрасывает следующее значение в hex

Код: Выделить всё

45 00 00 57 72 91 40 00  6e 06 1b 73 4e 4e 02 d1   E..Wr.@. n..sNN..
c1 46 6c 37 0b b3 71 48  ea 06 f5 2a c6 65 c1 36   .Fl7..qH ...*.e.6
80 18 01 04 65 c6 00 00  01 01 08 0a 00 1b 24 df   ....e... ......$.
05 03 76 34 03 21 04 72  6f 6f 74 10 3c 43 08 ef   ..v4.!.r oot.<C..
28 5c 91 8c fa 3b 15 63  dc f4 82 ad 02 75 73 00   (\...;.c .....us.
06 77 61 6e 6d 65 69                               .wanmei

Код: Выделить всё

45 00 00 59 7b c6 40 00  6e 06 12 3c 4e 4e 02 d1   E..Y{.@. n..<NN..
c1 46 6c 37 0b d9 71 48  06 c2 62 b7 85 c0 22 9a   .Fl7..qH ..b...".
80 18 01 04 bc ee 00 00  01 01 08 0a 00 1b f2 cd   ........ ........
05 05 79 0f 03 23 06 6b  61 72 69 6e 61 10 72 79   ..y..#.k arina.ry
2e c1 0b df b2 4f a6 04  53 0b 12 3a e6 1a 02 75   .....O.. S..:...u
73 00 06 77 61 6e 6d 65  69                        s..wanme i
Логины мы видим как root так и karina
Начал я писать regexp с самой даты 4-ая строка начинается с 03 . При проверки работы Layer7 - неудача. Ничего не проверяет.
Кто бы смог подсказать, с чего же начать тут ? Конец даты схожий 02 75 73 00 06 77 61 6e 6d 65 69, а вот начало нет. Или может не с даты пишется regex ?
Так как в CISCO ASA совсем другое, и там готовые решения.
Помогите разобраться, если кто и разбирается.
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак
Аватара пользователя
Chupaka
Сообщения: 4090
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Layer7 Protocol & regexp

Сообщение Chupaka »

А какой именно регексп тестировался?

Кажется, на офф. форуме были какие-то упоминания, что L7-фильтр как-то не очень хочет работать с нулевыми байтами (\x00). Видимо, в регекспе их не должно быть.

Так что можно попробовать что-то вроде \x02\x75\x73.\x06\x77\x61\x6e\x6d\x65\x69

UPD: Ага, тут видно, что в источнике нули пропускаются. Так что проверить \x02\x75\x73\x06\x77\x61\x6e\x6d\x65\x69 :)
Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden

Re: Layer7 Protocol & regexp

Сообщение promychev »

Chupaka писал(а): 17 авг 2017, 08:17 А какой именно регексп тестировался?

Кажется, на офф. форуме были какие-то упоминания, что L7-фильтр как-то не очень хочет работать с нулевыми байтами (\x00). Видимо, в регекспе их не должно быть.

Так что можно попробовать что-то вроде \x02\x75\x73.\x06\x77\x61\x6e\x6d\x65\x69

UPD: Ага, тут видно, что в источнике нули пропускаются. Так что проверить \x02\x75\x73\x06\x77\x61\x6e\x6d\x65\x69 :)
Спасибо - но все равно безрезультатно, по проверке не прошел. пробовал и с начала даты, и с конца даты - толку 0.
Может с хедера писать надо ? Или после хедера ?
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак