[ 想问下关于协议分析的问题 ] ~~~~

xiaomaomao

最近在做一个自己的特征库，基本上市面上很多APP和办公用的还有游戏都抓包后分析完毕，但仍旧有几个疑问，想得到官方一些的答复。

1）Protocol=TCP Direction=SERVER 是从srv->本地 然后dstport 应该就是本地port 如果是CLIENT 那么dstport 应该就是远端Port ，那么有没有srcport关键字呢？因为一些特殊特征需要Direction是CLIENT但希望指定srcport 。 并且用SERVER dstport 的方式发现特征是对的但无法生效。 我想ikuai底层协议识别应该是用kernel 的 filter 吧，比如iptables，通过packet特征走不同的mark 然后走不同的线路，那么理论上应该是可以支持srcport 的呀?

2）udp 协议匹配依然是用data关键字么？怎么感觉完全没有任何作用？就算direction是any 而且data 里匹配mac 也无法捕捉到 (因为udp每一次发起都会携带额外的握手信息，毕竟是无连接的） udp的复杂协议特征识别, 有否有example 供爱好者一窥究竟?

3) Data 除了支持Ascii还可以支持转义hex对吧？正则表达能否支持.* 这些? ( 目前发现只支持^ 和 | )

谢谢！期待大神的回复~

爱快协议分析07

楼主你好，目前爱快底层不支持srcport匹配识别；第二个问题，udp协议依然可以用data关键字匹配，不过爱快协议库还存在目的端口加目的地址这种方式做识别匹配。udp包传输是不可靠，所以尽量多次抓取首包，寻找共同特征字节去写匹配规则。第三个问题，data支持转义hex和正则表达式。

xiaomaomao

爱快协议分析07 发表于 2022-2-11 12:08
楼主你好，目前爱快底层不支持srcport匹配识别；第二个问题，udp协议依然可以用data关键字匹配，不过爱快协 ...

感谢您的尽心回复，解答了我的部份疑问。
但是目前UDP匹配我目前不是担心协议识别错误，而是根本识别不了。TCP的识别没问题，然后我还尝试了下比如使用dstport 443，如果data 里什么都不写，它会自动把所有没有其它规则的443流量都引向这条规则，说明识别功能正常。而且无论是正则方式还是hex转义或者明文都正常。

而UDP也使用这个方式，哪怕data不填，所有规定端口的udp流量不会引过来。我又尝试把data只写一个字节的特征，这样基本上所有udp流量都匹配，但是依然无效，所以我才会发帖问问官方有没有自己试下udp 自定义识别，或者是否存在BUG？ 如果有一个比较好的识别案例，能否发到这里，可以拿一个比较流行的协议来做案例，这样我可以验证一下，谢谢您了！

爱快协议分析06

xiaomaomao 发表于 2022-2-11 12:34
感谢您的尽心回复，解答了我的部份疑问。
但是目前UDP匹配我目前不是担心协议识别错误，而是根本识别不了 ...

可以把udp的自定义规则发上来，帮您看看

爱快协议分析07

xiaomaomao 发表于 2022-2-11 12:34
感谢您的尽心回复，解答了我的部份疑问。
但是目前UDP匹配我目前不是担心协议识别错误，而是根本识别不了 ...

你好，udp包同样适配正则,hex转义或者明文方式匹配，高级自定义协议这个功能用到的次数很多，不存在所说的BUG.我就用快手这个app举例来验证

xiaomaomao

好的，感谢感谢！我用你的这个测试下快手是否能识别，按你这个example用正则匹配也应该没问题。

xiaomaomao

爱快协议分析07 发表于 2022-2-11 14:35
你好，udp包同样适配正则,hex转义或者明文方式匹配，高级自定义协议这个功能用到的次数很多，不存在所说的 ...

经过研究，由于不能指定srcport ，只能使用client 方向 dstport 的data 关键字可以正确识别！！

但是 server 方向dstport 本地的关键字识别不知道是有问题，还是说因为对话已经建立了，所以即便data正确识别了也无法分流到指定线路。

问题有些服务是本地的udp port是固定而远端是随机端口，这种要如何匹配，请赐教。

xiaomaomao

昨晚提交的回复内容似乎没放上来，算了。

在分流上向官方提2个建议，看能否采纳：

1）希望官方分流能加入srcport 这个标志。因为条件direction和port 是个 2x2 的关系匹配才能完美精确，这样除了等官方给的分流库外自己动手也能做很多DPI的事情。

2）依据”域名分流>端口分流>协议分流>双线路由>负载均衡>默认网关"的关系，优先级方面是否能把“端口”和“协议”分流方式对调一下，总感觉这个逻辑不成熟，事实上也造成了精细化分流方面的困扰。一般来说更加精确的配置加权要更高，端口毕竟是笼统的规则，况且协议分流也可以通过指定范围端口达到端口的作用，且又能给出更多的描述。

否则，如果我给定一个端口范围的同时，又想在这个端口范围内识别更精细的流量，那目前的优先级可能就达不成了。举个例子就是：架设一个游乐场上面写了16岁以下未成年免入，保安只按这个规定执行。但是游乐场老板的儿子15岁，有天要来找老板，结果保安不让进。

真心希望考虑！万分感谢！一直支持你们的，以后就算爱快如果要卖授权我们也会继续用。我现在工作室、单位、家里，三个地方都用的爱快，祝越来越完善。

爱快协议分析06

xiaomaomao 发表于 2022-2-12 12:55
昨晚提交的回复内容似乎没放上来，算了。

在分流上向官方提2个建议，看能否采纳：

端口分流优先级更高，是因为它更简单直观，对性能要求更小，而协议分流处理流程更长，更消耗性能。