比如udp协议,判断udp_data+0x10处是不是0x41,如果是就阻挡.

tks!

looknstop的raw rule

谢谢小四哥,
不过这个东西偶没看明白如何判断协议payload部分,能否给我示例?
下面是个拷贝的例子

[Nb rules]
Nb=1

[Rule0]
Statut=1
Valide=1
Direction=3
Filtrage=1
Avertir=0
Continuer=0
AlerteDlg=2
Name=UDP : Emule规则
Description=此规则允许其他计算机连接到您的计算机，使用 UDP 端口 4672。
EthernetType=1
IPProtocol=2
EthernetAdd_PC_Criteria=0
EthernetAdd_PC0=0
EthernetAdd_PC1=0
EthernetAdd_PC2=0
EthernetAdd_PC3=0
EthernetAdd_PC4=0
EthernetAdd_PC5=0
EthernetAdd_Net_Criteria=0
EthernetAdd_Net0=0
EthernetAdd_Net1=0
EthernetAdd_Net2=0
EthernetAdd_Net3=0
EthernetAdd_Net4=0
EthernetAdd_Net5=0
IPAdd_PC_Criteria=0
IPAdd_PC_Bas0=0
IPAdd_PC_Bas1=0
IPAdd_PC_Bas2=0
IPAdd_PC_Bas3=0
IPAdd_PC_Haut0=0
IPAdd_PC_Haut1=0
IPAdd_PC_Haut2=0
IPAdd_PC_Haut3=0
IPAdd_Net_Criteria=0
IPAdd_Net_Bas0=0
IPAdd_Net_Bas1=0
IPAdd_Net_Bas2=0
IPAdd_Net_Bas3=0
IPAdd_Net_Haut0=0
IPAdd_Net_Haut1=0
IPAdd_Net_Haut2=0
IPAdd_Net_Haut3=0
IPFragmentOffset=0
IPFragmentFlags=0
TcpUdpPort_PC_Criteria=1
TcpUdpPort_PC_Bas=4672
TcpUdpPort_PC_Haut=0
TcpUdpPort_Net_Criteria=0
TcpUdpPort_Net_Bas=0
TcpUdpPort_Net_Haut=0
IcmpCode_PC_Criteria=0
IcmpCode_PC=0
IcmpType_PC_Criteria=0
IcmpType_PC=0
BlockTCPServer=0
TCPFlagsVal=0
TCPFlagsMask=0
PluginForEdition=

这个很简单啊，我看到你的贴，临时启了一个虚拟机，随便测试了一个raw rule，给你抓了一幅图:



表示IP[0x1C]==0x61的进出双向匹配，至于是禁止还是允许那是外面的事。拿ping就可以测试这个raw rule。

[quote]原帖由 scz 于 2006-11-7 20:28 发表
这个很简单啊，我看到你的贴，临时启了一个虚拟机，随便测试了一个raw rule，给你抓了一幅图:



表示IP==0x61的进出双向匹配，至于是禁止还 ... [/quote


5555555,
原来我在http://www.netexpert.cn/thread-11843-1-1.html下载的版本没这个raw rule按钮("添加"旁边的那个">")....

那个版本是2.05 p3,scz是哪个版本的?可以提供个给俺么?
frankruder@hotmail.com

谢了。

[ 本帖最后由 cocoruder 于 2006-11-8 16:58 编辑 ]

你看过我这篇吗？

http://www.opencjk.org/~scz/network/200609211045.txt

你下那个插件没有

http://www.looknstop.com/plugin/PluginEditRawRule.dll

那张照片是你？蛮帅嘛。

[ 本帖最后由 scz 于 2006-11-8 21:59 编辑 ]

引用:

原帖由 scz 于 2006-10-23 16:52 发表
looknstop的raw rule

为什么叫你小四哥啊，
你与清华bbs哪个小四是同一个人否？

引用:

原帖由 scz 于 2006-11-8 21:44 发表
你看过我这篇吗？

http://www.opencjk.org/~scz/network/200609211045.txt

你下那个插件没有

http://www.looknstop.com/plugin/PluginEditRawRule.dll

那张照片是你？蛮帅嘛。

晕，没看到，人傻就是没办法。。。。


照片？什么照片？

引用:

原帖由 softice_debug 于 2006-11-9 11:21 发表

为什么叫你小四哥啊，
你与清华bbs哪个小四是同一个人否？

softice_debug一看就不是做安全的，
混安全饭吃的又有谁不知nsfocus的小四：）

引用:

原帖由 softice_debug 于 2006-11-9 11:21 发表

为什么叫你小四哥啊，

别听他们瞎叫，他们那是叫着玩的，就跟叫我阿猫阿狗一样，没啥区别。

引用:

原帖由 cocoruder 于 2006-11-9 11:36 发表


晕，没看到，人傻就是没办法。。。。


照片？什么照片？

试成功没有？不要告诉我你不会加这个插件啊。

那张新闻联播的照片。

引用:

原帖由 scz 于 2006-11-9 11:49 发表


试成功没有？不要告诉我你不会加这个插件啊。

那张新闻联播的照片。

试成功了，呵呵。

引用:

原帖由 scz 于 2006-11-9 11:47 发表


别听他们瞎叫，他们那是叫着玩的，就跟叫我阿猫阿狗一样，没啥区别。

有道是，
逢人不知小四哥，数遍hacker也枉然。

hoho~

引用:

原帖由 scz 于 2006-11-9 11:47 发表


别听他们瞎叫，他们那是叫着玩的，就跟叫我阿猫阿狗一样，没啥区别。

逛清华的bbs的creater论坛上看到的。 ，今日才知，久违了。