ROS L7抓包 教程

风一样的男孩

此短文简单介绍使用了L7配合防火墙禁WINBOX登录,大家可以举一反三,封什么都是可以的,即使它的服务器地址或端口经常变化也一样能封.

我现在想禁WINBOX登录,假设WINBOX的端口经常变动或者也使用与网页一样的80端口(仅仅是假设一下),这时我就不能简单地用禁端口的方法来禁WINBOX.此时可以使用L7配合防火墙过滤器来禁WINBOX登录.下面是操作步步骤:

为了抓包方便,关闭WINBOX客户端机器上所有网络软件,再打开wireshark或ethereal来抓包.然后使用WINBOX登录路由器,此时抓包工具会抓到很多数据包,如图.

找到从winbox客户机(192.168.1.210)到routeros路由器(202.1.1.2)的第一个拥有Data字段的数据包.在此数据包中选中的部分即是WINBOX登录时的特征码,此例我们选DATA字段前5个字符应该可以了.这5个连续字符使用正则表达式表达即是x12x02x69x6ex64x65或者是x12x02ind.使用下面两条命令,你就不能再使用WINBOX登录路由器了.

1. /ip firewall layer7-protocol
2. add comment="" name=winbox regexp="x12x02x69x6ex64"
3. /ip firewall filter
4. add chain=input layer7-protocol=winbox action=drop

复制代码

(因为使用winbox是进入路由器的连接,所以加到input链表,如果是封QQ或PPS等,过滤过则要加到forward链表)

这样就结束了,简单吧!

hwlxxx

学习一下，很需要。