Регулярных выражений для layer7-protocol

Микро-биллинг для MikroTik
ZloyBro
Сообщения: 76
Зарегистрирован: 07 мар 2014, 12:13

Регулярных выражений для layer7-protocol

Сообщение ZloyBro » 02 дек 2015, 22:14

Друзья давайте в этой тебе соберем все возможные Регулярных выражений для L7



Эта ссылочка будет полезной http://l7-filter.sourceforge.net/protocols


===================================================================================
#extra

Код: Выделить всё

/ip firewall layer7-protocol
add name=audiogalaxy regexp="^(\x45\x5f\xd0\xd5|\x45\x5f.*0.60(6|8)W)"
add name=gtalk regexp="^<stream:stream to="gmail\.com""
add name=http-dap regexp="User-Agent: DA [678]\.[0-9]"
add name=http-freshdownload regexp="test"
add name=test regexp="User-Agent: FreshDownload/[456](\.[0-9][0-9]?)?"
add name=http-itunes regexp="http/(0\.9|1\.0|1\.1).*(user-agent: itunes)"
add name=httpaudio regexp="http/(0\.9|1\.0|1\.1)[\x09-\x0d ][1-5][0-9][0-9][\x09-\x0d -~]*(content-type: audio)"
add name=httpcachehit regexp="http/(0\.9|1\.0|1\.1)[\x09-\x0d ][1-5][0-9][0-9][\x09-\x0d -~]*(x-cache: hit)"
add name=httpcachemiss regexp="http/(0\.9|1\.0|1\.1)[\x09-\x0d ][1-5][0-9][0-9][\x09-\x0d -~]*(x-cache: miss)"
add name=httpvideo regexp="http/(0\.9|1\.0|1\.1)[\x09-\x0d ][1-5][0-9][0-9][\x09-\x0d -~]*(content-type: video)"
add name=pressplay regexp="user-agent: nsplayer"
add name=quicktime regexp="user-agent: quicktime \(qtver=[0-9].[0-9].[0-9];os=[\x09-\x0d -~]+\)\x0d\x0a"
add name=snmp-mon regexp="^\x02\x01\x04.+[\xa0-\xa3]\x02[\x01-\x04].?.?.?.?\x02\x01.?\x02\x01.?\x30"
add name=snmp-trap regexp="^\x02\x01\x04.+\xa4\x06.+\x40\x04.?.?.?.?\x02\x01.?\x02\x01.?\x43"



===================================================================================
#file_types

Код: Выделить всё

/ip firewall layer7-protocol
add name=exe regexp="\x4d\x5a(\x90\x03|\x50\x02)\x04"
add name=flash regexp="[FC]WS[\x01-\x09]|FLV\x01\x05\x09"
add name=gif regexp="GIF8(7|9)a"
add name=html regexp="<html.*><head>"
add name=jpeg regexp="\xff\xd8"
add name=mp3 regexp="\x49\x44\x33\x03"
add name=ogg regexp="oggs.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?\x01vorbis"
add name=pdf regexp="%PDF-1\.[0123456]"
add name=perl regexp="\#! ?/(usr/(local/)?)?bin/perl"
add name=png regexp="\x89PNG\x0d\x0a\x1a\x0a"
add name=postscript regexp="%!ps"
add name=rar regexp="rar\x21\x1a\x07"
add name=rpm regexp="\xed\xab\xee\xdb.?.?.?.?[1-7]"
add name=rtf regexp="\{\\rtf[12]"
add name=tar regexp="ustar"
add name=zip regexp="pk\x03\x04\x14"


===================================================================================
#protocols

Код: Выделить всё

/ip firewall layer7-protocol
add name=100bao regexp="^\x01\x01\x05\x0a"
add name=aim regexp="^(\*[\x01\x02].*\x03\x0b|\*\x01.?.?.?.?\x01)|flapon|toc_signon.*0x"
add name=aimwebcontent regexp="user-agent:aim/"
add name=applejuice regexp="^ajprot\x0d\x0a"
add name=ares regexp="^\x03[]Z].?.?\x05$"
add name=armagetron regexp="test"
add name=test regexp="YCLC_E|CYEL"
add name=battlefield1942 regexp="^\x01\x11\x10\|\xf8\x02\x10\x40\x06"
add name=battlefield2 regexp="^(\x11\x20\x01...?\x11|\xfe\xfd.?.?.?.?.?.?(\x14\x01\x06|\xff\xff\xff))|[]\x01].?battlefield2"
add name=battlefield2142 regexp="^(\x11\x20\x01\x90\x50\x64\x10|\xfe\xfd.?.?.?\x18|[\x01\\].?battlefield2)"
add name=bgp regexp="^\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff..?\x01[\x03\x04]"
add name=biff regexp="^[a-z][a-z0-9]+@[1-9][0-9]+$"
add name=bittorrent regexp="^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get /announce\?info_hash=|get /client/bitcomet/|GET /data\?fid=)|d1:ad2:id20:|\x08'7P\)[RP]"
add name=bt regexp="^\x13bittorrent protocol|d1:ad2:id20:|\x08'7P\)[RP]|^\x04\x17\x27\x10\x19\x80|^get (.*)User-Agent: bittorrent|^azver\x01$|^get /(scrape|announce)\?info_hash=|^.?.?.?.?.?.?[0-9]_BitTorrent"
add name=bt1 regexp="^get (/task/bt/.*|/task_recommend.*|/issupported )http/*[\x09-\x0d -~]"
add name=bt2 regexp="^get (/announce.php\?info_hash=.*|/announce\?info_hash=.*|/announce.php\?passkey=.*|/announce\?passkey=.*|/\?info_hash=.*|/data\?fid=.*)http/*[\x09-\x0d -~]"
add name=bt3 regexp="^\x01"
add name=chikka regexp="^CTPv1\.[123] Kamusta.*\x0d\x0a$"
add name=ciscovpn regexp="^^\x01\xf4\x01\xf4"
add name=citrix regexp="\x32\x26\x85\x92\x58"
add name=clubbox regexp="^get .*host: .*\.clubbox\.co\.kr"
add name=counterstrike-source regexp="^\xff\xff\xff\xff.*cstrikeCounter-Strike"
add name=cvs regexp="^BEGIN (AUTH|VERIFICATION|GSSAPI) REQUEST\x0a"
add name=dayofdefeat-source regexp="^\xff\xff\xff\xff.*dodDay of Defeat"
add name=dazhihui regexp="^(longaccoun|qsver2auth|\x35[57]\x30|\+\x10\*)"
add name=dhcp regexp="^[\x01\x02][\x01- ]\x06.*c\x82sc"
add name=directconnect regexp="^(\$mynick |\$lock |\$key )"
add name=dns regexp="^.?.?.?.?[\x01\x02].?.?.?.?.?.?[\x01-?][a-z0-9][\x01-?a-z]*[\x02-\x06][a-z][a-z][fglmoprstuvz]?[aeop]?(um)?[\x01-\x10\x1c][\x01\x03\x04\xFF]"
add name=doom3 regexp="^\xff\xffchallenge"
add name=edonkey regexp="^[\xc5\xd4\xe3-\xe5].?.?.?.?([\x01\x02\x05\x14\x15\x16\x18\x19\x1a\x1b\x1c\x20\x21\x32\x33\x34\x35\x36\x38\x40\x41\x42\x43\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58[\x60\x81\x82\x90\x91\x93\x96\x97\x98\x99\x9a\x9b\x9c\x9e\xa0\xa1\xa2\xa3\xa4]|\x59................?[ -~]|\x96....$)"
add name=fasttrack regexp="^get (/.download/[ -~]*|/.supernode[ -~]|/.status[ -~]|/.network[ -~]*|/.files|/.hash=[0-9a-f]*/[ -~]*) http/1.1|user-agent: kazaa|x-kazaa(-username|-network|-ip|-supernodeip|-xferid|-xferuid|tag)|^give [0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]?[0-9]?[0-9]?"
add name=finger regexp="^[a-z][a-z0-9\-_]+|login: [\x09-\x0d -~]* name: [\x09-\x0d -~]* Directory:"
add name=freegate_dns regexp="\x05\x61\x7a\x78\x64\x66\x03\x63\x6f\x6d"
add name=freegate_http regexp="^(get$|get $|get /$|get /g$|get /gw$|get /gwt$|get /gwt/.*gapvm\.dontexist)"
add name=freenet regexp="^\x01[\x08\x09][\x03\x04]"
add name=ftp regexp="^220[\x09-\x0d -~]*\x0d\x0aUSER[\x09-\x0d -~]*\x0d\x0a331"
add name=gkrellm regexp="^gkrellm [23].[0-9].[0-9]\x0a$"
add name=gnucleuslan regexp="gnuclear connect/[\x09-\x0d -~]*user-agent: gnucleus [\x09-\x0d -~]*lan:"
add name=gnutella regexp="^(gnd[\x01\x02]?.?.?\x01|gnutella connect/[012]\.[0-9]\x0d\x0a|get /uri-res/n2r\?urn:sha1:|get /.*user-agent: (gtk-gnutella|bearshare|mactella|gnucleus|gnotella|limewire|imesh|foxy|mxie)|get /.*content-type: application/x-gnutella-packets|giv [0-9]*:[0-9a-f]*/|queue [0-9a-f]* [1-9][0-9]?[0-9]?\.[1-9][0-9]?[0-9]?\.[1-9][0-9]?[0-9]?\.[1-9][0-9]?[0-9]?:[1-9][0-9]?[0-9]?[0-9]?|gnutella.*content-type: application/x-gnutella|...................?lime)"
add name=goboogy regexp="<peerplat>|^get /getfilebyhash\.cgi\?|^get /queue_register\.cgi\?|^get /getupdowninfo\.cgi\?"
add name=gogobox regexp="^get .*host: .*.gogobox.com.tw"
add name=gopher regexp="^[\x09-\x0d]*[1-9,+tgi][\x09-\x0d -~]*\x09[\x09-\x0d -~]*\x09[a-z0-9.]*\.[a-z][a-z].?.?\x09[1-9]"
add name=gtalk1 regexp="^\x80\x4c\x01\x03\x01\x33\x10\x04\x05\x0a\x01\x80\x07.\x03\x80\x09\x06\x40\x64\x62\x03\x06\x02\x80\x04\x80\x13\x12\x63"
add name=gtalk2 regexp="^(get|post) (/mail/channel/bind\?|/talkgadget/popout?.*host: talkgadget.google.com)"
add name=gtalk_file regexp="^\x02\xf0"
add name=gtalk_file_1 regexp="^get /create_session .*x-google-relay-auth.*x-session-type .*/session/share"
add name=gtalk_vista regexp="^<stream:.*gmail.com.*jabber:client"
add name=guildwars regexp="^[\x04\x05]\x0c.i\x01"
add name=h323-deathmatch regexp="^\x03..?\x08...?.?.?.?.?.?.?.?.?.?.?.?.?.?.?\x05"
add name=halflife2-deathmatch regexp="^\xff\xff\xff\xff.*hl2mpDeathmatch"
add name=hamachi1 regexp="^..\x01\x12"
add name=hddtemp regexp="^\|/dev/[a-z][a-z][a-z]\|[0-9a-z]*\|[0-9][0-9]\|[cfk]\|"
add name=hotline regexp="^....................TRTPHOTL\x01\x02"
add name=hotspot-shield regexp="^.?\x20.*@metrofreefivpn\.com"
add name=http-rtsp regexp="^(get[\x09-\x0d -~]* Accept: application/x-rtsp-tunnelled|http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [\x09-\x0d -~]*a=control:rtsp://)"
add name=http regexp="http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [\x09-\x0d -~]*(connection:|content-type:|content-length:|date:)|post [\x09-\x0d -~]* http/[01]\.[019]"
add name=icq_file regexp="\x82\x22\x44\x45\x53\x54"
add name=icq_file_1 regexp="^post /data\?.*filexfer"
add name=icq_file_2 regexp="filexfer"
add name=icq_login regexp="^(\*\x01.?.?.?.?\x01$)|^get /hello http/(0\.9|1\.0|1\.1)[\x09-\x0d\ -~].*host: http\.proxy\.icq\.com|^get /hello(.*)host: .*\.icq\.com[\x09-\x0d\ -~]"
add name=icq_login regexp="^(\*\x01.?.?.?.?\x01$)|^get /hello http/(0\.9|1\.0|1\.1)[\x09-\x0d\ -~].*host: http\.proxy\.icq\.com|^get /hello(.*)host: .*\.icq\.com[\x09-\x0d\ -~]"
add name=ident regexp="^[1-9][0-9]?[0-9]?[0-9]?[0-9]?[\x09-\x0d]*,[\x09-\x0d]*[1-9][0-9]?[0-9]?[0-9]?[0-9]?(\x0d\x0a|[\x0d\x0a])?$"
add name=imap regexp="^(\* ok|a[0-9]+ noop)"
add name=imesh regexp="^(post[\x09-\x0d -~]*<PasswordHash>................................</PasswordHash><ClientVer>|\x34\x80?\x0d?\xfc\xff\x04|get[\x09-\x0d -~]*Host: imsh\.download-prod\.musicnet\.com|\x02[\x01\x02]\x83.*\x02[\x01\x02]\x83)"
add name=ipp regexp="ipp://"
add name=irc regexp="^(nick[\x09-\x0d -~]*user[\x09-\x0d -~]*:|user[\x09-\x0d -~]*:[\x02-\x0d -~]*nick[\x09-\x0d -~]*\x0d\x0a)"
add name=jabber regexp="<stream:stream[\x09-\x0d ][ -~]*[\x09-\x0d ]xmlns=['"]jabber"
add name=kugoo regexp="^(\x64.....\x70....\x50\x37|\x65.+)"
add name=live365 regexp="membername.*session.*player"
add name=liveforspeed regexp="^..\x05\x58\x0a\x1d\x03"
add name=lpd regexp="^(\x01[!-~]+|\x02[!-~]+\x0a.[\x01\x02\x03][\x01-\x0a -~]*|[\x03\x04][!-~]+[\x09-\x0d]+[a-z][\x09-\x0d -~]*|\x05[!-~]+[\x09-\x0d]+([a-z][!-~]*[\x09-\x0d]+[1-9][0-9]?[0-9]?|root[\x09-\x0d]+[!-~]+).*)\x0a$"
add name=mohaa regexp="^\xff\xff\xff\xffgetstatus\x0a"
add name=msn-filetransfer regexp="^(ver [ -~]*msnftp\x0d\x0aver msnftp\x0d\x0ausr|method msnmsgr:)"
add name=msnmessenger regexp="ver [0-9]+ msnp[1-9][0-9]? [\x09-\x0d -~]*cvr0\x0d\x0a$|usr 1 [!-~]+ [0-9. ]+\x0d\x0a$|ans 1 [!-~]+ [0-9. ]+\x0d\x0a$"
add name=mute regexp="^(Public|AES)Key: [0-9a-f]*\x0aEnd(Public|AES)Key\x0a$"
add name=napster regexp="^(.[\x02\x06][!-~]+ [!-~]+ [0-9][0-9]?[0-9]?[0-9]?[0-9]? "[\x09-\x0d -~]+" ([0-9]|10)|1(send|get)[!-~]+ "[\x09-\x0d -~]+")"
add name=nbns regexp="\x01\x10\x01|\)\x10\x01\x01|0\x10\x01"
add name=ncp regexp="^(dmdt.*\x01.*(""|\x11\x11|uu)|tncp.*33)"
add name=netbios regexp="\x81.?.?.[A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P]"
add name=nntp regexp="^(20[01][\x09-\x0d -~]*AUTHINFO USER|20[01][\x09-\x0d -~]*news)"
add name=ntp regexp="^([\x13\x1b\x23\xd3\xdb\xe3]|[\x14\x1c$].......?.?.?.?.?.?.?.?.?[\xc6-\xff])"
add name=openft regexp="x-openftalias: [-)(0-9a-z ~.]"
add name=pcanywhere regexp="^(nq|st)$"
add name=poco regexp="^\x80\x94\x0a\x01....\x1f\x9e"
add name=pop3 regexp="^(\+ok |-err )"
add name=pplive regexp="\x01...\xd3.+\x0c.$"
add name=pre_icq_login regexp="^(\*|get)"
add name=pre_msn_login regexp="^(ver|get|post)"
add name=pre_urlblock regexp="^get"
add name=pre_yahoo_login regexp="^(ymsg|ypns|yhoo|post)"
add name=qianlong regexp="^\x24\x1c"
add name=qq regexp="^.?.?\x02.+\x03$"
add name=qqdownload_1 regexp="^\x02.*\x38.\x87\x58\xea.\x82\x08.*\x03$"
add name=qqdownload_2 regexp="^\xfe"
add name=qqdownload_3 regexp="^(get|post) /.*http/*[\x09-\x0d -~].*host: (.*\.soso.com|121.14.74.41)[\x09-\x0d -~]"
add name=qqfile regexp="^(post|get) /\?ver=.*user-agent: qqclient\x0d\x0a"
add name=qqgame regexp="\x31\x32\x33\x34\x35\x36\x37\x38"
add name=qqlive regexp="^\x02"
add name=qqlive2 regexp="^get /.*\.video\.qq\.com/flv"
add name=qq_login regexp="^(.?\x02.+\x03$|(\x01|\x03).+\x02.+\x03$)"
add name=qq_login_1 regexp="^.?.?\x02.*\x03$"
add name=qq_tcp_file regexp="^\x04.*\x03$"
add name=qq_udp_file regexp="^\x03\x01\x65"
add name=quake-halflife regexp="^\xff\xff\xff\xffget(info|challenge)"
add name=quake1 regexp="^\x80\x0c\x01quake\x03"
add name=radmin regexp="^\x01\x01(\x08\x08|\x1b\x1b)$"
add name=rdp regexp="rdpdr.*cliprdr.*rdpsnd"

add name=replaytv-ivs regexp="^(get /ivs-IVSGetFileChunk|http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [\x09-\x0d -~]*\x23\x23\x23\x23\x23REPLAY_CHUNK_START\x23\x23\x23\x23\x23)"

add name=rlogin regexp="^[a-z][a-z0-9][a-z0-9]+/[1-9][0-9]?[0-9]?[0-9]?00"

add name=rtp regexp="^\x80[\x01-"`-\x7f\x80-\xa2\xe0-\xff]?..........*\x80"

add name=rtsp regexp="rtsp/1.0 200 ok"

add name=runesofmagic regexp="^\x10\x03...........\x0a\x02.....\x0e"

add name=shoutcast regexp="^get /.*icy-metadata:1|icy [1-5][0-9][0-9] [\x09-\x0d -~]*(content-type:audio|icy-)"

add name=sip regexp="^(invite|register|cancel|message|subscribe|notify) sip[\x09-\x0d -~]*sip/[0-2]\.[0-9]"

add name=skypeout regexp="^(\x01.?.?.?.?.?.?.?.?\x01|\x02.?.?.?.?.?.?.?.?\x02|\x03.?.?.?.?.?.?.?.?\x03|\x04.?.?.?.?.?.?.?.?\x04|\x05.?.?.?.?.?.?.?.?\x05|\x06.?.?.?.?.?.?.?.?\x06|\x07.?.?.?.?.?.?.?.?\x07|\x08.?.?.?.?.?.?.?.?\x08|\x09.?.?.?.?.?.?.?.?\x09|\x0a.?.?.?.?.?.?.?.?\x0a|\x0b.?.?.?.?.?.?.?.?\x0b|\x0c.?.?.?.?.?.?.?.?\x0c|\x0d.?.?.?.?.?.?.?.?\x0d|\x0e.?.?.?.?.?.?.?.?\x0e|\x0f.?.?.?.?.?.?.?.?\x0f|\x10.?.?.?.?.?.?.?.?\x10|\x11.?.?.?.?.?.?.?.?\x11|\x12.?.?.?.?.?.?.?.?\x12|\x13.?.?.?.?.?.?.?.?\x13|\x14.?.?.?.?.?.?.?.?\x14|\x15.?.?.?.?.?.?.?.?\x15|\x16.?.?.?.?.?.?.?.?\x16|\x17.?.?.?.?.?.?.?.?\x17|\x18.?.?.?.?.?.?.?.?\x18|\x19.?.?.?.?.?.?.?.?\x19|\x1a.?.?.?.?.?.?.?.?\x1a|\x1b.?.?.?.?.?.?.?.?\x1b|\x1c.?.?.?.?.?.?.?.?\x1c|\x1d.?.?.?.?.?.?.?.?\x1d|\x1e.?.?.?.?.?.?.?.?\x1e|\x1f.?.?.?.?.?.?.?.?\x1f|\x20.?.?.?.?.?.?.?.?\x20|\x21.?.?.?.?.?.?.?.?\x21|\x22.?.?.?.?.?.?.?.?\x22|\x23.?.?.?.?.?.?.?.?\x23|\$.?.?.?.?.?.?.?.?\$|\x25.?.?.?.?.?.?.?.?\x25|\x26.?.?.?.?.?.?.?.?\x26|\x27.?.?.?.?.?.?.?.?\x27|\(.?.?.?.?.?.?.?.?\(|\).?.?.?.?.?.?.?.?\)|\*.?.?.?.?.?.?.?.?\*|\+.?.?.?.?.?.?.?.?\+|\x2c.?.?.?.?.?.?.?.?\x2c|\x2d.?.?.?.?.?.?.?.?\x2d|\..?.?.?.?.?.?.?.?\.|\x2f.?.?.?.?.?.?.?.?\x2f|\x30.?.?.?.?.?.?.?.?\x30|\x31.?.?.?.?.?.?.?.?\x31|\x32.?.?.?.?.?.?.?.?\x32|\x33.?.?.?.?.?.?.?.?\x33|\x34.?.?.?.?.?.?.?.?\x34|\x35.?.?.?.?.?.?.?.?\x35|\x36.?.?.?.?.?.?.?.?\x36|\x37.?.?.?.?.?.?.?.?\x37|\x38.?.?.?.?.?.?.?.?\x38|\x39.?.?.?.?.?.?.?.?\x39|\x3a.?.?.?.?.?.?.?.?\x3a|\x3b.?.?.?.?.?.?.?.?\x3b|\x3c.?.?.?.?.?.?.?.?\x3c|\x3d.?.?.?.?.?.?.?.?\x3d|\x3e.?.?.?.?.?.?.?.?\x3e|\?.?.?.?.?.?.?.?.?\?|\x40.?.?.?.?.?.?.?.?\x40|\x41.?.?.?.?.?.?.?.?\x41|\x42.?.?.?.?.?.?.?.?\x42|\x43.?.?.?.?.?.?.?.?\x43|\x44.?.?.?.?.?.?.?.?\x44|\x45.?.?.?.?.?.?.?.?\x45|\x46.?.?.?.?.?.?.?.?\x46|\x47.?.?.?.?.?.?.?.?\x47|\x48.?.?.?.?.?.?.?.?\x48|\x49.?.?.?.?.?.?.?.?\x49|\x4a.?.?.?.?.?.?.?.?\x4a|\x4b.?.?.?.?.?.?.?.?\x4b|\x4c.?.?.?.?.?.?.?.?\x4c|\x4d.?.?.?.?.?.?.?.?\x4d|\x4e.?.?.?.?.?.?.?.?\x4e|\x4f.?.?.?.?.?.?.?.?\x4f|\x50.?.?.?.?.?.?.?.?\x50|\x51.?.?.?.?.?.?.?.?\x51|\x52.?.?.?.?.?.?.?.?\x52|\x53.?.?.?.?.?.?.?.?\x53|\x54.?.?.?.?.?.?.?.?\x54|\x55.?.?.?.?.?.?.?.?\x55|\x56.?.?.?.?.?.?.?.?\x56|\x57.?.?.?.?.?.?.?.?\x57|\x58.?.?.?.?.?.?.?.?\x58|\x59.?.?.?.?.?.?.?.?\x59|\x5a.?.?.?.?.?.?.?.?\x5a|\[.?.?.?.?.?.?.?.?\[|\\.?.?.?.?.?.?.?.?\\|\].?.?.?.?.?.?.?.?\]|\^.?.?.?.?.?.?.?.?\^|\x5f.?.?.?.?.?.?.?.?\x5f|\x60.?.?.?.?.?.?.?.?\x60|\x61.?.?.?.?.?.?.?.?\x61|\x62.?.?.?.?.?.?.?.?\x62|\x63.?.?.?.?.?.?.?.?\x63|\x64.?.?.?.?.?.?.?.?\x64|\x65.?.?.?.?.?.?.?.?\x65|\x66.?.?.?.?.?.?.?.?\x66|\x67.?.?.?.?.?.?.?.?\x67|\x68.?.?.?.?.?.?.?.?\x68|\x69.?.?.?.?.?.?.?.?\x69|\x6a.?.?.?.?.?.?.?.?\x6a|\x6b.?.?.?.?.?.?.?.?\x6b|\x6c.?.?.?.?.?.?.?.?\x6c|\x6d.?.?.?.?.?.?.?.?\x6d|\x6e.?.?.?.?.?.?.?.?\x6e|\x6f.?.?.?.?.?.?.?.?\x6f|\x70.?.?.?.?.?.?.?.?\x70|\x71.?.?.?.?.?.?.?.?\x71|\x72.?.?.?.?.?.?.?.?\x72|\x73.?.?.?.?.?.?.?.?\x73|\x74.?.?.?.?.?.?.?.?\x74|\x75.?.?.?.?.?.?.?.?\x75|\x76.?.?.?.?.?.?.?.?\x76|\x77.?.?.?.?.?.?.?.?\x77|\x78.?.?.?.?.?.?.?.?\x78|\x79.?.?.?.?.?.?.?.?\x79|\x7a.?.?.?.?.?.?.?.?\x7a|\{.?.?.?.?.?.?.?.?\{|\|.?.?.?.?.?.?.?.?\||\}.?.?.?.?.?.?.?.?\}|\x7e.?.?.?.?.?.?.?.?\x7e|\x7f.?.?.?.?.?.?.?.?\x7f|\x80.?.?.?.?.?.?.?.?\x80|\x81.?.?.?.?.?.?.?.?\x81|\x82.?.?.?.?.?.?.?.?\x82|\x83.?.?.?.?.?.?.?.?\x83|\x84.?.?.?.?.?.?.?.?\x84|\x85.?.?.?.?.?.?.?.?\x85|\x86.?.?.?.?.?.?.?.?\x86|\x87.?.?.?.?.?.?.?.?\x87|\x88.?.?.?.?.?.?.?.?\x88|\x89.?.?.?.?.?.?.?.?\x89|\x8a.?.?.?.?.?.?.?.?\x8a|\x8b.?.?.?.?.?.?.?.?\x8b|\x8c.?.?.?.?.?.?.?.?\x8c|\x8d.?.?.?.?.?.?.?.?\x8d|\x8e.?.?.?.?.?.?.?.?\x8e|\x8f.?.?.?.?.?.?.?.?\x8f|\x90.?.?.?.?.?.?.?.?\x90|\x91.?.?.?.?.?.?.?.?\x91|\x92.?.?.?.?.?.?.?.?\x92|\x93.?.?.?.?.?.?.?.?\x93|\x94.?.?.?.?.?.?.?.?\x94|\x95.?.?.?.?.?.?.?.?\x95|\x96.?.?.?.?.?.?.?.?\x96|\x97.?.?.?.?.?.?.?.?\x97|\x98.?.?.?.?.?.?.?.?\x98|\x99.?.?.?.?.?.?.?.?\x99|\x9a.?.?.?.?.?.?.?.?\x9a|\x9b.?.?.?.?.?.?.?.?\x9b|\x9c.?.?.?.?.?.?.?.?\x9c|\x9d.?.?.?.?.?.?.?.?\x9d|\x9e.?.?.?.?.?.?.?.?\x9e|\x9f.?.?.?.?.?.?.?.?\x9f|\xa0.?.?.?.?.?.?.?.?\xa0|\xa1.?.?.?.?.?.?.?.?\xa1|\xa2.?.?.?.?.?.?.?.?\xa2|\xa3.?.?.?.?.?.?.?.?\xa3|\xa4.?.?.?.?.?.?.?.?\xa4|\xa5.?.?.?.?.?.?.?.?\xa5|\xa6.?.?.?.?.?.?.?.?\xa6|\xa7.?.?.?.?.?.?.?.?\xa7|\xa8.?.?.?.?.?.?.?.?\xa8|\xa9.?.?.?.?.?.?.?.?\xa9|\xaa.?.?.?.?.?.?.?.?\xaa|\xab.?.?.?.?.?.?.?.?\xab|\xac.?.?.?.?.?.?.?.?\xac|\xad.?.?.?.?.?.?.?.?\xad|\xae.?.?.?.?.?.?.?.?\xae|\xaf.?.?.?.?.?.?.?.?\xaf|\xb0.?.?.?.?.?.?.?.?\xb0|\xb1.?.?.?.?.?.?.?.?\xb1|\xb2.?.?.?.?.?.?.?.?\xb2|\xb3.?.?.?.?.?.?.?.?\xb3|\xb4.?.?.?.?.?.?.?.?\xb4|\xb5.?.?.?.?.?.?.?.?\xb5|\xb6.?.?.?.?.?.?.?.?\xb6|\xb7.?.?.?.?.?.?.?.?\xb7|\xb8.?.?.?.?.?.?.?.?\xb8|\xb9.?.?.?.?.?.?.?.?\xb9|\xba.?.?.?.?.?.?.?.?\xba|\xbb.?.?.?.?.?.?.?.?\xbb|\xbc.?.?.?.?.?.?.?.?\xbc|\xbd.?.?.?.?.?.?.?.?\xbd|\xbe.?.?.?.?.?.?.?.?\xbe|\xbf.?.?.?.?.?.?.?.?\xbf|\xc0.?.?.?.?.?.?.?.?\xc0|\xc1.?.?.?.?.?.?.?.?\xc1|\xc2.?.?.?.?.?.?.?.?\xc2|\xc3.?.?.?.?.?.?.?.?\xc3|\xc4.?.?.?.?.?.?.?.?\xc4|\xc5.?.?.?.?.?.?.?.?\xc5|\xc6.?.?.?.?.?.?.?.?\xc6|\xc7.?.?.?.?.?.?.?.?\xc7|\xc8.?.?.?.?.?.?.?.?\xc8|\xc9.?.?.?.?.?.?.?.?\xc9|\xca.?.?.?.?.?.?.?.?\xca|\xcb.?.?.?.?.?.?.?.?\xcb|\xcc.?.?.?.?.?.?.?.?\xcc|\xcd.?.?.?.?.?.?.?.?\xcd|\xce.?.?.?.?.?.?.?.?\xce|\xcf.?.?.?.?.?.?.?.?\xcf|\xd0.?.?.?.?.?.?.?.?\xd0|\xd1.?.?.?.?.?.?.?.?\xd1|\xd2.?.?.?.?.?.?.?.?\xd2|\xd3.?.?.?.?.?.?.?.?\xd3|\xd4.?.?.?.?.?.?.?.?\xd4|\xd5.?.?.?.?.?.?.?.?\xd5|\xd6.?.?.?.?.?.?.?.?\xd6|\xd7.?.?.?.?.?.?.?.?\xd7|\xd8.?.?.?.?.?.?.?.?\xd8|\xd9.?.?.?.?.?.?.?.?\xd9|\xda.?.?.?.?.?.?.?.?\xda|\xdb.?.?.?.?.?.?.?.?\xdb|\xdc.?.?.?.?.?.?.?.?\xdc|\xdd.?.?.?.?.?.?.?.?\xdd|\xde.?.?.?.?.?.?.?.?\xde|\xdf.?.?.?.?.?.?.?.?\xdf|\xe0.?.?.?.?.?.?.?.?\xe0|\xe1.?.?.?.?.?.?.?.?\xe1|\xe2.?.?.?.?.?.?.?.?\xe2|\xe3.?.?.?.?.?.?.?.?\xe3|\xe4.?.?.?.?.?.?.?.?\xe4|\xe5.?.?.?.?.?.?.?.?\xe5|\xe6.?.?.?.?.?.?.?.?\xe6|\xe7.?.?.?.?.?.?.?.?\xe7|\xe8.?.?.?.?.?.?.?.?\xe8|\xe9.?.?.?.?.?.?.?.?\xe9|\xea.?.?.?.?.?.?.?.?\xea|\xeb.?.?.?.?.?.?.?.?\xeb|\xec.?.?.?.?.?.?.?.?\xec|\xed.?.?.?.?.?.?.?.?\xed|\xee.?.?.?.?.?.?.?.?\xee|\xef.?.?.?.?.?.?.?.?\xef|\xf0.?.?.?.?.?.?.?.?\xf0|\xf1.?.?.?.?.?.?.?.?\xf1|\xf2.?.?.?.?.?.?.?.?\xf2|\xf3.?.?.?.?.?.?.?.?\xf3|\xf4.?.?.?.?.?.?.?.?\xf4|\xf5.?.?.?.?.?.?.?.?\xf5|\xf6.?.?.?.?.?.?.?.?\xf6|\xf7.?.?.?.?.?.?.?.?\xf7|\xf8.?.?.?.?.?.?.?.?\xf8|\xf9.?.?.?.?.?.?.?.?\xf9|\xfa.?.?.?.?.?.?.?.?\xfa|\xfb.?.?.?.?.?.?.?.?\xfb|\xfc.?.?.?.?.?.?.?.?\xfc|\xfd.?.?.?.?.?.?.?.?\xfd|\xfe.?.?.?.?.?.?.?.?\xfe|\xff.?.?.?.?.?.?.?.?\xff)"
add name=skypetoskype regexp="^..\x02............."
add name=smb regexp="\xffsmb[\x72\x25]"
add name=smtp regexp="^220[\x09-\x0d -~]* (e?smtp|simple mail)"
add name=snmp regexp="^\x02\x01\x04.+([\xa0-\xa3]\x02[\x01-\x04].?.?.?.?\x02\x01.?\x02\x01.?\x30|\xa4\x06.+\x40\x04.?.?.?.?\x02\x01.?\x02\x01.?\x43)"
add name=socks regexp="\x05[\x01-\x08]*\x05[\x01-\x08]?.*\x05[\x01-\x03][\x01\x03].*\x05[\x01-\x08]?[\x01\x03]"
add name=soribada regexp="^GETMP3\x0d\x0aFilename|^\x01.?.?.?(\x51\x3a\+|\x51\x32\x3a)|^\x10[\x14-\x16]\x10[\x15-\x17].?.?.?.?$"
add name=soulseek regexp="^(\x05..?|.\x01.[ -~]+\x01F..?.?.?.?.?.?.?)$"
add name=ssdp regexp="^notify[\x09-\x0d ]\*[\x09-\x0d ]http/1\.1[\x09-\x0d -~]*ssdp:(alive|byebye)|^m-search[\x09-\x0d ]\*[\x09-\x0d ]http/1\.1[\x09-\x0d -~]*ssdp:discover"
add name=ssh regexp="^ssh-[12]\.[0-9]"
add name=ssl regexp="^(.?.?\x16\x03.*\x16\x03|.?.?\x01\x03\x01?.*\x0b)"
add name=stun regexp="^[\x01\x02]................?$"
add name=subspace regexp="^\x01....\x11\x10........\x01$"
add name=subversion regexp="^\( success \( 1 2 \("
add name=teamfortress2 regexp="^\xff\xff\xff\xff.....*tfTeam Fortress"
add name=teamspeak regexp="^\xf4\xbe\x03.*teamspeak"
add name=teamviewer regexp="^\x17"
add name=teamviewer1 regexp="^(post|get) /d(out|in).aspx?.*client=dyngate"
add name=telnet regexp="^\xff[\xfb-\xfe].\xff[\xfb-\xfe].\xff[\xfb-\xfe]"
add name=tesla regexp="\x03\x9a\x89\x22\x31\x31\x31\.\x30\x30\x20\x42\x65\x74\x61\x20|\xe2\x3c\x69\x1e\x1c\xe9"
add name=tftp regexp="^(\x01|\x02)[ -~]*(netascii|octet|mail)"
add name=thecircle regexp="^t\x03ni.?[\x01-\x06]?t[\x01-\x05]s[\x0a\x0b](glob|who are you$|query data)"
add name=thunder5_see regexp="^(get|post) /.*http/*[\x09-\x0d -~].*host: .*\.xunlei.com[\x09-\x0d -~]"
add name=thunder5_tcp regexp="^((^get .*http/1\.1\x0d\x0aaccept: \*/\*\x0d\x0acache-control: no-cache\x0d\x0aconnection: keep-alive\x0d\x0a.*pragma: no-cache\x0d\x0a.*user-agent: mozilla/4\.0 \(compatible; msie 6\.0; windows nt 5\.1; sv1; \.net clr 1\.1\.4322; \.net clr 2\.0\.50727\)\x0d\x0a\x0d\x0a$)|(post (/.*http/*[\x09-\x0d -~].*host: .*sandai.net|/ http/1\..\x0d\x0ahost: .*:80\x0d\x0acontent-type: application/octet-stream\x0d\x0a)))"
add name=tonghuashun regexp="^(GET /docookie\.php\?uname=|\xfd\xfd\xfd\xfd\x30\x30\x30\x30\x30)"
add name=tor regexp="TOR1.*<identity>"
add name=tsp regexp="^[\x01-\x13\x16-$]\x01.?.?.?.?.?.?.?.?.?.?[ -~]+"
add name=unknown regexp="(Nothing there!)"
add name=validcertssl regexp="^(.?.?\x16\x03.*\x16\x03|.?.?\x01\x03\x01?.*\x0b).*(thawte|equifax secure|rsa data security, inc|verisign, inc|gte cybertrust root|entrust\.net limited)"
add name=ventrilo regexp="^..?v\$\xcf"
add name=vnc regexp="^rfb 00[1-9]\.00[0-9]\x0a$"
add name=webmail_163 regexp="^(get|post) .*host:.*\.mail\.(163\.com|126\.com|yeah\.net)\x0d\x0a"
add name=webmail_gmail regexp="get (http://mail.google.com/mail/|/mail/)?.*host: mail\.google\.com\x0d\x0a"
add name=webmail_hinet regexp="^post ((http://webmail\.hinet\.net/login\.do|/login\.do).*host: webmail\.|(http://webmail1\.hinet\.net/cgi-bin/login\.cgi|/cgi-bin/login\.cgi).*host: webmail1\.)hinet\.net\x0d\x0a"
add name=webmail_hotmail regexp="^get (http://.*mail\.live\.com/mail/|/mail/).*host: .*mail\.live\.com\x0d\x0a"
add name=webmail_pchome regexp="^(post|get) .*host: mail.pchome.com.tw\x0d\x0a"
add name=webmail_qq regexp="^(get|post) /cgi-bin/login.*host:.*(\.mail\.qq|\.foxmail)\.com\x0d\x0a"
add name=webmail_seednet regexp="^(post|get) .*host: webmail.seed.net.tw"
add name=webmail_sina regexp="^(post|get) .*host: (mail\.sina\.com\.cn|mp\.sina\.com\.tw)\x0d\x0a"
add name=webmail_sohu regexp="^(get|post) .*host: .*mail\.sohu\.com\x0d\x0a"
add name=webmail_tom regexp="^(get|post).*host: (login\.mail|pass)\.tom.com\x0d\x0a"
add name=webmail_url regexp="^post (http://www\.url\.com\.tw/sgllogon/|/sgllogon/)sgllogon\.asp.*host: www\.url\.com\.tw\x0d\x0a"
add name=webmail_yahoo regexp="get (http://.*mail\.yahoo\.com/ym/login|/ym/login)?.*host: .*mail\.yahoo\.com\x0d\x0a"
add name=webmail_yam regexp="^(get|post).*host: mail.yam.com"
add name=whois regexp="^[ !-~]+\x0d\x0a$"
add name=worldofwarcraft regexp="^\x06\xec\x01"
add name=x11 regexp="^[lb].?\x0b"
add name=xboxlive regexp="^\x58\x80........\xf3|^\x06\x58\x4e"
add name=xunlei regexp="^([()]|get)(...?.?.?(reg|get|query)|.+User-Agent: (Mozilla/4\.0 \(compatible; (MSIE 6\.0; Windows NT 5\.1;? ?\)|MSIE 5\.00; Windows 98\))))|Keep-Alive\x0d\x0a\x0d\x0a[26]"
add name=yahoo regexp="^(ymsg|ypns|yhoo).?.?.?.?.?.?.?[lwt].*\xc0\x80"
add name=yahoo_camera regexp="^(ymsg(.*)ystatus=1..47..0|ymsg(.*)49..webcaminvite)"
add name=yahoo_file regexp="^(get|post) /relay\?(.*domain=\.yahoo\.com|token=.*recver=)"
add name=yahoo_login regexp="^(ymsg|ypns|yhoo).?.?.?.?.?.?.?[a-z]+|^post(.*)(ymsg|ypns|yhoo).?.?.?.?.?.?.?[a-z]+"
add name=yahoo_voice regexp="^ymsg.?.?.?.?.?.?.?[j]+"
add name=zmaap regexp="^\x1b\xd7\x3b\x48[\x01\x02]\x01?\x01"

===================================================================================
Последний раз редактировалось ZloyBro 27 июн 2016, 00:23, всего редактировалось 4 раза.

ZloyBro
Сообщения: 76
Зарегистрирован: 07 мар 2014, 12:13

Re: Регулярных выражений для layer7-protocol Ещё Вариант

Сообщение ZloyBro » 02 дек 2015, 22:15

Код: Выделить всё

/ip firewall layer7-protocol
add name=goboogy regexp="<peerplat>|^get /getfilebyhash\\.cgi\\\?|^get /queue_register\\.cgi\\\?|^get /getupdowninfo\\.cgi\\\?"
add name=soribada regexp="^GETMP3\r\
\nFilename|^\01.\?.\?.\?(Q:\\+|Q2:)|^\10[\14-\16]\10[\15-\17].\?.\?.\?.\?\$"
add name=rdp regexp=rdpdr.*cliprdr.*rdpsnd
add name=gnutella regexp="^(gnd[\01\02]\?.\?.\?\01|gnutella connect/[012]\\.[0-9]\r\
\n|get /uri-res/n2r\\\?urn:sha1:|get /.*user-agent: (gtk-gnutella|bearshare|mactella|gnucleus|gnotella|limewire|imesh)|get /.*content-type: application/x-gnutella-packets|giv [0-9]*:[0-9a-f]*/|queue [0-9a-f]* [1-9][0-9]\?[0-9]\?\\.[1-9][0-9]\?[0-9]\?\\.[1-9][0-9]\?\
[0-9]\?\\.[1-9][0-9]\?[0-9]\?:[1-9][0-9]\?[0-9]\?[0-9]\?|gnutella.*content-type: application/x-gnutella|...................\?lime)"
add name=cvs regexp="^BEGIN (AUTH|VERIFICATION|GSSAPI) REQUEST\
\n"
add name=nbns regexp="\01\10\01|\\)\10\01\01|0\10\01"
add name=shoutcast regexp="^get /.*icy-metadata:1|icy [1-5][0-9][0-9] [\\x09-\\x0d -~]*(content-type:audio|icy-)"
add name=dns regexp="^.\?.\?.\?.\?[\01\02].\?.\?.\?.\?.\?.\?[\01-\?][a-z0-9][\01-\?a-z]*[\02-\06][a-z][a-z][fglmoprstuvz]\?[aeop]\?(um)\?[\01-\10\1C][\01\03\04\FF]"
add name=quake-halflife regexp="^\FF\FF\FF\FFget(info|challenge)"
add name=poco regexp="^\80\94\
\n\01....\1F\9E"
add name=ciscovpn regexp="^\01\F4\01\F4"
add name=x11 regexp="^[lb].\?\0B"
add name=xboxlive regexp="^X\80........\F3|^\06XN"
add name=applejuice regexp="^ajprot\r\
\n"
add name=zmaap regexp="^\1B\D7;H[\01\02]\01\?\01"
add name=live365 regexp=membername.*session.*player
add name=rlogin regexp="^[a-z][a-z0-9][a-z0-9]+/[1-9][0-9]\?[0-9]\?[0-9]\?00"
add name=http regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9] [\t-\r -~]*(connection:|content-type:|content-length:|date:)|post [\t-\r -~]* http/[01]\\.[019]"
add name=sip regexp="^(invite|register|cancel) sip[\t-\r -~]*sip/[0-2]\\.[0-9]"
add name=pop3 regexp="^(\\+ok |-err )"
add name=smb regexp="\FFsmb[r%]"
add name=quake1 regexp="^\80\0C\01quake\03"
add name=lpd regexp="^(\01[!-~]+|\02[!-~]+\
\n.[\01\02\03][\01-\
\n -~]*|[\03\04][!-~]+[\t-\r]+[a-z][\t-\r -~]*|\05[!-~]+[\t-\r]+([a-z][!-~]*[\t-\r]+[1-9][0-9]\?[0-9]\?|root[\t-\r]+[!-~]+).*)\
\n\$"
add name=mute regexp="^(Public|AES)Key: [0-9a-f]*\
\nEnd(Public|AES)Key\
\n\$"
add name=ssh regexp="^ssh-[12]\\.[0-9]"
add name=jabber regexp="<stream:stream[\t-\r ][ -~]*[\t-\r ]xmlns=['\"]jabber"
add name=bittorrent regexp="^(\13bittorrent protocol|azver\01\$|get/scrape\\\?info_hash=)|d1:ad2:id20:|\08'7P\\)[RP]"
add name=ncp regexp="^(dmdt.*\01.*(\"\"|\11\11|uu)|tncp.*33)"
add name=tls regexp="^(.\?.\?\16\03.*\16\03|.\?.\?\01\03\01\?.*\0B)"
add name=directconnect regexp="^(\\\$mynick |\\\$lock |\\\$key )"
add name=netbios regexp="\81.\?.\?.[A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P][A-P]"
add name=tftp regexp="^(\01|\02)[ -~]*(netascii|octet|mail)"
add name=subspace regexp="^\01....\11\10........\01\$"
add name=hotline regexp="^....................TRTPHOTL\01\02"
add name=doom3 regexp="^\FF\FFchallenge"
add name=ftp regexp="^220[\t-\r -~]*ftp"
add name=kugoo regexp="^1..\8E"
add name=tsp regexp="^[\01-\13\16-\$]\01.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?[ -~]+"
add name=battlefield1942 regexp="^\01\11\10\\|\F8\02\10@\06"
add name=ssdp regexp="^notify[\t-\r ]\\*[\t-\r ]http/1\\.1[\t-\r -~]*ssdp:(alive|byebye)|^m-search[\t-\r ]\\*[\t-\r ]http/1\\.1[\t-\r -~]*ssdp:discover"
add name=imap regexp="^(\\* ok|a[0-9]+ noop)"
add name=ares regexp="^\03[]Z].\?.\?\05\$"
add name=fasttrack regexp=\
"^get (/.download/[ -~]*|/.supernode[ -~]|/.status[ -~]|/.network[ -~]*|/.files|/.hash=[0-9a-f]*/[ -~]*) http/1.1|user-agent: kazaa|x-kazaa(-username|-network|-ip|-supernodeip|-xferid|-xferuid|tag)|^give [0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]\?[0-9]\?[0-9]\?"
add name=qq regexp="^.\?\02.+\03\$"
add name=100bao regexp="^\01\01\05\
\n"
add name=aim regexp="^(\\*[\01\02].*\03\0B|\\*\01.\?.\?.\?.\?\01)|flapon|toc_signon.*0x"
add name=unknown regexp=.
add name=msn-file regexp="^(ver [ -~]*msnftp\r\
\nver msnftp\r\
\nusr|method msnmsgr:)"
add name=yahoo regexp="^(ymsg|ypns|yhoo).\?.\?.\?.\?.\?.\?.\?[lwt].*\C0\80"
add name=validcertssl regexp="^(.\?.\?\16\03.*\16\03|.\?.\?\01\03\01\?.*\0B).*(thawte|equifax secure|rsa data security, inc|verisign, inc|gte cybertrust root|entrust\\.net limited)"
add name=gnucleuslan regexp="gnuclear connect/[\t-\r -~]*user-agent: gnucleus [\t-\r -~]*lan:"
add name=vnc regexp="^rfb 00[1-9]\\.00[0-9]\
\n\$"
add name=bgp regexp="^\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF..\?\01[\03\04]"
add name=tesla regexp="\03\9A\89\"111\\.00 Beta |\E2<i\1E\1C\E9"
add name=openft regexp="x-openftalias: [-)(0-9a-z ~.]"
add name=h323 regexp="^\03..\?\08...\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?\05"
add name=finger regexp="^[a-z][a-z0-9\\-_]+|login: [\t-\r -~]* name: [\t-\r -~]* Directory:"
add name=ident regexp="^[1-9][0-9]\?[0-9]\?[0-9]\?[0-9]\?[\t-\r]*,[\t-\r]*[1-9][0-9]\?[0-9]\?[0-9]\?[0-9]\?(\r\
\n|[\r\
\n])\?\$"
add name=gkrellm regexp="^gkrellm [23].[0-9].[0-9]\
\n\$"
add name=hddtemp regexp="^\\|/dev/[a-z][a-z][a-z]\\|[0-9a-z]*\\|[0-9][0-9]\\|[cfk]\\|"
add name=socks regexp="\05[\01-\08]*\05[\01-\08]\?.*\05[\01-\03][\01\03].*\05[\01-\08]\?[\01\03]"
add name=biff regexp="^[a-z][a-z0-9]+@[1-9][0-9]+\$"
add name=dhcp regexp="^[\01\02][\01- ]\06.*c\82sc"
add name=smtp regexp="^220[\t-\r -~]* (e\?smtp|simple mail)"
add name=ipp regexp=ipp://
add name=msn regexp="ver [0-9]+ msnp[1-9][0-9]\? [\t-\r -~]*cvr0\r\
\n\$|usr 1 [!-~]+ [0-9. ]+\r\
\n\$|ans 1 [!-~]+ [0-9. ]+\r\
\n\$"
add name=irc regexp="^(nick[\t-\r -~]*user[\t-\r -~]*:|user[\t-\r -~]*:[\02-\r -~]*nick[\t-\r -~]*\r\
\n)"
add name=gopher regexp="^[\t-\r]*[1-9,+tgi][\t-\r -~]*\t[\t-\r -~]*\t[a-z0-9.]*\\.[a-z][a-z].\?.\?\t[1-9]"
add name=telnet regexp="^\FF[\FB-\FE].\FF[\FB-\FE].\FF[\FB-\FE]"
add name=nntp regexp="^(20[01][\t-\r -~]*AUTHINFO USER|20[01][\t-\r -~]*news)"
add name=aimwebcontent regexp=user-agent:aim/
add name=rtsp regexp="rtsp/1.0 200 ok"
add name=skype-out regexp="^(\01.\?.\?.\?.\?.\?.\?.\?.\?\01|\02.\?.\?.\?.\?.\?.\?.\?.\?\02|\03.\?.\?.\?.\?.\?.\?.\?.\?\03|\04.\?.\?.\?.\?.\?.\?.\?.\?\04|\05.\?.\?.\?.\?.\?.\?.\?.\?\05|\06.\?.\?.\?.\?.\?.\?.\?.\?\06|\07.\?.\?.\?.\?.\?.\?.\?.\?\07|\08.\?.\?.\?.\?.\?.\?.\
\?.\?\08|\t.\?.\?.\?.\?.\?.\?.\?.\?\t|\
\n.\?.\?.\?.\?.\?.\?.\?.\?\
\n|\0B.\?.\?.\?.\?.\?.\?.\?.\?\0B|\0C.\?.\?.\?.\?.\?.\?.\?.\?\0C|\r.\?.\?.\?.\?.\?.\?.\?.\?\r|\0E.\?.\?.\?.\?.\?.\?.\?.\?\0E|\0F.\?.\?.\?.\?.\?.\?.\?.\?\0F|\10.\?.\?.\?.\?.\?.\?.\?.\?\10|\11.\?.\?.\?.\?.\?.\?.\?.\?\11|\12.\?.\?.\?.\?.\?.\?.\?.\?\12|\13.\?.\?.\?.\?.\
\?.\?.\?.\?\13|\14.\?.\?.\?.\?.\?.\?.\?.\?\14|\15.\?.\?.\?.\?.\?.\?.\?.\?\15|\16.\?.\?.\?.\?.\?.\?.\?.\?\16|\17.\?.\?.\?.\?.\?.\?.\?.\?\17|\18.\?.\?.\?.\?.\?.\?.\?.\?\18|\19.\?.\?.\?.\?.\?.\?.\?.\?\19|\1A.\?.\?.\?.\?.\?.\?.\?.\?\1A|\1B.\?.\?.\?.\?.\?.\?.\?.\?\1B|\
\1C.\?.\?.\?.\?.\?.\?.\?.\?\1C|\1D.\?.\?.\?.\?.\?.\?.\?.\?\1D|\1E.\?.\?.\?.\?.\?.\?.\?.\?\1E|\1F.\?.\?.\?.\?.\?.\?.\?.\?\1F| .\?.\?.\?.\?.\?.\?.\?.\? |!.\?.\?.\?.\?.\?.\?.\?.\?!|\".\?.\?.\?.\?.\?.\?.\?.\?\"|#.\?.\?.\?.\?.\?.\?.\?.\?#|\\\$.\?.\?.\?.\?.\?.\?.\?.\?\\\
    \$|%.\?.\?.\?.\?.\?.\?.\?.\?%|&.\?.\?.\?.\?.\?.\?.\?.\?&|'.\?.\?.\?.\?.\?.\?.\?.\?'|\\(.\?.\?.\?.\?.\?.\?.\?.\?\\(|\\).\?.\?.\?.\?.\?.\?.\?.\?\\)|\\*.\?.\?.\?.\?.\?.\?.\?.\?\\*|\\+.\?.\?.\?.\?.\?.\?.\?.\?\\+|,.\?.\?.\?.\?.\?.\?.\?.\?,|-.\?.\?.\?.\?.\?.\?.\?.\?-|\\.\
    .\?.\?.\?.\?.\?.\?.\?.\?\\.|/.\?.\?.\?.\?.\?.\?.\?.\?/|0.\?.\?.\?.\?.\?.\?.\?.\?0|1.\?.\?.\?.\?.\?.\?.\?.\?1|2.\?.\?.\?.\?.\?.\?.\?.\?2|3.\?.\?.\?.\?.\?.\?.\?.\?3|4.\?.\?.\?.\?.\?.\?.\?.\?4|5.\?.\?.\?.\?.\?.\?.\?.\?5|6.\?.\?.\?.\?.\?.\?.\?.\?6|7.\?.\?.\?.\?.\?.\?.\
\?.\?7|8.\?.\?.\?.\?.\?.\?.\?.\?8|9.\?.\?.\?.\?.\?.\?.\?.\?9|:.\?.\?.\?.\?.\?.\?.\?.\?:|;.\?.\?.\?.\?.\?.\?.\?.\?;|<.\?.\?.\?.\?.\?.\?.\?.\?<|=.\?.\?.\?.\?.\?.\?.\?.\?=|>.\?.\?.\?.\?.\?.\?.\?.\?>|\\\?.\?.\?.\?.\?.\?.\?.\?.\?\\\?|@.\?.\?.\?.\?.\?.\?.\?.\?@|A.\?.\?.\
\?.\?.\?.\?.\?.\?A|B.\?.\?.\?.\?.\?.\?.\?.\?B|C.\?.\?.\?.\?.\?.\?.\?.\?C|D.\?.\?.\?.\?.\?.\?.\?.\?D|E.\?.\?.\?.\?.\?.\?.\?.\?E|F.\?.\?.\?.\?.\?.\?.\?.\?F|G.\?.\?.\?.\?.\?.\?.\?.\?G|H.\?.\?.\?.\?.\?.\?.\?.\?H|I.\?.\?.\?.\?.\?.\?.\?.\?I|J.\?.\?.\?.\?.\?.\?.\?.\?J|K.\
\?.\?.\?.\?.\?.\?.\?.\?K|L.\?.\?.\?.\?.\?.\?.\?.\?L|M.\?.\?.\?.\?.\?.\?.\?.\?M|N.\?.\?.\?.\?.\?.\?.\?.\?N|O.\?.\?.\?.\?.\?.\?.\?.\?O|P.\?.\?.\?.\?.\?.\?.\?.\?P|Q.\?.\?.\?.\?.\?.\?.\?.\?Q|R.\?.\?.\?.\?.\?.\?.\?.\?R|S.\?.\?.\?.\?.\?.\?.\?.\?S|T.\?.\?.\?.\?.\?.\?.\?.\
\?T|U.\?.\?.\?.\?.\?.\?.\?.\?U|V.\?.\?.\?.\?.\?.\?.\?.\?V|W.\?.\?.\?.\?.\?.\?.\?.\?W|X.\?.\?.\?.\?.\?.\?.\?.\?X|Y.\?.\?.\?.\?.\?.\?.\?.\?Y|Z.\?.\?.\?.\?.\?.\?.\?.\?Z|\\[.\?.\?.\?.\?.\?.\?.\?.\?\\[|\\].\?.\?.\?.\?.\?.\?.\?.\?\\]|\\].\?.\?.\?.\?.\?.\?.\?.\?\\]|\\^.\?\
.\?.\?.\?.\?.\?.\?.\?\\^|_.\?.\?.\?.\?.\?.\?.\?.\?_|`.\?.\?.\?.\?.\?.\?.\?.\?`|a.\?.\?.\?.\?.\?.\?.\?.\?a|b.\?.\?.\?.\?.\?.\?.\?.\?b|c.\?.\?.\?.\?.\?.\?.\?.\?c|d.\?.\?.\?.\?.\?.\?.\?.\?d|e.\?.\?.\?.\?.\?.\?.\?.\?e|f.\?.\?.\?.\?.\?.\?.\?.\?f|g.\?.\?.\?.\?.\?.\?.\?.\
\?g|h.\?.\?.\?.\?.\?.\?.\?.\?h|i.\?.\?.\?.\?.\?.\?.\?.\?i|j.\?.\?.\?.\?.\?.\?.\?.\?j|k.\?.\?.\?.\?.\?.\?.\?.\?k|l.\?.\?.\?.\?.\?.\?.\?.\?l|m.\?.\?.\?.\?.\?.\?.\?.\?m|n.\?.\?.\?.\?.\?.\?.\?.\?n|o.\?.\?.\?.\?.\?.\?.\?.\?o|p.\?.\?.\?.\?.\?.\?.\?.\?p|q.\?.\?.\?.\?.\?.\
\?.\?.\?q|r.\?.\?.\?.\?.\?.\?.\?.\?r|s.\?.\?.\?.\?.\?.\?.\?.\?s|t.\?.\?.\?.\?.\?.\?.\?.\?t|u.\?.\?.\?.\?.\?.\?.\?.\?u|v.\?.\?.\?.\?.\?.\?.\?.\?v|w.\?.\?.\?.\?.\?.\?.\?.\?w|x.\?.\?.\?.\?.\?.\?.\?.\?x|y.\?.\?.\?.\?.\?.\?.\?.\?y|z.\?.\?.\?.\?.\?.\?.\?.\?z|\\{.\?.\?.\?\
.\?.\?.\?.\?.\?\\{|\\|.\?.\?.\?.\?.\?.\?.\?.\?\\||\\}.\?.\?.\?.\?.\?.\?.\?.\?\\}|~.\?.\?.\?.\?.\?.\?.\?.\?~|\7F.\?.\?.\?.\?.\?.\?.\?.\?\7F|\80.\?.\?.\?.\?.\?.\?.\?.\?\80|\81.\?.\?.\?.\?.\?.\?.\?.\?\81|\82.\?.\?.\?.\?.\?.\?.\?.\?\82|\83.\?.\?.\?.\?.\?.\?.\?.\?\83|\
\84.\?.\?.\?.\?.\?.\?.\?.\?\84|\85.\?.\?.\?.\?.\?.\?.\?.\?\85|\86.\?.\?.\?.\?.\?.\?.\?.\?\86|\87.\?.\?.\?.\?.\?.\?.\?.\?\87|\88.\?.\?.\?.\?.\?.\?.\?.\?\88|\89.\?.\?.\?.\?.\?.\?.\?.\?\89|\8A.\?.\?.\?.\?.\?.\?.\?.\?\8A|\8B.\?.\?.\?.\?.\?.\?.\?.\?\8B|\8C.\?.\?.\?.\?.\
\?.\?.\?.\?\8C|\8D.\?.\?.\?.\?.\?.\?.\?.\?\8D|\8E.\?.\?.\?.\?.\?.\?.\?.\?\8E|\8F.\?.\?.\?.\?.\?.\?.\?.\?\8F|\90.\?.\?.\?.\?.\?.\?.\?.\?\90|\91.\?.\?.\?.\?.\?.\?.\?.\?\91|\92.\?.\?.\?.\?.\?.\?.\?.\?\92|\93.\?.\?.\?.\?.\?.\?.\?.\?\93|\94.\?.\?.\?.\?.\?.\?.\?.\?\94|\
\95.\?.\?.\?.\?.\?.\?.\?.\?\95|\96.\?.\?.\?.\?.\?.\?.\?.\?\96|\97.\?.\?.\?.\?.\?.\?.\?.\?\97|\98.\?.\?.\?.\?.\?.\?.\?.\?\98|\99.\?.\?.\?.\?.\?.\?.\?.\?\99|\9A.\?.\?.\?.\?.\?.\?.\?.\?\9A|\9B.\?.\?.\?.\?.\?.\?.\?.\?\9B|\9C.\?.\?.\?.\?.\?.\?.\?.\?\9C|\9D.\?.\?.\?.\?.\
\?.\?.\?.\?\9D|\9E.\?.\?.\?.\?.\?.\?.\?.\?\9E|\9F.\?.\?.\?.\?.\?.\?.\?.\?\9F|\A0.\?.\?.\?.\?.\?.\?.\?.\?\A0|\A1.\?.\?.\?.\?.\?.\?.\?.\?\A1|\A2.\?.\?.\?.\?.\?.\?.\?.\?\A2|\A3.\?.\?.\?.\?.\?.\?.\?.\?\A3|\A4.\?.\?.\?.\?.\?.\?.\?.\?\A4|\A5.\?.\?.\?.\?.\?.\?.\?.\?\A5|\
\A6.\?.\?.\?.\?.\?.\?.\?.\?\A6|\A7.\?.\?.\?.\?.\?.\?.\?.\?\A7|\A8.\?.\?.\?.\?.\?.\?.\?.\?\A8|\A9.\?.\?.\?.\?.\?.\?.\?.\?\A9|\AA.\?.\?.\?.\?.\?.\?.\?.\?\AA|\AB.\?.\?.\?.\?.\?.\?.\?.\?\AB|\AC.\?.\?.\?.\?.\?.\?.\?.\?\AC|\AD.\?.\?.\?.\?.\?.\?.\?.\?\AD|\AE.\?.\?.\?.\?.\
\?.\?.\?.\?\AE|\AF.\?.\?.\?.\?.\?.\?.\?.\?\AF|\B0.\?.\?.\?.\?.\?.\?.\?.\?\B0|\B1.\?.\?.\?.\?.\?.\?.\?.\?\B1|\B2.\?.\?.\?.\?.\?.\?.\?.\?\B2|\B3.\?.\?.\?.\?.\?.\?.\?.\?\B3|\B4.\?.\?.\?.\?.\?.\?.\?.\?\B4|\B5.\?.\?.\?.\?.\?.\?.\?.\?\B5|\B6.\?.\?.\?.\?.\?.\?.\?.\?\B6|\
\B7.\?.\?.\?.\?.\?.\?.\?.\?\B7|\B8.\?.\?.\?.\?.\?.\?.\?.\?\B8|\B9.\?.\?.\?.\?.\?.\?.\?.\?\B9|\BA.\?.\?.\?.\?.\?.\?.\?.\?\BA|\BB.\?.\?.\?.\?.\?.\?.\?.\?\BB|\BC.\?.\?.\?.\?.\?.\?.\?.\?\BC|\BD.\?.\?.\?.\?.\?.\?.\?.\?\BD|\BE.\?.\?.\?.\?.\?.\?.\?.\?\BE|\BF.\?.\?.\?.\?.\
\?.\?.\?.\?\BF|\C0.\?.\?.\?.\?.\?.\?.\?.\?\C0|\C1.\?.\?.\?.\?.\?.\?.\?.\?\C1|\C2.\?.\?.\?.\?.\?.\?.\?.\?\C2|\C3.\?.\?.\?.\?.\?.\?.\?.\?\C3|\C4.\?.\?.\?.\?.\?.\?.\?.\?\C4|\C5.\?.\?.\?.\?.\?.\?.\?.\?\C5|\C6.\?.\?.\?.\?.\?.\?.\?.\?\C6|\C7.\?.\?.\?.\?.\?.\?.\?.\?\C7|\
\C8.\?.\?.\?.\?.\?.\?.\?.\?\C8|\C9.\?.\?.\?.\?.\?.\?.\?.\?\C9|\CA.\?.\?.\?.\?.\?.\?.\?.\?\CA|\CB.\?.\?.\?.\?.\?.\?.\?.\?\CB|\CC.\?.\?.\?.\?.\?.\?.\?.\?\CC|\CD.\?.\?.\?.\?.\?.\?.\?.\?\CD|\CE.\?.\?.\?.\?.\?.\?.\?.\?\CE|\CF.\?.\?.\?.\?.\?.\?.\?.\?\CF|\D0.\?.\?.\?.\?.\
\?.\?.\?.\?\D0|\D1.\?.\?.\?.\?.\?.\?.\?.\?\D1|\D2.\?.\?.\?.\?.\?.\?.\?.\?\D2|\D3.\?.\?.\?.\?.\?.\?.\?.\?\D3|\D4.\?.\?.\?.\?.\?.\?.\?.\?\D4|\D5.\?.\?.\?.\?.\?.\?.\?.\?\D5|\D6.\?.\?.\?.\?.\?.\?.\?.\?\D6|\D7.\?.\?.\?.\?.\?.\?.\?.\?\D7|\D8.\?.\?.\?.\?.\?.\?.\?.\?\D8|\
\D9.\?.\?.\?.\?.\?.\?.\?.\?\D9|\DA.\?.\?.\?.\?.\?.\?.\?.\?\DA|\DB.\?.\?.\?.\?.\?.\?.\?.\?\DB|\DC.\?.\?.\?.\?.\?.\?.\?.\?\DC|\DD.\?.\?.\?.\?.\?.\?.\?.\?\DD|\DE.\?.\?.\?.\?.\?.\?.\?.\?\DE|\DF.\?.\?.\?.\?.\?.\?.\?.\?\DF|\E0.\?.\?.\?.\?.\?.\?.\?.\?\E0|\E1.\?.\?.\?.\?.\
\?.\?.\?.\?\E1|\E2.\?.\?.\?.\?.\?.\?.\?.\?\E2|\E3.\?.\?.\?.\?.\?.\?.\?.\?\E3|\E4.\?.\?.\?.\?.\?.\?.\?.\?\E4|\E5.\?.\?.\?.\?.\?.\?.\?.\?\E5|\E6.\?.\?.\?.\?.\?.\?.\?.\?\E6|\E7.\?.\?.\?.\?.\?.\?.\?.\?\E7|\E8.\?.\?.\?.\?.\?.\?.\?.\?\E8|\E9.\?.\?.\?.\?.\?.\?.\?.\?\E9|\
\EA.\?.\?.\?.\?.\?.\?.\?.\?\EA|\EB.\?.\?.\?.\?.\?.\?.\?.\?\EB|\EC.\?.\?.\?.\?.\?.\?.\?.\?\EC|\ED.\?.\?.\?.\?.\?.\?.\?.\?\ED|\EE.\?.\?.\?.\?.\?.\?.\?.\?\EE|\EF.\?.\?.\?.\?.\?.\?.\?.\?\EF|\F0.\?.\?.\?.\?.\?.\?.\?.\?\F0|\F1.\?.\?.\?.\?.\?.\?.\?.\?\F1|\F2.\?.\?.\?.\?.\
\?.\?.\?.\?\F2|\F3.\?.\?.\?.\?.\?.\?.\?.\?\F3|\F4.\?.\?.\?.\?.\?.\?.\?.\?\F4|\F5.\?.\?.\?.\?.\?.\?.\?.\?\F5|\F6.\?.\?.\?.\?.\?.\?.\?.\?\F6|\F7.\?.\?.\?.\?.\?.\?.\?.\?\F7|\F8.\?.\?.\?.\?.\?.\?.\?.\?\F8|\F9.\?.\?.\?.\?.\?.\?.\?.\?\F9|\FA.\?.\?.\?.\?.\?.\?.\?.\?\FA|\
\FB.\?.\?.\?.\?.\?.\?.\?.\?\FB|\FC.\?.\?.\?.\?.\?.\?.\?.\?\FC|\FD.\?.\?.\?.\?.\?.\?.\?.\?\FD|\FE.\?.\?.\?.\?.\?.\?.\?.\?\FE|\FF.\?.\?.\?.\?.\?.\?.\?.\?\FF)"
add name=skype regexp="^..\\x02............."
add name=skype2 regexp="[\\\\|\\xd5]"
add name=skype-ads regexp="^.+(rad.msn.com).*\$"
add name=skype-to-skype regexp="^..\02............."
add name=viber regexp="^..\\x80\\x67"
add name=viber2 regexp="^([\13\1B#\D3\DB\E3]|[\14\1C\$].......\?.\?.\?.\?.\?.\?.\?.\?.\?[\C6-\FF])"
add name=counterstrike-source regexp="^\FF\FF\FF\FF.*cstrikeCounter-Strike"
add name=halflife2-deathmatch regexp="^\FF\FF\FF\FF.*hl2mpDeathmatch"
add name=freenet regexp="^\01[\08\t][\03\04]"
add name=battlefield2 regexp="^(\11 \01...\?\11|\FE\FD.\?.\?.\?.\?.\?.\?(\14\01\06|\FF\FF\FF))|[]\01].\?battlefield2"
add name=napster regexp="^(.[\02\06][!-~]+ [!-~]+ [0-9][0-9]\?[0-9]\?[0-9]\?[0-9]\? \"[\t-\r -~]+\" ([0-9]|10)|1(send|get)[!-~]+ \"[\t-\r -~]+\")"
add name=soulseek regexp="^(\05..\?|.\01.[ -~]+\01F..\?.\?.\?.\?.\?.\?.\?)\$"
add name=xunlei regexp="^[()]...\?.\?.\?(reg|get|query)"
add name=ssl regexp="^(.\?.\?\16\03.*\16\03|.\?.\?\01\03\01\?.*\0B)"
add name=citrix regexp="2&\85\92X"
add name=whois regexp="^[ !-~]+\r\
\n\$"
add name=dayofdefeat-source regexp="^\FF\FF\FF\FF.*dodDay of Defeat"
add name=teamspeak regexp="^\F4\BE\03.*teamspeak"
add name=worldofwarcraft regexp="^\06\EC\01"
add name=ventrilo regexp="^..\?v\\\$\CF"
add name=http-rtsp regexp="^(get[\t-\r -~]* Accept: application/x-rtsp-tunnelled|http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9] [\t-\r -~]*a=control:rtsp://)"
add name=thecircle regexp="^t\03ni.\?[\01-\06]\?t[\01-\05]s[\
\n\0B](glob|who are you\$|query data)"
add name=uucp regexp="^\10here="
add name=pcanywhere regexp="^(nq|st)\$"
add name=subversion regexp="^\\( success \\( 1 2 \\("
add name=imesh regexp="^(post[\t-\r -~]*<PasswordHash>................................</PasswordHash><ClientVer>|4\80\?\r\?\FC\FF\04|get[\t-\r -~]*Host: imsh\\.download-prod\\.musicnet\\.com|\02(\01|\02)\83.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?\
    .\?.\?.\?.\?.\?.\?.\?\02(\01|\02)\83)"
add name=cimd regexp="\02[0-4][0-9]:[0-9]+.*\03\$"
add name=mohaa regexp="^\FF\FF\FF\FFgetstatus\
\n"
add name=stun regexp="^[\01\02]................\?\$"
add name=tor regexp=TOR1.*<identity>
add name=radmin regexp="^\01\01(\08\08|\1B\1B)\$"
add name=unset regexp=.
add name=chikka regexp="^CTPv1.[123] Kamusta.*\r\
\n\$"
add name=replaytv-ivs regexp="^(get /ivs-IVSGetFileChunk|http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9] [\t-\r -~]*#####REPLAY_CHUNK_START#####)"
add name=armagetron regexp=YCLC_E|CYEL
add name=rtp regexp="^\\x80[\\x01-\"`-\\x7f\\x80-\\xa2\\xe0-\\xff]\?..........*\\x80"
add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"
add name=winmx regexp="\\+.*p.*get"
add name=bearshare regexp=z9.*u>p
add name=battlefield2142 regexp="^(\\x11\\x20\\x01\\x90\\x50\\x64\\x10|\\xfe\\xfd.\?.\?.\?\\x18|[\\x01\\\\].\?battlefield2)"
add name=bittorrent2 regexp="^\\x13bittorrent protocol|d1:ad2:id20:|\\x08'7P\\)[RP]|^\\x04\\x17\\x27\\x10\\x19\\x80|^get (.*)User-Agent: bittorrent|^azver\\x01\$|^get /(scrape|announce)\\\?info_hash=|^.\?.\?.\?.\?.\?.\?[0-9]_BitTorrent"
add name=bittorrent3 regexp="^get (/task/bt/.*|/task_recommend.*|/issupported )http/*[\\x09-\\x0d -~]"
add name=bittorrent4 regexp="^get (/announce.php\\\?info_hash=.*|/announce\\\?info_hash=.*|/announce.php\\\?passkey=.*|/announce\\\?passkey=.*|/\\\?info_hash=.*|/data\\\?fid=.*)http/*[\\x09-\\x0d -~]"
add name=bittorrent5 regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=)"
add name=bittorrent-dht regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"
add name=bittorrent-utp1 regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"
add name=bittorrent-utp2 regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"
add name=bittorrent-utp3 regexp="\\7F\\FF\\FF\\FF\\AB"
add name=bittorrent-utp4 regexp="\\\\7F\\\\FF\\\\FF\\\\FF\\\\AB"
add name=bittorrent-utp5-mojiro regexp="^\\21\\00\\4C\\3F\\04"
add name=bittorrent-utp6-mojiro regexp="^\\01\\00\\4C\\3E\\C4"
add name=bittorrent6 regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=|get /announce\\\?info_hash=|ge\t\r\\n/ann\?uk=|get\r\\n/client/bitcomet/|get /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"
add name=edonkey regexp="^[\\xc5\\xd4\\xe3-\\xe5].\?.\?.\?.\?([\\x01\\x02\\x05\\x14\\x15\\x16\\x18\\x19\\x1a\\x1b\\x1c\\x20\\x21\\x32\\x33\\x34\\x35\\x36\\x38\\x40\\x41\\x42\\x43\\x46\\x47\\x48\\x49\\x4a\\x4b\\x4c\\x4d\\x4e\\x4f\\x50\\x51\\x52\\x53\\x54\\x55\\x56\\x57\
\\x58[\\x60\\x81\\x82\\x90\\x91\\x93\\x96\\x97\\x98\\x99\\x9a\\x9b\\x9c\\x9e\\xa0\\xa1\\xa2\\xa3\\xa4]|\\x59................\?[ -~]|\\x96....\$)"
add name=gtalk regexp="^\\x80\\x4c\\x01\\x03\\x01\\x33\\x10\\x04\\x05\\x0a\\x01\\x80\\x07.\\x03\\x80\\x09\\x06\\x40\\x64\\x62\\x03\\x06\\x02\\x80\\x04\\x80\\x13\\x12\\x63"
add name=gtalk2 regexp="^(get|post) (/mail/channel/bind\\\?|/talkgadget/popout\?.*host: talkgadget.google.com)"
add name=gtalk-file regexp="^\\x02\\xf0"
add name=gtalk-file2 regexp="^get /create_session .*x-google-relay-auth.*x-session-type .*/session/share"
add name=gtalk3 regexp=^<stream:.*gmail.com.*jabber:client
add name=gtalk4 regexp="^<stream:stream to=\"gmail\\.com\""
add name=hamachi regexp="^..\\x01\\x12"
add name=icq-file regexp="\\x82\\x22\\x44\\x45\\x53\\x54"
add name=icq-file2 regexp="^post /data\\\?.*filexfer"
add name=icq-file3 regexp=filexfer
add name=icq-login regexp="^(\\*\\x01.\?.\?.\?.\?\\x01\$)|^get /hello http/(0\\.9|1\\.0|1\\.1)[\\x09-\\x0d\\ -~].*host: http\\.proxy\\.icq\\.com|^get /hello(.*)host: .*\\.icq\\.com[\\x09-\\x0d\\ -~]"
add name=rtmp regexp="^\\x03.+\\x14.+\\x02.+\\x07.(connect)\?.+(app)\?"
add name=rtmp2 regexp="^\\x03.+\\x14.+\\x02.+\\x07.(connect)\?.+(video)\?"
add name=http-itunes regexp="http/(0\\.9|1\\.0|1\\.1).*(user-agent: itunes)"
add name=http-audio regexp="http/(0\\.9|1\\.0|1\\.1)[\\x09-\\x0d ][1-5][0-9][0-9][\\x09-\\x0d -~]*(content-type: audio)"
add name=http-video regexp="http/(0\\.9|1\\.0|1\\.1)[\\x09-\\x0d ][1-5][0-9][0-9][\\x09-\\x0d -~]*(content-type: video)"
add name=snmp regexp="^\02\01\04.+([\A0-\A3]\02[\01-\04].\?.\?.\?.\?\02\01.\?\02\01.\?0|\A4\06.+@\04.\?.\?.\?.\?\02\01.\?\02\01.\?C)"
add name=snmp-mon regexp="^\\x02\\x01\\x04.+[\\xa0-\\xa3]\\x02[\\x01-\\x04].\?.\?.\?.\?\\x02\\x01.\?\\x02\\x01.\?\\x30"
add name=snmp-trap regexp="^\\x02\\x01\\x04.+\\xa4\\x06.+\\x40\\x04.\?.\?.\?.\?\\x02\\x01.\?\\x02\\x01.\?\\x43"
add name=hotmail regexp="^get (http://.*mail\\.live\\.com/mail/|/mail/).*host: .*mail\\.live\\.com\\x0d\\x0a"
add name=gmail regexp="get (http://mail.google.com/mail/|/mail/)\?.*host: mail\\.google\\.com\\x0d\\x0a"
add name=yahoo-mail regexp="get (http://.*mail\\.yahoo\\.com/ym/login|/ym/login)\?.*host: .*mail\\.yahoo\\.com\\x0d\\x0a"
add name=yahoo-camera regexp="^(ymsg(.*)ystatus=1..47..0|ymsg(.*)49..webcaminvite)"
add name=yahoo-file regexp="^(get|post) /relay\\\?(.*domain=\\.yahoo\\.com|token=.*recver=)"
add name=yahoo-login regexp="^(ymsg|ypns|yhoo).\?.\?.\?.\?.\?.\?.\?[a-z]+|^post(.*)(ymsg|ypns|yhoo).\?.\?.\?.\?.\?.\?.\?[a-z]+"
add name=yahoo-voice regexp="^ymsg.\?.\?.\?.\?.\?.\?.\?[j]+"
add name=guildwars regexp="^[\\x04\\x05]\\x0c.i\\x01"
add name=liveforspeed regexp="^..\\x05\\x58\\x0a\\x1d\\x03"
add name=runesofmagic regexp="^\\x10\\x03...........\\x0a\\x02.....\\x0e"
add name=teamfortress2 regexp="^\\xff\\xff\\xff\\xff.....*tfTeam Fortress"
add name=exe regexp="\\x4d\\x5a(\\x90\\x03|\\x50\\x02)\\x04"
add name=flash regexp="[FC]WS[\\x01-\\x09]|FLV\\x01\\x05\\x09"
add name=gif regexp="GIF8(7|9)a"
add name=jpeg regexp="\\xff\\xd8"
add name=pdf regexp="%PDF-1\\.[0123456]"
add name=perl regexp="\\#! \?/(usr/(local/)\?)\?bin/perl"
add name=png regexp="\\x89PNG\\x0d\\x0a\\x1a\\x0a"
add name=postscript regexp=%!ps
add name=rar regexp="rar\\x21\\x1a\\x07"
add name=rpm regexp="\\xed\\xab\\xee\\xdb.\?.\?.\?.\?[1-7]"
add name=rtf regexp="\\{\\\\rtf[12]"
add name=tar regexp=ustar
add name=zip regexp="pk\\x03\\x04\\x14"
add name=html regexp=<html.*><head>
add name=ogg regexp="oggs.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?.\?\\x01vorbis"
add name=mp3 regexp="\\x49\\x44\\x33\\x03"
add name=quicktime regexp="user-agent: quicktime \\(qtver=[0-9].[0-9].[0-9];os=[\\x09-\\x0d -~]+\\)\\x0d\\x0a"
add name=youtube regexp="GET (\\/videoplayback\\\?|\\/crossdomain\\.xml)"
add name=youtube2 regexp=googlevideo.com
Последний раз редактировалось ZloyBro 02 дек 2015, 22:19, всего редактировалось 1 раз.

ZloyBro
Сообщения: 76
Зарегистрирован: 07 мар 2014, 12:13

Re: Регулярных выражений для layer7-protocol ЕЩЁ

Сообщение ZloyBro » 02 дек 2015, 22:19

тут добавляем ручками

AIM: ^(\*[\x01\x02].*\x03\x0b|\*\x01.?.?.?.?\x01)|flapon|toc_signon.*0x
Bittorrent: ^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get/announce\?info_hash=|get /client/bitcomet/|GET/data\?fid=)|d1:ad2:id20:|\x08’7P\)[RP]
Counterstrike Source: ^\xff\xff\xff\xff.*cstrikeCounter-Strike
DHCP: ^[\x01\x02][\x01- ]\x06.*c\x82sc
DNS: ^.?.?.?.?[\x01\x02].?.?.?.?.?.?[\x01-?][a-z0-9][\x01-?a-z]*[\x02-\x06][a-z][a-z][fglmoprstuvz]?[aeop]?(um)?[\x01-\x10\x1c][\x01\x03\x04\xFF]
eDonkey: ^[\xc5\xd4\xe3-\xe5].?.?.?.?([\x01\x02\x05\x14\x15\x16\x18\x19\x1a\x1b\x1c\x20\x21\x32\x33\x34\x35\x36\x38\x40\x41\x42\x43\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58[\x60\x81\x82\x90\x91\x93\x96\x97\x98\x99\x9a\x9b\x9c\x9e\xa0\xa1\xa2\xa3\xa4]|\x59…………….? [ -~]|\x96….$)
FTP: ^220[\x09-\x0d -~]*ftp
HTTP: http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [\x09-\x0d –~]*(connection:|content-type:|content-length:|date:)|post [\x09-\x0d -~]* http/[01]\.[019]
IRC: ^(nick[\x09-\x0d -~]*user[\x09-\x0d -~]*:|user[\x09-\x0d –~]*:[\x02-\x0d –~]*nick[\x09-\x0d -~]*\x0d\x0a)
Jabber: <stream:stream[\x09-\x0d ][ -~]*[\x09-\x0d ]xmlns=['"]jabber
NTP: ^([\x13\x1b\x23\xd3\xdb\xe3]|[\x14\x1c$]…….?.?.?.?.?.?.?.?.?[\xc6-\xff])
POP3: ^(\+ok .*pop)
SIP: ^(invite|register|cancel|message|subscribe|notify)sip[\x09-\x0d -~]*sip/[0-2]\.[0-9]
Samba: \xffsmb[\x72\x25]
SMTP: ^220[\x09-\x0d -~]* (e?smtp|simple mail)userspacepattern=^220[\x09-\x0d -~]* (E?SMTP|[Ss]imple [Mm]ail)userspace flags=REG_NOSUB REG_EXTENDED
SNMP: ^\x02\x01\x04.+([\xa0-\xa3]\x02[\x01-x04].?.?.?.?\x02\x01.?\x02\x01.?\x30|\xa4\x06.+\x40\x04.?.?.?.?\x02\x01.?\x02\x01.?\x43)
Socks: \x05[\x01-\x08]*\x05[\x01-\x08]?.*\x05[\x01-\x03][\x01\x03].*\x05[\x01-\x08]?[\x01\x03]
SSH: ^ssh-[12]\.[0-9]
SSL: ^(.?.?\x16\x03.*\x16\x03|.?.?\x01\x03\x01?.*\x0b)
Telnet: ^\xff[\xfb-\xfe].\xff[\xfb-\xfe].\xff[\xfb-\xfe]
Tor: TOR1.*<identity>
Последний раз редактировалось ZloyBro 02 дек 2015, 23:28, всего редактировалось 2 раза.

ZloyBro
Сообщения: 76
Зарегистрирован: 07 мар 2014, 12:13

layer7-protocol - Для файлов

Сообщение ZloyBro » 02 дек 2015, 22:24

Код: Выделить всё

/ip firewall layer7-protocol
add name="Extension \" .exe \"" regexp="\\.(exe)"
add name="Extension \" .rar \"" regexp="\\.(rar)"
add name="Extension \" .zip \"" regexp="\\.(zip)"
add name="Extension \" .7z \"" regexp="\\.(7z)"
add name="Extension \" .cab \"" regexp="\\.(cab)"
add name="Extension \" .asf \"" regexp="\\.(asf)"
add name="Extension \" .mov \"" regexp="\\.(mov)"
add name="Extension \" .wmv \"" regexp="\\.(wmv)"
add name="Extension \" .mpg \"" regexp="\\.(mpg)"
add name="Extension \" .mpeg \"" regexp="\\.(mpeg)"
add name="Extension \" .mkv \"" regexp="\\.(mkv)"
add name="Extension \" .avi \"" regexp="\\.(avi)"
add name="Extension \" .flv \"" regexp="\\.(flv)"
add name="Extension \" .pdf \"" regexp="\\.(pdf)"
add name="Extension \" .wav \"" regexp="\\.(wav)"
add name="Extension \" .rm \"" regexp="\\.(rm)"
add name="Extension \" .mp3 \"" regexp="\\.(mp3)"
add name="Extension \" .mp4 \"" regexp="\\.(mp4)"
add name="Extension \" .ram \"" regexp="\\.(ram)"
add name="Extension \" .rmvb \"" regexp="\\.(rmvb)"
add name="Extension \" .dat \"" regexp="\\.(dat)"
add name="Extension \" .daa \"" regexp="\\.(daa)"
add name="Extension \" .iso \"" regexp="\\.(iso)"
add name="Extension \" .nrg \"" regexp="\\.(nrg)"
add name="Extension \" .bin \"" regexp="\\.(bin)"
add name="Extension \" .vcd \"" regexp="\\.(vcd)"

evgeny
Сообщения: 187
Зарегистрирован: 10 мар 2015, 17:49

Re: Регулярных выражений для layer7-protocol

Сообщение evgeny » 06 дек 2015, 21:59

Бред это всё. Доля тех-же торрентов уже падает ниже онлайн видеосервисов и ютуба. Ограничивать скорость скачивания прочих типов файлов... Ну а зачем? Дайте вы людям честную скорость. Зачем этот коммунизм. Каналы с каждым годом всё толще и толще. Федералы демпингуют и грызут друг друга всё сильнее. А если вы дорастете до пайп айикса какогонить - цена закупки трафика для вас станет уже не столь большой статьей расходов.

Все эти L7 имеют место быть только для отлова запрещенных ресурсов и для маркировки реалтайм трафика чтоб защититься от микробёрстов в узких местах.

sangar
Сообщения: 28
Зарегистрирован: 03 авг 2015, 00:57

Re: Регулярных выражений для layer7-protocol

Сообщение sangar » 06 дек 2015, 22:12

Вот когда доростем до
пайп айикса какогонить
тода и отменим комунизм))

ZloyBro
Сообщения: 76
Зарегистрирован: 07 мар 2014, 12:13

Re: Регулярных выражений для layer7-protocol

Сообщение ZloyBro » 07 дек 2015, 05:15

evgeny писал(а):Бред это всё. Доля тех-же торрентов уже падает ниже онлайн видеосервисов и ютуба. Ограничивать скорость скачивания прочих типов файлов... Ну а зачем? Дайте вы людям честную скорость. Зачем этот коммунизм. Каналы с каждым годом всё толще и толще. Федералы демпингуют и грызут друг друга всё сильнее. А если вы дорастете до пайп айикса какогонить - цена закупки трафика для вас станет уже не столь большой статьей расходов.

Все эти L7 имеют место быть только для отлова запрещенных ресурсов и для маркировки реалтайм трафика чтоб защититься от микробёрстов в узких местах.


Моя фирма предоставляет интернет и поверьте когда оплата за трафик жрёт львиную долю доходов приходится экономить на трафике

ZloyBro
Сообщения: 76
Зарегистрирован: 07 мар 2014, 12:13

Re: Регулярных выражений для layer7-protocol

Сообщение ZloyBro » 07 дек 2015, 05:20

Ну или подрезать торренты в субботу вечером дабы Юзвери нормально могли интернет сёрфить

HarD
Сообщения: 48
Зарегистрирован: 13 фев 2014, 21:00

Re: Регулярных выражений для layer7-protocol

Сообщение HarD » 31 дек 2015, 15:40

ZloyBro писал(а):
evgeny писал(а):Бред это всё. Доля тех-же торрентов уже падает ниже онлайн видеосервисов и ютуба. Ограничивать скорость скачивания прочих типов файлов... Ну а зачем? Дайте вы людям честную скорость. Зачем этот коммунизм. Каналы с каждым годом всё толще и толще. Федералы демпингуют и грызут друг друга всё сильнее. А если вы дорастете до пайп айикса какогонить - цена закупки трафика для вас станет уже не столь большой статьей расходов.

Все эти L7 имеют место быть только для отлова запрещенных ресурсов и для маркировки реалтайм трафика чтоб защититься от микробёрстов в узких местах.


Моя фирма предоставляет интернет и поверьте когда оплата за трафик жрёт львиную долю доходов приходится экономить на трафике

Вы че по трафику до сих пор покупаете?! я в шоке!

fiksunt
Сообщения: 29
Зарегистрирован: 07 май 2015, 20:02

Re: Регулярных выражений для layer7-protocol

Сообщение fiksunt » 11 янв 2016, 13:19

HarD писал(а):Вы че по трафику до сих пор покупаете?! я в шоке!


Ты удивишься, но в некоторых районах нашей необъятной страны нет даже мобильного интернета не то что 3G но и задрипаного GPRS.
И там некоторые предприимчивые ребята раздают инет со спутника. Один блин спутниковый канал на целый поселок в пару тысяч жителей. А спутник это по большому счету только трафик да еще и по такой цене, что за голову схватишься. Но никуда не денешься ибо интернет хочется всем.

konst_rzn
Сообщения: 1510
Зарегистрирован: 07 авг 2013, 16:50

Re: Регулярных выражений для layer7-protocol

Сообщение konst_rzn » 24 июн 2016, 20:18

Если эта тема более не актуальна, может ее удалить?


Вернуться в «MikroBILL»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей