这个模块是只修改80端口的流量吗？

Lines 36 to 40 in 75fdf91

    
           if(rkpSetting_ack(skb)) 
        
               return true; 
        
           if(ip_hdr(skb) -> protocol != IPPROTO_TCP) 
        
               return false; 
        
           else if(ntohs(tcp_hdr(skb) -> dest) != 80)

xmurp-ua/src/rkpSetting.h

Line 59 in 75fdf91

else if(ntohs(tcp_hdr(skb) -> source) != 80)

xmurp-ua/src/xmurp-ua.c

Line 173 in 258dd61

if(ntohs(tcph->dest) != 80)

主要是今天同学买了GSWIFI的路由器，我做了一些测试，连http://wdnmd.kask.top:31666/ua.php的http连接都能检测出来修改UA，想不通怎么做到的，心情略崩溃。

我尝试使用过ndpi来识别http流量，但是那个的作者告诉我这无法实现
https://github.com/vel21ripn/nDPI/issues/102

是的，只改80。
要判断的话，看 TCP 的 payload 是否以 HTTP 开头应该就可以。但是我没写这个功能。

是否可能用iptables的string filter来匹配GET和POST这两个字符串，从而转发呢？
还是说匹配到以后要给整条流打上MARK再转发流？
http的报文里好像没有http这个字段吧

明白了，协议里面有HTTP。。。

要在iptables操作的话，肯定是需要对整个流操作的。

	if(rkpSetting_ack(skb))
	return true;
	if(ip_hdr(skb) -> protocol != IPPROTO_TCP)
	return false;
	else if(ntohs(tcp_hdr(skb) -> dest) != 80)