WAP 2.0识别方法：通过HTTP层含wap字符串识别

1.根据端口识别

（1）WAP 1.X识别

WAP网关默认通信端口为9200～9203。其中，9200（0x23f0）表示无连接模式；9201（0x23f1）表示面向连接模式；9202（0x23f2）表示安全无连接模式；9203（0x23f3）表示安全面向连接模式。

（2）WAP 2.0识别

WAP 2.0采用HTTP的端口，所以无法通过端口识别出WAP 2.0。

2.根据关键字识别

（1）WAP 1.X识别

由于WAP用到的绝大多数关键字都采用一个字节编码方式，而不是明文，所以采用一个关键字识别WAP，误判率可能较高。可以采用多关键字联合匹配的方法识别WAP，以尽可能地降低误判率。

多关键字联合检测方法如下。(www.xing528.com)

①传输层负载的第一个字节是0x00，肯定是WAP（目前为止，没有和其他协议检测规则冲突）。

②首先，传输层负载的第一个字节和0x78进行与操作后，数值等于0x08、0x10、0x18、0x20、0x28、0x30、0x38其中之一。其次，根据这些数值确定WTP层基本长度（参见6.2节），根据第一个字节是否大于0x80判断是否存在TPI，若存在，再确定TPI长度（参见3.1.2节），TPI长度加WTP层基本长度就是WTP层总长度。最后，根据WTP层总长度，定位到WSP层的第一个字节，首字节取值位于0x01～0x8f之间。

③传输层负载的第二个字节取值位于0x01～0x8f之间。

说明：①、②、③规则之间是或的关系，规则内部是与的关系。虽然这种方法能在一定程度上降低误判率（降低程度不会太高），但是检测规则复杂。另外，如果能确定运营商WAP网关的地址，将“源地址或者目的地址等于WAP网关地址”作为一条检测规则，与上述每条规则都是与的关系，这样能在一定程度上降低误判率。

（2）WAP 2.0识别

HTTP层的内容字段包含“wap”字符串，就是WAP 2.0。由于“wap”字符串所在字段的位置不固定，所以需要采用字符串匹配方法搜索“wap”字符串。我们在设计原型系统时，字符串匹配过程采用的是基于状态机的模式匹配方法。此外，包含“wap”字符串的HTTP字段在客户端请求过程中没有出现，只能在服务器响应过程中识别。

3.“WAP网关地址+特定端口”联合识别WAP 1.X

根据不同运营商各自的WAP网关地址固定的特点，可以将WAP网关地址和特定端口（9200～9203）作为联合检测规则识别WAP 1.X。