使用签名封锁QQ出现的新问题及对策 - 【网络安全技术】 - 我是网管论坛

blazewind

版主

网络安全技术

UID 504934
精华 4
积分 692
帖子 1275
MST币 10136 点
BST币 692 点赚取
阅读权限 180
注册 2007-3-25
来自河北
状态在线

大中小

[ 使用道具 ]

发表于 2007-6-25 16:52 [ 资料 ] [ 博客 ] [ 主页 ] [ 短消息 ] [ 加为好友 ]

使用签名封锁QQ出现的新问题及对策

本帖发表在我是网管论坛，帖子地址：http://bbs.54master.com/173416,1,1

转自ISA中文站使用签名封锁QQ出现的新问题及对策
前段时间在做禁止QQ使用HTTP代理的测试实验的时候，发现了一个新问题：在ISA2004的配置HTTP中签名中的“请求URL”填入“tencent.com”，在使用HTTP80类型的代理时，QQ依然能登陆。为了找出原因，我进行了以下的实验：
实验环境： 所用客户端类型：SNAT ISA配置的策略：允许所有出站协议－>从内部－>外部—>应用于所有用户；在此策略中配置HTTP，在签名中的“请求URL”填“tencent.com” 所使用的外网HTTP代理：218.30.17.115:80
问题描述： 正常情况下，如果你进行了上述配置，测试HTTP代理的时候会得到下图的结果：

图1 原因可以从下面的图中看出：　

图2、图3
但是为什么通过这个HTTP80代理，QQ还是可以登录呢？看下图：

图4
看到不同了吧？HTTP的请求URL中出现的竟然是服务器的IP地址！这就是QQ依然能够登录的原因！我尝试了几次登录，都成功了，而且出现的QQ服务器的IP地址也有多个（我看到的有2个，其他没有实验）。如果还是使用在签名中过滤请求，当服务器数量增加时，不是一种很好的方法
解决方法 方法1：我们可以换一个角度思考一下，看看HTTP请求中的数据包的特点：都使用了Connect Method。按照这个特点我们可以在http配置的“方法（methods）”上下手：

图5 在“阻止指定的方法”添加一个Method：CONNECT（注意大小写）。我们在来看看结果：　

图6、图7 这回使用HTTP80代理QQ就无法登录了，问题解决。
方法2：

按原来的思路，既然出现了IP，我们还是使用http过滤签名，不过这次新建一个签名选择“请求URL”签名内容为“218.18.95”，如下图

图8 说明：暂时发现的直接用IP连接的地址都是218.18.95.x,故直接阻止218.18.95，如果有其他段可以再添加相应IP段。
说明 1、以上实验仅针对HTTP80代理进行，在开放所有出站协议的情况下，使用其他HTTP代理QQ还是能登录，这是由于配置http中的签名只对发往外部的tcp 80的数据进行检查。如果更换端口，那么就不会接收isa的检查，因为isa认为它不是http数据； 2、ShenXu关于CONNECT Method的说明：经过测试，使用外界代理，如果只浏览网页，只用到get ,post这两个命令，connect不会出现，只有在使代理服务器访问其它端口，比如抓到的443端口的时候才会出现connect命令，严格说， connect是proxy的命令，如果封connect的确会造成代理访问动作的中止，但是不会阻拦客户直接的HTTP访问； 3、使用方法1后，针对QQ不再需要过滤http签名； 4、以上情况可能比较特殊，我没有时间测试其他HTTP80代理，各位可以测试一下。

[ 点这里复制网址，推荐给你QQ/MSN上的好友们! ]

本站声明：以上内容由网友 blazewind 提供，与54master立场无关！

亡人为鬼，鬼入轮回而投身六界。这是人生的终站，也是人生的起点。多少人捧着一腔血茫然而来，多少不甘愿也只能化做一回眸。过奈何桥，喝孟婆汤，六道轮回之后是冤屈的第一生啼哭，三生石上，又被刻下深深一笔，记下该了的债，该还的情……

[ 顶部 ]

boyhong

初级网管

UID 382127
精华 2
积分 194
帖子 325
MST币 2570 点
BST币 194 点赚取
阅读权限 80
注册 2006-5-23
状态离线

大中小

[ 使用道具 ]

发表于 2007-7-3 10:17 [ 资料 ] [ 博客 ] [ 主页 ] [ 短消息 ] [ 加为好友 ]

有用~~~~~谢谢~~~~~~~~~~~~~绝对要支持.

本站声明：以上内容由网友 boyhong 提供，与54master立场无关！

[ 顶部 ]