使用签名封锁QQ出现的新问题及对策

　前段时间在做禁止QQ使用HTTP代理的测试实验的时候，发现了一个新问题：在ISA2004的配置HTTP中签名中的“请求URL”填入“tencent.com”，在使用HTTP80类型的代理时，QQ依然能登陆。为了找出原因，我进行了以下的实验：

　　实验环境：

　　所用客户端类型：SNAT

　　ISA配置的策略：允许所有出站协议->从内部->外部—>应用于所有用户;

　　在此策略中配置HTTP，在签名中的“请求URL”填“tencent.com”

　　所使用的外网HTTP代理：218.30.17.115:80

　　问题描述：

　　正常情况下，如果你进行了上述配置，测试HTTP代理的时候会得到下图的结果：

　　图1

　　原因可以从下面的图中看出：

　　图2、图3

　　但是为什么通过这个HTTP80代理，QQ还是可以登录呢?看下图：

　　图4

　　看到不同了吧?HTTP的请求URL中出现的竟然是服务器的IP地址!这就是QQ依然能够登录的原因!我尝试了几次登录，都成功了，而且出现的QQ服务器的IP地址也有多个(我看到的有2个，其他没有实验)。如果还是使用在签名中过滤请求，当服务器数量增加时，不是一种很好的方法。

　解决方法

　　方法1：

　　我们可以换一个角度思考一下，看看HTTP请求中的数据包的特点：都使用了Connect Method。按照这个特点我们可以在http配置的“方法(methods)”上下手：

　　图5

　　在“阻止指定的方法”添加一个Method：CONNECT(注意大小写)。

　　我们在来看看结果：

　　图6、图7

　　这回使用HTTP80代理QQ就无法登录了，问题解决。

　　方法2：

　　按原来的思路，既然出现了IP，我们还是使用http过滤签名，不过这次新建一个签名选择“请求URL”签名内容为“218.18.95”，如下图

　　图8

　　说明：暂时发现的直接用IP连接的地址都是218.18.95.x,故直接阻止218.18.95，如果有其他段可以再添加相应IP段。

　　说明

　　1、以上实验仅针对HTTP80代理进行，在开放所有出站协议的情况下，使用其他HTTP代理QQ还是能登录，这是由于配置http中的签名只对发往外部的tcp 80的数据进行检查。如果更换端口，那么就不会接收isa的检查，因为isa认为它不是http数据;

　　2、ShenXu关于CONNECT Method的说明：经过测试，使用外界代理，如果只浏览网页，只用到get ,post这两个命令，connect不会出现，只有在使代理服务器访问其它端口，比如抓到的443端口的时候才会出现connect命令，严格说， connect是proxy的命令，如果封connect的确会造成代理访问动作的中止，但是不会阻拦客户直接的HTTP访问;

　　3、使用方法1后，针对QQ不再需要过滤http签名;

　　4、以上情况可能比较特殊，我没有时间测试其他HTTP80代理，各位可以测试一下。