应用协议控制中对HTTP自定义协议的阻断总是有漏网现象

davidconan

出于某些原因想要屏蔽某个网站的两个接口，具体url类似这样：

http://test.example.com/interface?xx=aa

http://demo.example.com/backend?xx=aa

我采用的做法是先添加高级自定义协议，协议分类是HTTP自定义，协议特征内容示例如下：

Protocol=HTTP

DstPort=80

Url=^/interface\?

Host=^test.example.com$

还有另一条自定义协议的内容是

Protocol=HTTP

DstPort=80

Url=^/backend\?

Host=^demo.example.com$

添加完之后，到行为管控-应用协议控制那里添加规则，协议只选择了U-开头的自定义协议的条目，动作选阻断，其他默认。

添加完控制规则并启用之后，确实能发现客户端访问那两个网站接口有可能会被rst，但是也有漏网访问成功的情况。无论是建两条控制规则分别添加自定义协议，还是在一条控制规则里添加两条自定义协议，都有漏网问题。据我观察漏网的特点是：规则刚启用之后，访问接口的前几次请求会被通过，后续则都被rst。但如果间隔一段时间重新访问接口则又会出现这种前几次漏网的现象。

请问这种情况是我规则设置上存在问题吗？有没有办法解决？

爱快协议分析07

你好楼主，你把host里面的开始符^给去掉，或者写开始符要把http://加上；
其次你提到的"访问接口的前几次请求会被通过，后续则都被rst"，确实是这样，你的终端与服务器前几次通讯过程中，路由会对你写的自定义协议去做匹配识别，这一过程不会阻断的，阻断的是后续的数据传输。

davidconan

爱快协议分析07 发表于 2020-9-9 09:40
你好楼主，你把host里面的开始符^给去掉，或者写开始符要把http://加上；
其次你提到的"访问接口的前几次请 ...

感谢官方人员的回复，不过好像不太对吧，host我是参照设置页面上的帮助提示来写的，上面写的就是直接带域名，没有http://的，实测如果加上http://则根本拦不住，去掉^开始符的话可能导致匹配到更多url，不过我实践的效果和没去掉是一样的，都是前一两个包被放行后续就拦住了。所以爱快当前是没有办法做到100%阻断自定义协议对吗？爱快还有没有其他方式能够实现我的需求呢

爱快协议分析06

davidconan 发表于 2020-9-11 14:46
感谢官方人员的回复，不过好像不太对吧，host我是参照设置页面上的帮助提示来写的，上面写的就是直接带域 ...

用tcp来识别

1. Protocol=TCP
   
2. Direction=CLIENT
   
3. PacketSeq=1
   
4. DstPort=80,443
   
5. Data=demo.example.com

复制代码