有用户提出想实现过滤禁止使用百度文库上传文档的功能,只想给用户开放浏览百度文库的权限,但不想让用户随意使用百度文库上传文件。
最直接简单的做法就是在规则里禁掉百度文库上传页面的url,因为还需要给用户开放浏览文库的功能,所以不能封wenku.baidu.com,只能封文库上传页面http://wenku.baidu.com/new?fr=home对应的部分url,关键词为:com/new
通过禁掉这个关键词,就可以禁掉百度文库的上传,可是添加这样的规则又会担心这个关键词匹配的太广泛,会引起其它网址访问时产生误封。这个用户在当天实际的使用中发现规则中加上这个关键词后,也没有发现有误封的情况。我们认为浏览的网址多了,这个关键词的封堵肯定会遇到误封的情况,毕竟这个关键词不是很特殊,很容易匹配上。
接下来通过对百度文库上传文档的行为过程使用网路岗的iptool网络抓包工具分析发现,如下图:可以找到百度文库上传文件时用到的比较特殊的url关键词,使用这样的关键词封堵过滤,效果会更好,匹配精确,也不会产生误封的情况,也不会产生多余的封堵报文。
关键词为:
/doc/submit/preupload
/doc/submit/newupload
把这两个关键词加到网路岗的过滤规则中,测试后可以看到,之前添加的规则词可以禁掉百度文库上传。后面添加的关键词也同样可以禁掉百度文库上传文件,而且效果更好,产生的过滤报文更少。之前用的com/new这个关键词也可以禁止百度文库上传,但产生的过滤报文会更多。
小提示:最终要封堵的目票都能实现,但我们肯定是选用产生过滤报文最少的规则,这样的的规则执行效率更高,也更节省系统资源。
应用规则后,使用百度文库上传文件附件时提示失败,如下图
大多数的软件、应用如果具有相应特征,如特定的端口,特定的协议,特定的url字段,特殊的报文等都可以采用抓包分析找到相应的方法把过过滤封堵掉。