想问一下 PA里面 流量代理 协议组的一些问题。

faith

PA里面 流量代理 协议组里面包含了socks4/5代理。为什么在策略里面封锁了还是能通过啊。。测试的代理服务器socks是默认1080端口，直接用 流量代理 协议阻断的话客户端可以连接到服务器，但是如果使用自定义协议(1080端口)的话是可以成功阻断的。。很想问一下几个问题，能解答一下吗。。

1.PA协议组里面是 端口定义还是行为方式定义还是混合？（如果涉及商业机密啥的就算了）
2.为什么用自带的 流量代理 协议组无法阻断，但是用自定义的1080端口可以啊。(这个问题也许有点小白，但也怀疑是特征库之类的问题，所以想弄清楚，囧。)
3.搜索了一下论坛的这种问题。找到以前的一个帖子也有类似的问题，里面解答是升级一个特征库就可以了。想问一下PA的新版本是不是全部默认包含了老的特征库啊(自己在用的PA是最新的标准版11.09西汉R10)，如果不是以前老的特征库可以导入到新版本的pa中吗。http://www.panabit.com/forum/viewthread.php?tid=2870

谢谢。。

baggio

从描述看，应该是特征库的问题。

方便的话，帮助抓一下包，这是解决问题的最佳办法，抓包方法论坛置顶中有。

faith

其实也许是上面的问题没有说清楚，自己的主要目的就是想阻断 Socks代理。
但是自己不知道 流量代理 协议组里面的 Socks代理 在PA自身的特征库里是如何定义的：
如果是
1.按照端口来定义的，那么个人猜想大致应该就是PA特征库这个版本的一个小bug，因为没有包含Socks默认的1080端口，如果是这种情况下抓包反馈应该也没有什么意义。
2.如果是按照行为方式定义的(说的比较土，自己的意思是TCP/IP哪些层的传输形式之类吧)，抓了下使用Socks代理情况下浏览器和阿里旺旺访问互联网的连接传送包(见上传文件)。曾经搜索到的资料说Socks代理只负责传输原始的数据包，不管访问用的是何种协议。不知道是不是类似这种“加密”而导致无法识别Socks代理传输包的内部数据形式，从而PA无法封禁第2种假设情况下自身定义的Socks代理。

说的比较乱。简单说自己的需求就是想PA能够帮助封禁Socks代理(无论外网这个Socks代理是否跑在1080端口)

[ 本帖最后由 faith 于 2011-10-13 14:50 编辑 ]

panabit

原帖由 faith 于 2011-10-13 14:46 发表
其实也许是上面的问题没有说清楚，自己的主要目的就是想阻断 Socks代理。
但是自己不知道 流量代理 协议组里面的 Socks代理 在PA自身的特征库里是如何定义的：
如果是
1.按照端口来定义的，那么个人猜想大致应该就 ...

确实是特征库的问题，已经更新了，谢谢你发给我们的数据包！

下个版本就包含这个特征了。

faith

谢谢板板，能顺带回答一下这个问题吗。。
http://www.panabit.com/forum/viewthread.php?tid=8174