怎样禁止钉钉外发文件？钉钉文件传输协议分析

钉钉(DingTalk)是中国领先的智能移动办公平台，用于商务沟通和工作协同。越来越多企业采用钉钉来进行办公自动化，但是由此带来的信息安全问题也不能忽视。钉钉软件可以很容易的上传附件、外发和接收文件，从而威胁到网络内部的信息安全。近来很多客户提出需要屏蔽钉钉的外发文件功能，所以我们做了针对性的测试。下文是钉钉外发文件的协议详解和如何屏蔽的方案。

1. 钉钉外发文件的协议分析

通过多次的抓包分析，钉钉PC版的外发文件和手机版的外发文件采用的不同的方式。

钉钉PC版的外发文件，主要通过sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com这两个网站进行转发。抓包分析如下图：

但是钉钉的手机版本发送文件时，却共用了钉钉登录和发送信息的连接。如图：

换句话说，PC版本的钉钉外发文件可以单独禁止（不禁止钉钉登录和其他功能）；但是手机版的钉钉外发文件不能单独屏蔽掉。下面我们再看下具体的实现步骤。

2. 屏蔽钉钉PC版的外发文件功能

只要在应用过滤中把“钉钉文件（PC）”设置为“禁止”，就可以屏蔽钉钉PC版的外发文件功能。如图：

配置成禁止后，钉钉的外发文件就会被屏蔽掉。聊天消息、图片仍然正常使用。

文档中的文件上传会全部被禁止掉。

3. 屏蔽手机钉钉的上传功能

由于手机钉钉的文件上传和聊天走的是同一个连接，所以不能用单独的应用来禁止了。这里我介绍下WFilter NGF（WSG网关）的一个非常强大的功能：疑似上传的屏蔽。如图：

这个功能会检测每个连接的上传数据，一旦上传数据超过阈值，就会把该连接断开。这个功能刚好可以用在手机钉钉上，如果只是正常的聊天消息发送，那么由于数据量比较小可以正常使用。但是一旦要上传附件，就会被屏蔽掉。效果如下图：

WSG里面的封堵记录如图：

以上就是WSG（WFilter NGF）对钉钉外发文件的管控方案，可以有效的管控钉钉文件传输从而避免信息泄露。