今天嘗試着用ISA2006來限制QQ。既然要限制QQ,首先要對QQ進行分析,知己知彼,方能百戰不殆。在默認情況下,QQ先向服務器羣的8000端口發送UDP數據包,從服務器羣的回覆中選擇一個最快的作爲登錄服務器;如果沒有服務器回覆,則使用TCP 80/443端口來進行連接。還有使用HTTP代理登入。現在還有webQQ不用下載安裝就能使用。還有QQ空間看來還是比較頑固的哈。
既然知道了對方的招數,那麼我們就要開始研究如何見招拆招了。
1、限制UDP8000端口
2、限制TCP 80/443端口的QQIP
3、限制代理登入
4、封殺web.QQ.com,QQ.com
首先,我們先把環境搭建起來。
Florence是域控制器、DNS。Ip:10.1.1.1
beijing是ISA防火牆,系統是wind 2003 SP1,準備有兩塊網卡,已經加入了域,
內網IP:10.1.1.254 ;外網IP:192.168.0.254。
Perth是域內的客戶機,Ip:10.1.1.2 安裝上2009版QQ。
拓撲如下:
先在ISA上新建一個允許所有的策略
好了,現在在客服機上登入QQ
網絡沒有問題。
現在開始第一步:限制UDP8000端口,選擇新建-協議
給協議起個名字
選擇新建
協議選擇“UDP”端口8000如下圖,
不要輔助連接,選擇否
完成
選擇新建-訪問規則
選擇“拒絕”
協議爲所選的協議,就選我們剛纔新建的協議
訪問規則源:選擇本地主機和內部
訪問規則目標:選擇“外部”
用戶集:選擇所有用戶
完成
第二,我們開始限制TCP80/443的服務器羣的ip
首先,在QQ登入面板上選擇設置---網絡設置----類型選擇TCP類型,如下圖
我們用nslookup,來查看其ip,輸入nslookup,
然後依次輸入tcpconn.tencent.com
tcpconn2.tencent.com
tcpconn3.tencent.com
tcpconn4.tencent.com
好了,記下以上的ip,有點多,那就封網段吧。
選擇網絡對象---新建---地址範圍
把ip都要寫上,我封的是網段
現在再建一個訪問規則
起個名字:“TCP限制QQ”
選擇拒絕
協議:所有出站通訊
訪問規則源:“任何地點”
訪問規則目標:選擇剛纔新建的地址範圍“QQ1” “QQ2””QQ3“
用戶集:選擇所有用戶
完成
應用一下
現在我們先測試一下,正常登入
超時,那在用UDP試試
也是一樣的結果,那在試試TCP
哈哈,挺好,都是不行
是不是網絡出問題了?試試看
網絡正常,說明以上設置是成功的。不過還有http代理呢
成功登入QQ,這可是一記重拳啊!
網上的代理服務器那麼多,要一個一個封,那不是累死了,既然人家來勢洶洶,那我們也不能硬拼啊,那就給它來個溫水煮青蛙,以柔克剛,首先我們抓個包看看,(抓包就不再演示了)
簽名的方式很多,通過抓包可看到QQ上網是通過CONNECT的方式和qq.com去連接QQ服務器的,所以我們可以通過禁止CONNECT來實現。
還記得我們剛開始建了一個允許所有的策略,選擇它右鍵,選擇“配置HTTP”
出現HTTP策略,選擇“方法--阻止指定的擴展名--添加”,如下圖
光是禁止CONNECT還是遠遠不夠的,還要在簽名裏把qq.com、tencent.com幹掉
打開簽名選擇添加,我們把qq.com,tencent.com封殺掉,如下圖:
測試一下
如果是QQ2008的話還可以看到更清楚
好了,QQ是封了,但是現在還有web.qq.com,不要安裝就能直接使用,騰訊確實是挺有遠見啊,還留了一手,
O(∩_∩)O~,不過也簡單,只要把它的ip封了就ok啦!
查看一下qq.com和web.com的ip,用nslookup,如下圖
選擇剛纔建的“TCP限制QQ”屬性
選擇“到”“添加”“新建”“計算機集”如下圖
名稱:?? 選擇“添加”“計算機”
將qq.com的ip填上,有幾個ip就添加幾個計算機
如下圖,確定,這裏是把qq.com封了,
再新建一個計算機,因爲web.com就一個ip,不能誤傷無辜
建好之後如下圖
選擇確定,再應用一下
打開網頁看看
上上百度
再看看qq.com
好了大功告成!現在我所知道的也就只有這幾個辦法,如果哪位兄臺還有更好的辦法,請賜教!