这是我的第一篇博客,在老师的建议下开始写一些博客,由于刚开始有很多不够的地方,希望各位看后能够提一些宝贵的建议。
我们利用
BEIJING
做
ISA
防火墙,而且系统是打了
SP1
补丁的
WIN2003
系统,因为作实验时没打补丁所以在装
ISA
时遇到问题了。内网
IP
:<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />
10.1.1
.254
;外网
IP
:
192.168.11.254
。
PERTH
是内网的计算机,在
PERTH
上安装
QQ
作实验。。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
实验拓扑如下:
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
分析QQ登入原理:
一、弄清QQ登录服务器的原理
QQ登录取的服务器通常有以下几类:UDP类型、TCP类型,只要勾选QQ登录界面中的“高级设置”,然后勾选“使用高级选项”即可看到
1.UDP类型
UDP 8000端口类13个:速度最快,服务器最多。 QQ上线会向这些服务器发送UDP数据包,选择回复速度最快的一个作为连接服务器。 服务器名字均以SZ开头,域后缀是tencent.com,其IP分别为:
61.144.238.145、61.144.238.146、61.144.238.156 、202.104.129.251、202.104.129.254、202.104.129.252、202.104.129.253 、61.141.194.203 、202.96.170.166 、218.18.95.221、219.133.45.15 、61.141.194.224 、202.96.170.164
2.TCP类型
TCP HTTP连接服务器4个,使用HTTP 80 和443端口连接。这4个服务器名字均以tcpconn开头,域后缀是tencent.com,其IP为:
218.17.209.23
218.18.95.153
61.141.194.227
218.18.95.171
一
我们首先做一条最宽松的访问规则。让内网能够访问外网,我们在
PERTH
上登入
QQ
。
访问规则创建成功,我们登入
QQ
看看。
QQ
登入成功说明内网可以上网了。
二
我们封锁
QQ
上网用的
UDP
:
8000
端口。在
ISA
上新建一条封杀
UDP
:
8000
端口的协议。
新建协议中端口号为从
8000
到
8000
,方向为发送。
不用选择辅助连接
指定能上网的通讯源。
目标通讯为外部。
封杀
UDP
:
8000
端口的协议完成,然后我们再封杀
QQ
的
TCP
协议。我们在
QQ
登入界面上看到有设置选向,在选择登入服务器的类型中选择
TCP
协议,发现有
4
个服务器地址,端口为
443
。分别是
tcpconn.tennet.com
到
tcpconn4.tennet.com.
我们在
ISA
上通过指令
nslookup,
查看服务器
IP
,输入第一个服务器名
tcpcon.tennet.com.
发现
ip
很多,如果一个一个的输太麻烦了。我们直接把
219.133.0.0—219.133.255.255
的
IP
段给封了。
我们发现在
tcpconn3.tenncent.com—tcpconn4.tencent.com
都是
58.60
段上的
IP
,好,把
58.60.0.0—58.60.255.255
的段给封了。这样剩不少麻烦。
们在
ISA
上,网络对象
—
地址范围。
输入名称,封锁的
IP
地址范围。
建好两条地址范围,然后新建访问规则,名称封杀
tcp/qq
,
这里选择拒绝。
选择刚建成的地址范围。
访问规则完成,然后可以登入
QQ
,检验以下成果。
OK
!
QQ
登入失败。说明封锁
QQ
的
TCP
,
UDP
成功。但是这样是肯定不行的。遇到明白人还是能上网的,革命尚未成功,还要继续努力。。。
三
封锁代理服务器
我从网上很轻松的搜索到一些免费的代理服务器
IP
地址,利用代理又可以上
QQ
了,哈哈,道高一尺,魔高一丈。
代理服务器登入是很让人头疼的,只封
QQ
而有能正常上网,
http
又不能封,那只有一个一个的把代理服务器的
ip
给封了,这是我从网上搜索到的部分代理服务器
IP
和端口。
德国
130.75.87.84 68660
正常
3735 http 2008-11-16 23:43:38
北京市
网通
61.50.217.230 1080
正常
391 http 2008-11-16 23:43:30
芬兰
193.167.182.130 3128
正常
2124 http 2008-11-16 23:43:23
波兰
195.116.60.34 68660
正常
3030 http 2008-11-16 23:43:07
芬兰
193.167.182.130 68664
正常
3624 http 2008-11-16 23:43:03
塞浦路斯
194.42.17.123 3124
正常
2108 http 2008-11-16 23:42:57
瑞士
192.33.90.68 3127
正常
1874 http 2008-11-16 23:42:51
巴西
圣保罗大学
143.107.111.195 3124
正常
1719 http 2008-11-16 23:42:48
巴西
圣保罗大学
143.107.111.195 3127
正常
1733 http 2008-11-16 23:42:48
波兰
195.116.60.34 68664
正常
2312 http 2008-11-16 23:42:43
德国
130.75.87.84 3124
正常
2047 http 2008-11-16 23:42:37
加拿大
萨斯卡彻温大学
128.233.252.12 3124
正常
1281 http 2008-11-16 23:42:29
浙江省温州市苍南县
金乡镇海天网吧
61.153.47.30 80
正常
1312 http 2008-11-16 23:42:17
塞浦路斯
194.42.17.124 3127
正常
6156 http 2008-11-16 23:42:15
日本
61.89.82.79 8080
正常
3734 http 2008-11-16 23:42:03
日本
219.23.88.182 8080
正常
4593 http 2008-11-16 23:41:40
日本
219.34.2.65 8080
优质
5953 http 2008-11-16 23:40:56
广东省
电信
121.9.206.83 80
正常
312 http 2008-11-16 23:38:47
美国
Duke University 152.3.138.4 3124
正常
1328 http 2008-11-16 23:38:38
日本
大阪大学
133.1.74.162 3127
正常
2219 http 2008-11-16 23:38:35
广东省佛山市顺德区
网通
221.4.162.243 80
正常
1780 http 2008-11-16 23:38:31
上海市
电信
ADSL 222.73.17.198 80
正常
390 http 2008-11-16 23:38:30
北京市
电信通
218.249.83.87 8080
正常
407 http 2008-11-16 23:38:24
越南
203.160.1.130 554
正常
531 http 2008-11-16 23:38:06
这么多的
IP
封把,新建一个
http
策略中,把
IP
在签名中输入
qq_61.50.217.230
最后在登入
QQ
试试杂样,
QQ
登入失败了,大功告成
,
其实想登入
QQ
并不是不可能的,代理服务器多的很,想封的话,恐怕麻烦了。不过为了登个
QQ
而费这么大的劲去和管理员周旋,那实在没多大意思。废话不多说了,哈哈
,休息~休息。。
转载于:https://blog.51cto.com/zhaopeng/114399