ISA防火墙封杀QQ

    这是我的第一篇博客，在老师的建议下开始写一些博客，由于刚开始有很多不够的地方，希望各位看后能够提一些宝贵的建议。 

  

   我们利用 BEIJING 做 ISA 防火墙，而且系统是打了 SP1 补丁的 WIN2003 系统，因为作实验时没打补丁所以在装 ISA 时遇到问题了。内网 IP ：<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /> 10.1.1 .254      ；外网 IP ： 192.168.11.254 。 PERTH 是内网的计算机，在 PERTH 上安装 QQ 作实验。。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

   实验拓扑如下：

  

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

 分析QQ登入原理：

一、弄清QQ登录服务器的原理

 

　　QQ登录取的服务器通常有以下几类：UDP类型、TCP类型，只要勾选QQ登录界面中的“高级设置”，然后勾选“使用高级选项”即可看到

　　1.UDP类型

 

　　UDP 8000端口类13个：速度最快，服务器最多。 QQ上线会向这些服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。 服务器名字均以SZ开头，域后缀是tencent.com，其IP分别为：

　　61.144.238.145、61.144.238.146、61.144.238.156 、202.104.129.251、202.104.129.254、202.104.129.252、202.104.129.253 、61.141.194.203 、202.96.170.166 、218.18.95.221、219.133.45.15 、61.141.194.224 、202.96.170.164

 

　　2.TCP类型

 

　　TCP HTTP连接服务器4个，使用HTTP 80 和443端口连接。这4个服务器名字均以tcpconn开头，域后缀是tencent.com，其IP为：

　　218.17.209.23

　　218.18.95.153

　　61.141.194.227

　　218.18.95.171

 

一 我们首先做一条最宽松的访问规则。让内网能够访问外网，我们在 PERTH 上登入 QQ 。

 

 

访问规则创建成功，我们登入 QQ 看看。

QQ 登入成功说明内网可以上网了。

  二 我们封锁 QQ 上网用的 UDP ： 8000 端口。在 ISA 上新建一条封杀 UDP ： 8000 端口的协议。

新建协议中端口号为从 8000 到 8000 ，方向为发送。

不用选择辅助连接

指定能上网的通讯源。

目标通讯为外部。

封杀 UDP ： 8000 端口的协议完成，然后我们再封杀 QQ 的 TCP 协议。我们在 QQ 登入界面上看到有设置选向，在选择登入服务器的类型中选择 TCP 协议，发现有 4 个服务器地址，端口为 443 。分别是 tcpconn.tennet.com 到 tcpconn4.tennet.com.

我们在 ISA 上通过指令 nslookup, 查看服务器 IP ，输入第一个服务器名 tcpcon.tennet.com. 发现 ip 很多，如果一个一个的输太麻烦了。我们直接把 219.133.0.0—219.133.255.255 的 IP 段给封了。

我们发现在 tcpconn3.tenncent.com—tcpconn4.tencent.com 都是 58.60 段上的 IP ，好，把 58.60.0.0—58.60.255.255 的段给封了。这样剩不少麻烦。

们在 ISA 上，网络对象 — 地址范围。

输入名称，封锁的 IP 地址范围。

建好两条地址范围，然后新建访问规则，名称封杀 tcp/qq ，

这里选择拒绝。

 

选择刚建成的地址范围。

访问规则完成，然后可以登入 QQ ，检验以下成果。

OK ！ QQ 登入失败。说明封锁 QQ 的 TCP ， UDP 成功。但是这样是肯定不行的。遇到明白人还是能上网的，革命尚未成功，还要继续努力。。。

三 封锁代理服务器

我从网上很轻松的搜索到一些免费的代理服务器 IP 地址，利用代理又可以上 QQ 了，哈哈，道高一尺，魔高一丈。

 

代理服务器登入是很让人头疼的，只封 QQ 而有能正常上网， http 又不能封，那只有一个一个的把代理服务器的 ip 给封了，这是我从网上搜索到的部分代理服务器 IP 和端口。

德国 130.75.87.84 68660 正常 3735 http 2008-11-16 23:43:38

北京市 网通 61.50.217.230 1080 正常 391 http 2008-11-16 23:43:30

芬兰 193.167.182.130 3128 正常 2124 http 2008-11-16 23:43:23

波兰 195.116.60.34 68660 正常 3030 http 2008-11-16 23:43:07

芬兰 193.167.182.130 68664 正常 3624 http 2008-11-16 23:43:03

塞浦路斯 194.42.17.123 3124 正常 2108 http 2008-11-16 23:42:57

瑞士 192.33.90.68 3127 正常 1874 http 2008-11-16 23:42:51

巴西 圣保罗大学 143.107.111.195 3124 正常 1719 http 2008-11-16 23:42:48

巴西 圣保罗大学 143.107.111.195 3127 正常 1733 http 2008-11-16 23:42:48

波兰 195.116.60.34 68664 正常 2312 http 2008-11-16 23:42:43

德国 130.75.87.84 3124 正常 2047 http 2008-11-16 23:42:37

加拿大 萨斯卡彻温大学 128.233.252.12 3124 正常 1281 http 2008-11-16 23:42:29

浙江省温州市苍南县 金乡镇海天网吧 61.153.47.30 80 正常 1312 http 2008-11-16 23:42:17

塞浦路斯 194.42.17.124 3127 正常 6156 http 2008-11-16 23:42:15

日本 61.89.82.79 8080 正常 3734 http 2008-11-16 23:42:03

日本 219.23.88.182 8080 正常 4593 http 2008-11-16 23:41:40

日本 219.34.2.65 8080 优质 5953 http 2008-11-16 23:40:56

广东省 电信 121.9.206.83 80 正常 312 http 2008-11-16 23:38:47

美国 Duke University 152.3.138.4 3124 正常 1328 http 2008-11-16 23:38:38

日本 大阪大学 133.1.74.162 3127 正常 2219 http 2008-11-16 23:38:35

广东省佛山市顺德区 网通 221.4.162.243 80 正常 1780 http 2008-11-16 23:38:31

上海市 电信 ADSL 222.73.17.198 80 正常 390 http 2008-11-16 23:38:30

北京市 电信通 218.249.83.87 8080 正常 407 http 2008-11-16 23:38:24

越南 203.160.1.130 554 正常 531 http 2008-11-16 23:38:06

这么多的 IP 封把，新建一个 http 策略中，把 IP 在签名中输入 qq_61.50.217.230

最后在登入 QQ 试试杂样，

QQ 登入失败了，大功告成 ，

其实想登入 QQ 并不是不可能的，代理服务器多的很，想封的话，恐怕麻烦了。不过为了登个 QQ 而费这么大的劲去和管理员周旋，那实在没多大意思。废话不多说了，哈哈 ，休息～休息。。

 

转载于:https://blog.51cto.com/zhaopeng/114399