ISA禁止QQ.docx
- 文档编号:1403759
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:11
- 大小:463.30KB
ISA禁止QQ.docx
《ISA禁止QQ.docx》由会员分享,可在线阅读,更多相关《ISA禁止QQ.docx(11页珍藏版)》请在冰点文库上搜索。
ISA禁止QQ
对企业网管来说,工作时间内禁止员工使用QQ聊天工具做一些与工作无关的事情,是一件常规工作。
不过禁止QQ的方法有多种,有的人在ISA访问规则中直接将QQ的服务器
其实禁用QQ是有更好的方法的,为了找到更好的方法,我们先对QQ的工作原理做个分析。
1. QQ的登录方式
QQ可以支持UDP、HTTP和HTTPS这三种登录方式,而且可以使用HTTP代理,这相当于只要你允许了HTTP协议,那么QQ就可以登录。
在默认情况下,QQ先向服务器群的8000端口发送UDP数据包,从服务器群的回复中选择一个最快的作为登录服务器;如果没有服务器回复UDP数据包,则使用TCP80/443端口来进行连接。
因为他可以使用HTTP直接连接,而一般是不能封锁HTTP协议的,所以,封锁QQ的最好办法是封锁它的服务器IP,但是QQ还可以使用HTTP代理登录,所以,还得在ISAServer2004的HTTP检查机制中设置禁止QQ的HTTP连接。
1) UDP8000端口
UDP工作速度最快,服务器最多;QQ上线会向这些服务器发送UDP数据包,选择回复速度最快的一个作为连接服务器。
UDP8000端口类18个,他们分别是:
61.144.238.14561.144.238.14661.144.238.15661.144.238.150202.104.129.251202.104.129.254202.104.129.252202.104.129.25361.141.194.203202.96.170.166218.18.95.221219.133.45.1561.141.194.20061.141.194.224202.96.170.164202.96.170.163219.133.40.216218.18.95.209
2) TCPHTTP连接服务器(列举5个),使用HTTP80和443端口连接。
218.17.209.23218.18.95.15361.141.194.227218.18.95.171218.18.95.221
3) 会员VIP登陆服务器,使用HTTP443安全连接()。
例如:
218.17.209.42
综上所述利用协议实现对QQ的禁用根本是行不通的。
2. 禁用QQ的思想
首先需要建立Internet访问规则选择为http和DNS协议,让当前的企业用户能够成功的访问公网,并能成功的使用QQ软件,然后再通过ISA2004的深层检测功能实现对QQ的过滤。
过去的基于包过滤的防火墙(无论硬件还是软件防火墙)都是没有办法封锁QQ的,但是利用ISAServer2004的深层HTTP检查机制就可以很好的禁止QQ软件。
3. 具体操作
创建支持http协议和DNS协议的访问规则在此就不再详细叙述,在后续的文章中将会推出,请关注本blog谢谢大家
在创建好Internet访问规则的基础上,右击该规则选择“http配置”然后选择“签名”选项卡如下图,添加一条签名规则,并将其签名写为“”
注意:
QQ的签名一般使用的是。
如果该签名无效,则需要利用数据分析工具抓紧QQ数据包分析具体的签名。
最后点击“确定”关闭窗口,并且不要忘记“应用”该策略。
然后在内部网络中访问QQ的WEB仍然可以继续访问,但是想登录QQ就不行了,并且使用代理也无法登录QQ。
使用ISAServer2004禁止P2P软件
现在P2P软件非常的流行,而且提供了多样化的登录方式,这给我们做网管的想封锁它的时候,带来很多不方便。
下面我以国内常用的QQ和MSN来给大家介绍一下,利用ISAServer2004的增强的HTTP协议检查功能,来完全的禁止它们。
既然要封锁它们,首先要对QQ和MSN使用的协议来进行分析,知己知彼,才能在封锁与反封锁的较量中获胜。
首先介绍MSN。
MSN使用TCP1863端口来登录的。
封锁这个端口就可以很好的禁止MSN登录,但是在使用HTTP代理的情况下,MSN可以很轻松的突破1863端口的限制。
再说说QQ。
QQ的登录过程是这样的,在默认情况下,QQ先向服务器群的8000端口发送UDP数据包,从服务器群的回复中选择一个最快的作为登录服务器;如果没有服务器回复,则使用TCP80/443端口来进行连接。
因为他可以使用HTTP直接连接,而一般是不能封锁HTTP协议的,所以,封锁QQ的最好办法是封锁它的服务器IP。
但是如果使用HTTP代理登录,那么还是可以上QQ的。
QQ的服务器的地址如下,最后更新于2004年6月1日。
不过tencent随时可能增加服务器,但是应对政策很简单,如果能上QQ,你在QQ的系统属性里面看看当前登录服务器的IP,然后添加进来就是了。
QQ服务器分为三类:
1、UDP8000端口类18个:
速度最快,服务器最多。
QQ上线会向这些服务器发送UDP数据包,选择回复速度最快的一个作为连接服务器。
61.144.238.145
61.144.238.146
61.144.238.156
61.144.238.150
202.104.129.251
202.104.129.254
202.104.129.252
202.104.129.253
61.141.194.203
202.96.170.166
218.18.95.221
219.133.45.15
61.141.194.200
61.141.194.224
202.96.170.164
202.96.170.163
219.133.40.216
218.18.95.209
2、TCPHTTP连接服务器5个,使用HTTP80和443端口连接
这4个服务器名字均以tcpconn开头,域后缀是,域名与IP对应为
tcpconntcpconn3218.17.209.23
tcpconn2tcpconn4218.18.95.153
61.141.194.227
218.18.95.171218.18.95.221
3、会员VIP登陆服务器,使用HTTP443安全连接
服务器IP218.17.209.42
在过去的时候,对于使用HTTP代理来上QQ和MSN的情况,没有什么办法。
不过现在不一样了,ISA
Server2004增强的HTTP协议状态检查,可以很完美的封锁使用HTTP代理上QQ和MSN的情况。
以下首先给大家介绍一下封锁利用HTTP代理上WindowsMessanger的情况,译自GregMulholland的“PreventingP2PandInstantMessagingprogramsfromhijackingyour
networkwithISA2004Firewalls”,不过原文比较复杂,我简化了一下。
GregMulholland通过设置防火墙策略,只允许这个客户只能使用HTTP协议,所以,Windows
Messenger不能登录。
但是这个客户使用WindowsMessenger的HTTP代理,
于是就可以登录了。
GregMulholland通过在HTTP协议中配置签名,
(注意,下图是重点)Windows
Messenger连接HTTP代理服务的时候,发送的数据包的请求头中的User-Agent字段,关键字为MSMSGS,
通过勾选这个定义项,ISAServer2004会阻止具有这个特性的HTTP数据包。
于是,这个客户不能登录了。
QQ通过HTTP代理服务连接时,发送的数据包同样具有关键字特性,我通过sniffer分析了一下,注意看下图,这是我监听到的数据包的一部分,这个地方,显示了QQ通过HTTP代理服务连接到的QQ服务器URL。
同样的,我做了一个完整的测试:
首先我在ISAServer2004中设置防火墙策略,只允许192.168.0.41访问外部的HTTP和HTTPS服务。
这时QQ不能通过UDP方式来连接了,于是我设置QQ的HTTP代理,
QQ通过ISAServer2004的HTTP代理服务成功登录。
现在我来配置HTTP策略,
在“Signatures”页,我添加了一个名为QQ的签名项,指定在RequestURL里面搜索“”,如果匹配则ISAServer2004会丢弃该数据包。
此时,QQ已经不能通过代理服务器登录了。
需要注意的是,只有QQ通过HTTP代理服务器登录的时候,才会在数据包内包含“Request
URL”,如果是QQ直接通过HTTP协议连接服务器,那么是不会包含这个字段的,所以,这个HTTP签名项只能针对QQ使用HTTP代理登录时使用。
不过使用这个HTTP过滤,结合封锁QQ的服务器IP,可以很完美的封锁掉QQ。
以下链接是从微软网站上找到的,常用的网络应用程序的签名项,不过,新版本的软件可能会修改这个签名项。
(英文)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISA 禁止 QQ