利用ISA2006限制QQ
2010-04-26 11:02
375 查看
今天尝试着用ISA2006来限制QQ。既然要限制QQ,首先要对QQ进行分析,知己知彼,方能百战不殆。在默认情况下,QQ先向服务器群的8000端口发送UDP数据包,从服务器群的回复中选择一个最快的作为登录服务器;如果没有服务器回复,则使用TCP 80/443端口来进行连接。还有使用HTTP代理登入。现在还有webQQ不用下载安装就能使用。还有QQ空间看来还是比较顽固的哈。
既然知道了对方的招数,那么我们就要开始研究如何见招拆招了。
1、限制UDP8000端口
2、限制TCP 80/443端口的QQIP
3、限制代理登入
4、封杀web.QQ.com,QQ.com
首先,我们先把环境搭建起来。
Florence是域控制器、DNS。Ip:10.1.1.1
beijing是ISA防火墙,系统是wind 2003 SP1,准备有两块网卡,已经加入了域,
内网IP:10.1.1.254 ;外网IP:192.168.0.254。
Perth是域内的客户机,Ip:10.1.1.2 安装上2009版QQ。
拓扑如下:
先在ISA上新建一个允许所有的策略
好了,现在在客服机上登入QQ
网络没有问题。
现在开始第一步:限制UDP8000端口,选择新建-协议
给协议起个名字
选择新建
协议选择“UDP”端口8000如下图,
不要辅助连接,选择否
完成
选择新建-访问规则
选择“拒绝”
协议为所选的协议,就选我们刚才新建的协议
访问规则源:选择本地主机和内部
访问规则目标:选择“外部”
用户集:选择所有用户
完成
第二,我们开始限制TCP80/443的服务器群的ip
首先,在QQ登入面板上选择设置---网络设置----类型选择TCP类型,如下图
我们用nslookup,来查看其ip,输入nslookup,
然后依次输入tcpconn.tencent.com
tcpconn2.tencent.com
tcpconn3.tencent.com
tcpconn4.tencent.com
好了,记下以上的ip,有点多,那就封网段吧。
选择网络对象---新建---地址范围
把ip都要写上,我封的是网段
现在再建一个访问规则
起个名字:“TCP限制QQ”
选择拒绝
协议:所有出站通讯
访问规则源:“任何地点”
访问规则目标:选择刚才新建的地址范围“QQ1” “QQ2””QQ3“
用户集:选择所有用户
完成
应用一下
现在我们先测试一下,正常登入
超时,那在用UDP试试
也是一样的结果,那在试试TCP
哈哈,挺好,都是不行
是不是网络出问题了?试试看
网络正常,说明以上设置是成功的。不过还有http代理呢
成功登入QQ,这可是一记重拳啊!
网上的代理服务器那么多,要一个一个封,那不是累死了,既然人家来势汹汹,那我们也不能硬拼啊,那就给它来个温水煮青蛙,以柔克刚,首先我们抓个包看看,(抓包就不再演示了)
签名的方式很多,通过抓包可看到QQ上网是通过CONNECT的方式和qq.com去连接QQ服务器的,所以我们可以通过禁止CONNECT来实现。
还记得我们刚开始建了一个允许所有的策略,选择它右键,选择“配置HTTP”
出现HTTP策略,选择“方法--阻止指定的扩展名--添加”,如下图
光是禁止CONNECT还是远远不够的,还要在签名里把qq.com、tencent.com干掉
打开签名选择添加,我们把qq.com,tencent.com封杀掉,如下图:
测试一下
如果是QQ2008的话还可以看到更清楚
好了,QQ是封了,但是现在还有web.qq.com,不要安装就能直接使用,腾讯确实是挺有远见啊,还留了一手,
O(∩_∩)O~,不过也简单,只要把它的ip封了就ok啦!
查看一下qq.com和web.com的ip,用nslookup,如下图
选择刚才建的“TCP限制QQ”属性
选择“到”“添加”“新建”“计算机集”如下图
名称:?? 选择“添加”“计算机”
将qq.com的ip填上,有几个ip就添加几个计算机
如下图,确定,这里是把qq.com封了,
再新建一个计算机,因为web.com就一个ip,不能误伤无辜
建好之后如下图
选择确定,再应用一下
打开网页看看
上上百度
再看看qq.com
好了大功告成!现在我所知道的也就只有这几个办法,如果哪位兄台还有更好的办法,请赐教!
本文出自 “努力成就梦想” 博客,请务必保留此出处/article/6946430.html本文出自 51CTO.COM技术博客
既然知道了对方的招数,那么我们就要开始研究如何见招拆招了。
1、限制UDP8000端口
2、限制TCP 80/443端口的QQIP
3、限制代理登入
4、封杀web.QQ.com,QQ.com
首先,我们先把环境搭建起来。
Florence是域控制器、DNS。Ip:10.1.1.1
beijing是ISA防火墙,系统是wind 2003 SP1,准备有两块网卡,已经加入了域,
内网IP:10.1.1.254 ;外网IP:192.168.0.254。
Perth是域内的客户机,Ip:10.1.1.2 安装上2009版QQ。
拓扑如下:
先在ISA上新建一个允许所有的策略
好了,现在在客服机上登入QQ
网络没有问题。
现在开始第一步:限制UDP8000端口,选择新建-协议
给协议起个名字
选择新建
协议选择“UDP”端口8000如下图,
不要辅助连接,选择否
完成
选择新建-访问规则
选择“拒绝”
协议为所选的协议,就选我们刚才新建的协议
访问规则源:选择本地主机和内部
访问规则目标:选择“外部”
用户集:选择所有用户
完成
第二,我们开始限制TCP80/443的服务器群的ip
首先,在QQ登入面板上选择设置---网络设置----类型选择TCP类型,如下图
我们用nslookup,来查看其ip,输入nslookup,
然后依次输入tcpconn.tencent.com
tcpconn2.tencent.com
tcpconn3.tencent.com
tcpconn4.tencent.com
好了,记下以上的ip,有点多,那就封网段吧。
选择网络对象---新建---地址范围
把ip都要写上,我封的是网段
现在再建一个访问规则
起个名字:“TCP限制QQ”
选择拒绝
协议:所有出站通讯
访问规则源:“任何地点”
访问规则目标:选择刚才新建的地址范围“QQ1” “QQ2””QQ3“
用户集:选择所有用户
完成
应用一下
现在我们先测试一下,正常登入
超时,那在用UDP试试
也是一样的结果,那在试试TCP
哈哈,挺好,都是不行
是不是网络出问题了?试试看
网络正常,说明以上设置是成功的。不过还有http代理呢
成功登入QQ,这可是一记重拳啊!
网上的代理服务器那么多,要一个一个封,那不是累死了,既然人家来势汹汹,那我们也不能硬拼啊,那就给它来个温水煮青蛙,以柔克刚,首先我们抓个包看看,(抓包就不再演示了)
签名的方式很多,通过抓包可看到QQ上网是通过CONNECT的方式和qq.com去连接QQ服务器的,所以我们可以通过禁止CONNECT来实现。
还记得我们刚开始建了一个允许所有的策略,选择它右键,选择“配置HTTP”
出现HTTP策略,选择“方法--阻止指定的扩展名--添加”,如下图
光是禁止CONNECT还是远远不够的,还要在签名里把qq.com、tencent.com干掉
打开签名选择添加,我们把qq.com,tencent.com封杀掉,如下图:
测试一下
如果是QQ2008的话还可以看到更清楚
好了,QQ是封了,但是现在还有web.qq.com,不要安装就能直接使用,腾讯确实是挺有远见啊,还留了一手,
O(∩_∩)O~,不过也简单,只要把它的ip封了就ok啦!
查看一下qq.com和web.com的ip,用nslookup,如下图
选择刚才建的“TCP限制QQ”属性
选择“到”“添加”“新建”“计算机集”如下图
名称:?? 选择“添加”“计算机”
将qq.com的ip填上,有几个ip就添加几个计算机
如下图,确定,这里是把qq.com封了,
再新建一个计算机,因为web.com就一个ip,不能误伤无辜
建好之后如下图
选择确定,再应用一下
打开网页看看
上上百度
再看看qq.com
好了大功告成!现在我所知道的也就只有这几个办法,如果哪位兄台还有更好的办法,请赐教!
本文出自 “努力成就梦想” 博客,请务必保留此出处/article/6946430.html本文出自 51CTO.COM技术博客
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 利用ISA2006限制QQ
- 在ISA 2006标准版上利用Bandwidth Splitter定制带宽和限制流量(一)
- ISA2006限制QQ
- 在ISA 2006标准版上利用Bandwidth Splitter定制带宽和限制流量(一)
- ISA 2006利用Bandwidth Splitter定制带宽和限制流量
- 在ISA 2006标准版上利用Bandwidth Splitter定制带宽和限制流量(二)
- 利用ISA Server 2006发布内网的Serv-U服务器 推荐
- ISA2006实现QQ离线文件正常发送接受的方法
- ISA限制QQ登录
- 利用ISA封锁QQ
- 利用ISA禁止登录QQ上网和利用SOCKS5代理登录QQ上网
- ISA2006实现 QQ离线文件正常发送接受的方法
- ISA2006 利用签名使IIS更安全
- linux+squid利用Layer7限制迅雷下载、QQ、MSN方法
- 利用ISA封锁QQ上网
- 利用ISA禁止登录QQ上网和利用SOCKS5代理登录QQ上网
- 利用ISA禁止登录QQ上网和利用SOCKS5代理登录QQ上网
- ISA 2006完美禁止QQ