现在要求禁止内网用户使用QQ、联众等聊天和网游软件的呼声越来越高。不久前,售后工程师办理了这样一笔业务。工程师在治疗过程中发现了一些解决方法,现做一个总结,希望能为同行提供参考。下面我们来逐一分析这些应用。
首先,屏蔽QQ连接
新版QQ不仅可以通过UDP登录服务器,还可以通过TCP登录服务器。QQ在连接时首先向以下七个服务器的端口8000发送udp数据包。
sz.tencent.com·61.144.238.145
sz2.tencent.com·61.144.238.146
sz3.tencent.com·202.104.129.251
sz4.tencent.com·202.104.129.254
sz5.tencent.com·61.141.194.203
sz6.tencent.com·202.104.129.252
sz7.tencent.com·202.104.129.253
阻断8000端口连接后,发现QQ还会通过udp的8001端口和tcp的8000、8001端口连接。由于这些端口目前仅由QQ使用,因此可以根据端口制定阻止规则。
用防火墙屏蔽上述端口的数据包后,发现QQ还会通过tcp端口80和443连接。如果对这两个端口做屏蔽规则,会影响用户正常上网,所以只能用服务器的ip地址作为规则。通过实验,我们发现以下QQ服务器可以通过端口80和443建立连接:
218.17.217.106
219.133.40.95
219.133.40.97 ,
219.133.40.157 ,
219.133.40.177 ,
219.133.40.73 ,
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
对这些IP做了屏蔽规则后,QQ基本上已经无法登录了。
在实验中我们还发现,QQ安装目录下的Config.db文件,记录了QQ服务器的地址,与我们上面发现的完全一致。
所以在使用防火墙阻止用户使用QQ上网时,除了阻断tcp和udp的8000和8001端口外,还需要阻断与QQ服务器的连接。下面列出了在实验中找到的和在互联网上找到的QQ服务器IP:
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40.21/73/89/90/92/95/97/157/177/189(该网段有很多服务器地址,所以考虑屏蔽整个网段)。
虽然以上方法可以阻断QQ连接,但如果腾讯增加新的QQ服务器,QQ仍然可以登录。此外,借助NEC E-BORDER等第三方代理软件,支持匿名的Socks5代理仍有可能绕过并登录使用QQ。
第二,屏蔽MSN的连接
除了常规的1863端口,MSN的连接还将使用7001和80端口。因为这两个端口关系到其他网络服务的应用,所以只能采用阻断QQ连接的方法,通过阻断与MSN服务器的连接来满足用户的要求。
实验中找到的服务器IP如下所示:
64.4.12.200/201
65.54.194.117
207.46.68.23
207.46.104.20
207.46.107.14/125
207.46.110.27/28/254
经查询,这些服务器IP均来自北美。
同样,如果微软添加了新的MSN服务器或者用户使用了代理,他们仍然可以登录MSN。
第三,屏蔽联众的连接
屏蔽联众的连接相对容易。当客户端连接到服务器时,它将首先与服务器的端口2000(61 . 55 . 138 . 219:2000)建立连接。建立连接后,将使用服务器的端口1007、2001、2002和3015。
实验中只有端口2000的数据包被阻塞,客户端无法连接到服务器。
第四,屏蔽可乐吧的连接。
在连接服务器的时候,可乐吧的客户端要先打开可乐吧的主页(www.kele8.com),然后通过主页进入游戏厅,所以只要定义一个URL规则,过滤地址为“*kele8*”。
以上内容来自互联网,不代表本站全部观点!欢迎关注我们:zhujipindao。com
评论前必须登录!
注册