突出重围！小Q对你说：“想封我没那么容易！” 推荐

[align=left] 突出重围！[/align]
[align=left] 小Q对你说：“想封我没那么容易！”[/align]
[align=left] 这两天在博客中看到了很多用ISA封杀QQ的法子，方法也是层出不穷，而且都很有效，我为管理员欣慰的同时也为因此不能在上QQ的朋友表示遗憾，但遗憾归遗憾，俗话说上有对策，下有应策....哈哈，明白我打算干什么了吧，明白了就跟我 Go吧.[/align]
[align=left] 先从最基本的开始吧[/align]
[align=left] 某天登录QQ发现如下提示[/align]



[align=left]提示说Windows无法打开此程序，原因是由一个软件限制策略阻止的，这时候你就得明白，管理员是用了策略的软件哈希规则来限制你的，先来看看他是怎么做的[/align]
[align=left] 首先，你的PC大多会在域环境下（愚公除外），因为这样对管理员来说管理会很方便，并且他会把你规划到域中的某个组，这个组针对某一类人，然后他在给这个组新建一条策略，比如用来限制你们登录QQ[/align]



[align=left]如上图，展开组策略中安全设置的软件限制策略，在其他规则中右击选择新建哈希规则，在出现的界面中选择浏览，加入QQ的运行程序QQ.exe[/align]



[align=left]浏览QQ的安装目录，加入QQ.exe[/align]



[align=left]加入后会在文件哈希的选项框中显示当前版本QQ的MD5值，下图[/align]



[align=left]有了这个MD5值，不管你改动名称也好，重装也好（和之前一样的版本），都会出现无法打开此程序的提示，因为一个程序对应一个MD5值，而且此值是唯一的，策略会核对这个唯一的MD5值做限制，对与这种初级限制的解决办法非常简单，安装另一个版本的QQ即可，这个被限接着换另个版本，要知道互联网日益普及的今天，每天都有新的QQ版本出现[/align]
[align=left] 接下来算是中等限制[/align]
某天登录QQ发现如下提示



[align=left]提示说连接超时，排除网络故障外，这就说明管理员在防火墙中做了配置，其一是在防火墙封了QQ服务器的IP地址，同样看看他是怎样做到的[/align]
这里用企业首选的ISA防火墙来做演示，打开ISA配置界面，在网络对象中选择新建计算机集



[align=left]给此集取名叫QQ_IP，然后点击添加[/align]



[align=left]出现的下拉菜单中选择计算机，下图[/align]



[align=left]出现如下向导，下图[/align]



看明白了吧，问题就在这了，要求输入IP地址，这也是费事的地方，管理员需要用抓包工具在QQ登录时进行抓包查看连接了哪些IP地址，然后逐个手工添加进来，下面我用Ethereal演示一下抓包过程，安装几乎一直下一步，完成后运行它


[align=left]如上图，选择Option,选取当前网卡[/align]



[align=left]配置好后就等Start了，不过先别着急，把QQ准备好后，在点击，等QQ登录完成后，就点击STOP, 随后出现抓包结果，下图[/align]



[align=left]这里面有一部分数据不是我们所需要的，所以选择过滤一下[/align]



在Filter中输入dns，回车即可，然后便只剩我们想要的数据包，下图



[align=left]如上图所示，QQ用来连接的IP地址出现在了列表中，要想抓的更多，你可以这样做[/align]
[align=left]先禁用你的网卡，然后登录QQ，在出现的连接超时错误提示中，选择详细信息，这时QQ登录所用的服务器名都出现在了文本框中[/align]
UDP、TCP的都显示在了列表中



[align=left]然后打开命令提示符，出入NSLOOKUP[/align]
[align=left]然后输入上面列表中的登录所连接的服务器名，看看会出现什么，下图[/align]



[align=left]如上图所示，仅一个服务器就出现了10多个IP地址，是不是觉的很爽，说到这想起来前段时间看到的一位博友也是关于ISA限制QQ登录的文章，在UDP的限制上，他采取了直接封死8000端口的办法，我觉得这样做很是不妥，谁都不能保证没有什么服务及软件不会使用UDP协议的8000端口，建议还是稳妥点好，你可以抓下选择UDP登录时的地址包[/align]
[align=left]，用限制TCP的方法来限制UDP登录，效果完全一样的。[/align]
接下来我们回到ISA的IP地址添加向导中，开始逐个输入抓到的QQ服务器IP,下图



[align=left]第一个[/align]



[align=left]第二个[/align]



[align=left]直到添加完所有的IP地址，然后开始新建拒绝访问规则，下图[/align]



[align=left]选择新建访问规则[/align]
[align=left]选择拒绝操作，下图[/align]



[align=left]选择所有出站通讯，下图[/align]



[align=left]这时出现访问规则源，选择本地主机和外部[/align]



[align=left]选择访问规则目标，下图，这里就要注意了，选择刚才新建并添加进QQ登录IP地址的计算机集QQ_IP[/align]



[align=left]选择所有用户，点击下一步完成新建，下图[/align]



[align=left]这样一来，员工登录QQ就会出现之前连接超时的错误了，那么解决办法又是什么呢，呵呵，也不难，用代理服务器登录即可，网上有很多免费的，为什么代理服务器在这里就可以登录了，这还得从基础说起，ISA刚才所作的配置是封住QQ的服务器IP，客户端在不使用代理服务器登录时，通讯是直接连往QQ服务器IP的，这时防火墙会对外出的访问做包监听，所以管理员只要在防火墙中创建规则拒绝本地内网用户访问这些IP地址，从而就达到了限制客户端登录QQ的目的。[/align]
[align=left] 而通过代理服务器就不一样了，客户端就不会在是直接连往QQ服务器的IP，它会先连接到代理服务器，然后代理服务器在负责前往QQ服务器的IP，这样防火墙监听到的包只会是你访问当前代理服务器的地址包，这样就绕过了防火墙，也就是为什么用代理就可以登录的原因了，但是这儿要注意一点，我说的代理可不是SOCKS代理，之前在博客中看到有好一部分博友在实验时用SOCKS做代理，我当时就捏了一把汗，微软的实力不会封不住你SOCKS协议，之所以不做是因为SOCKS代理非常透明，你的帐户密码全都会赤裸裸的暴露在SOCKS代理服务器上，在微软看来没有谁会傻到用它来做代理登录...[/align]
[align=left] 在来看个有难度的吧[/align]
[align=left] 某天你照往常一样登录QQ，同样出现了连接超时的提示，因为知道可以用代理上去了，你便不慌不忙的输入代理地址，可随后发现，代理也不能上了....[/align]
[align=left]如下图所示，提示连接超时，这是为什么？[/align]



[align=left]如上图所示，同样也提示连接超时，不是用代理登录的吗？怎么不行了？有人开始问了。呵呵，别急，这说明QQ通过代理服务器访问QQ服务器时未能得到响应，很可能是限制登录QQ服务器域名（也叫签名）造成的，先来看看是怎么做到的[/align]
[align=left]首先，新建一条访问规则，默认允许内网用户访问外网，起名叫ISA_Test（自定义）[/align]



[align=left]自定义名称[/align]



[align=left]选择为允许规则[/align]



[align=left]完成新建，下图[/align]



[align=left]接下来右击刚才新建的QQ_Test规则，选择配置HTTP[/align]



[align=left]在出现的界面中选择签名[/align]



[align=left]然后点击添加，下图[/align]



[align=left]接下就是关键的一步了，还记得之前抓的QQ登录包不，在来分析分析，下图[/align]



[align=left]注意观察，在要连接的IP地址上的红色深字上，发现什么没有？[/align]
[align=left]细心的朋友一定发现了，这儿出现了qzone-client.qq.com等以QQ.com结尾的服务器域名，这个就是问题的关键了，很显然即使通过代理服务器连接仍然露出了蛛丝马迹，要知道微软在ISA2004版本以后都支持了HTTP监测的技术，在其中的HTTP签名选项中，指定这些服务器域名既能达到阻止访问的目的[/align]
[align=left]我们点击添加，出现了签名选项，在其中输入之前抓到的这些服务器域名，下图[/align]



[align=left]在添加[/align]



[align=left]加入抓到的另一个服务器域名[/align]



[align=left]在点击添加，将反复测试抓到的几十个服务器域名都填加到其中，这时会有人说了，为什么用通配符*，将它加在qq.com的前面，这样不就省去很大麻烦吗？[/align]
[align=left]呵呵，可别忘了，这样一来，就连腾讯官网都访问不了了,太过分会激起民怨噢~[/align]
[align=left]继续点击添加，将所有的服务器域名都写入其中，这样通过代理服务器登录QQ的愿望彻底就破灭了[/align]



[align=left]那如此一来你要问我以后是不是就不能上QQ了，呵呵，那倒未必。[/align]
[align=left] 主角出场！从上个列子不难看出，被ISA限制的最主要原因就是访问的QQ服务器域名被嗅探出，那我们要是能在传输过程中做层加密不就不会被发现了？答案是肯定的，不过这个发现可不是我，虽然方案提出了，但达成目的的却少之又少，不是找的加密代理不能用，就是用着用着突然蹦个框来收费，再或者干脆就是用了几天居然连QQ号都不见了，为了弥补这一遗憾，我在此为大家慷慨解囊，大伙吸收完不回我,可太对不起我了~[/align]
[align=left] 先来介绍下涉及到的工具[/align]
[align=left] 1.自助冲浪[/align]
[align=left] 2.支持上传CGI、PHP、ASP、JSP的FTP站点[/align]
[align=left] 先来说说这自助冲浪吧，好家伙！超级难找！我百度、谷歌搜了几百遍居然找不着哪有下？不过功夫不负有心人，终于还是被我找到，不过我不会中饱私囊的，给大家共享了,页末有下载[/align]
[align=left] 首先我们去支持CGI、PHP、ASP、JSP上传的FTP站点，网上有很多，而且有相当一部分是免费的，注册好完成后我们来打开自助冲浪[/align]
打开后会提示你输入加密用的口令



[align=left]出现配置界面[/align]



[align=left]CGI、PHP、ASP、JSP四种任选，这里选择PHP，勾选PHP，上图[/align]



[align=left]在PHP所在目录中输入注册好的FTP站点路径，上图[/align]



[align=left]点击生成PHP，如上图所示[/align]



[align=left]输入冲浪密钥名称，下图[/align]



[align=left]提示，生成成功！下图[/align]



[align=left]这时在你软件的更目录下出现了生成后的文件，如下图所示[/align]



[align=left]然后选择通过代理访问，点击运行，下图[/align]



[align=left] [/align]



[align=left]然后我们打开QQ，HTTP代理，地址和端口用默认的127.0.0.1和8088，点击登录[/align]



[align=left]如下图，登陆成功[/align]



[align=left]至此，小Q突破重重限制来登录的操作算是完成了。兴奋不已的你是不是早已迫不及待？呵呵，那就赶紧试试吧！[/align]