您的位置:首页 > 其它

利用ISA封锁QQ

2009-08-15 14:21 274 查看
用ISA封锁QQ上网.实验环境的拓扑如下图所示:ISA的两张适配器分别为:
内网;
IP: :10.1.1.254
子网掩码:255.255.255.0
外网:
IP: 192.168.11.254
子网掩码:255.255.255.0
网关: 192.168.11.1



我们要想阻止QQ上网,首先,我们要知道QQ是怎样登录到腾迅的QQ服务器上的,只有了解了QQ的登录途径我们才能轻松的阻止。经过大量的登录实验我得出QQ登录的几个最主要的方式是通过UDP的8000、8001端口,TCP的80和443端口以及使用Web代理。这样我们就可以进行阻止实验了。
一:创建访问规则并检测网络
首先我们在ISA服务器上做一条宽松的访问规则让内网能够访问外网,我们在内网客户机Florence上登录QQ。如下图所示:
ISA管理工具中防火墙―新建―访问规则



在出现的访问规则向导中访问规则名称中写入“允许任何访问”



选择“允许”



在协议向导中点击规则的下拉键选择“所有出站通讯”



在访问规则源向导中,添加“内部”和“本地主机”



访问规则目标向导中,添加“任何地点”







完成后,点击“应用”―“确定”这时访问规则做好。



我们在Florence上登录QQ,如下图所示:





QQ成功登录,网络正常,
二:创建阻止UDP:8000和8001端口和TCP:80和443端口的拒绝访问规则
UDP:8000和8001有9个服务器分别是sz.tencent.com sz2.tencent.com sz3.tencent.com sz4.tencent.com sz5.tencent.com sz6.tencent.com sz7.tencent.com sz8.tencent.com sz9.tencent.com每个服务器的ip都很多,可通过命令nslookup查看。如下图:



TCP:80和443 有六个服务器分别是tcpconn.tencent.com tcpconn2.tencnet.com tcpconn3.tencnet.com tcpconn4.tencent.con tcpconn5.tencnet.com tcpconn6.tencent.com



1 我们在ISA上新建一个阻止UDP:8000和8001端口的协议,如下图所示:新建―协议



在出现的向导中填写“拒绝UDP”









我们选择“不使用辅助连接”





2 封闭TCP的80和443 端口是不行的,因为用户访问外网资源绝大多数是访问服务器的80和443端口,所以我们 只能阻止用户访问QQ服务器了,用户通过TCP登录其实是连接tcpconn.tencent.com、tcpconn1.tencent.com、tcpconn2.tencent.com、 tcpconn3.tencent.com、 tcpconn4.tencent.com 、 tcpconn5.tencent.com 、tcpconn6.tencent.com这几个服务器。我们在ISA上使用nslookup命令查看服务器,我们依次输入服务器域名进行查看ip并记录.下面我们来创建计算机集和域名集来阻止用户访问腾迅的服务器。如下图:网络对象―新建­----计算机集



在出现的对话框中名称处填入“QQ服务器 ”点击“添加”----“计算机”



在名称处填写“server”计算机IP地址处填写QQ服务器的IP地址



如果某个网段IP很多,我们可以全部封掉,如下图:





计算机集建好后,我们在建一个域名集来保证更彻底。如下图:网络对象----新建----域名集



在出现的对话框名称处填写“腾讯”,点击“添加”进行添加域名。直到把所有的域名全部添加后“确定”



3创建拒绝规则
a 为UDP的8000和8001创建拒绝规则,如下图所示:

















在ISA管理控制台中防火墙―新建―访问规则



访问名称填写“拒绝QQ”



操作规则为拒绝



应用于所有协议



源通讯为内部和本地主机



目的通讯为QQ服务器和腾讯



规则应用于所有用户







应用规则后,我们在登录QQ看能否成功,如下图:呵呵,登录失败了,能封掉,但是,这只是完成了一半啊,如果用户使用http代理的话就不行了。





三:我们通过签名的方式来禁止http代理,但是http代理服务器很多,如果我们还是通过拒绝访问计算机集的方式的话是不行的。如下图所示:



因此。我们采用另一种方法进行封杀―签名,如下图所示:



签名的方式很多通过下面抓包可看到QQ上网是通过CONNECT的方式去连接QQ服务器的,所以我们可以通过禁止CONNECT的方式来达到我们想要的目的



在配置http策略对话框中,方法标签中选择“阻止指定的方法”并添加“CONNECT”





就阻止这个还是不行的QQ还通过qq.com 连接到腾迅服务器上,如下图所示:



因此,我们要把革命进行到底,继续封锁,通过签名来再次杀。







我们再来登录QQ看看是否成功封杀



成功封杀!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: