前言:首先谢谢Greg Mulholland文章“Preventing P2P and Instant Messaging programs from hijacking your network with ISA 2004 Firewalls”的提醒,我才能深入考虑到使用HTTP的过滤;在Greg原文中提供了Windows Messenger的封锁方法,我加入了QQ的封锁方法。
现在P2P软件非常的流行,而且提供了多样化的登录方式,这给我们做网管的想封锁它的时候,带来很多不方便。下面我以国内常用的QQ和MSN来给大家介绍一下,利用ISA Server 2004的增强的HTTP协议检查功能,来完全的禁止它们。
既然要封锁它们,首先要对QQ和MSN使用的协议来进行分析,知己知彼,才能在封锁与反封锁的较量中获胜。
首先介绍MSN。MSN使用TCP 1863端口来登录的。封锁这个端口就可以很好的禁止MSN登录,但是在使用HTTP代理的情况下,MSN可以很轻松的突破1863端口的限制。
再说说QQ。QQ的登录过程是这样的,在默认情况下,QQ先向服务器群的8000端口发送UDP数据包,从服务器群的回复中选择一个较快的作为登录服务器;如果没有服务器回复,则使用TCP 80/443端口来进行连接。因为他可以使用HTTP直接连接,而一般是不能封锁HTTP协议的,所以,封锁QQ的较好办法是封锁它的服务器IP。但是如果使用HTTP代理登录,那么还是可以上QQ的。
QQ的服务器的地址如下, 较后更新于2004年6月1日。不过tencent随时可能增加服务器,但是应对政策很简单,如果能上QQ,你在QQ的系统属性里面看看当前登录服务器的IP,然后添加进来就是了。
QQ服务器分为三类:
1、UDP 8000端口类18个:速度较快,服务器较多。
QQ上线会向这些服务器发送UDP数据包,选择回复速度较快的一个作为连接服务器。
61.144.238.145
61.144.238.146
61.144.238.156
61.144.238.150
202.104.129.251
202.104.129.254
202.104.129.252
202.104.129.253
61.141.194.203
202.96.170.166
218.18.95.221
219.133.45.15
61.141.194.200
61.141.194.224
202.96.170.164
202.96.170.163
219.133.40.216
218.18.95.209
2、TCP HTTP连接服务器5个,使用HTTP 80 和443端口连接
这4个服务器名字均以tcpconn开头,域后缀是tencent.com,域名与IP对应为
tcpconn tcpconn3 218.17.209.23
tcpconn2 tcpconn4 218.18.95.153
61.141.194.227
218.18.95.171 218.18.95.221
3、会员VIP登陆服务器,使用HTTP 443安全连接
服务器IP 218.17.209.42
在过去的时候,对于使用HTTP代理来上QQ和MSN的情况,没有什么办法。不过现在不一样了,ISA Server 2004增强的HTTP协议状态检查,可以很完美的封锁使用HTTP代理上QQ和MSN的情况。
以下首先给大家介绍一下封锁利用HTTP代理上Windows Messanger的情况,译自Greg Mulholland的“Preventing P2P and Instant Messaging programs from hijacking your network with ISA 2004 Firewalls”,不过原文比较复杂,我简化了一下。 Greg Mulholland通过设置防火墙策略,只允许这个客户只能使用HTTP协议,所以,Windows Messenger不能登录。 (单击图片看大图)
但是这个客户使用Windows Messenger的HTTP代理,
于是就可以登录了。
Greg Mulholland通过在HTTP协议中配置签名, (注意,下图是重点)Windows Messenger连接HTTP代理服务的时候,发送的数据包的请求头中的User-Agent字段,关键字为MSMSGS, 通过勾选这个定义项,ISA Server 2004会阻止具有这个特性的HTTP数据包。
于是,这个客户不能登录了。
QQ通过HTTP代理服务连接时,发送的数据包同样具有关键字特性,我通过sniffer分析了一下,注意看下图,这是我监听到的数据包的一部分,这个地方,显示了QQ通过HTTP代理服务连接到的QQ服务器URL。
同样的,我做了一个完整的测试:
首先我在ISA Server 2004中设置防火墙策略,只允许192.168.0.41访问外部的HTTP和HTTPS服务。
这时QQ不能通过UDP方式来连接了,于是我设置QQ的HTTP代理, QQ通过ISA Server 2004的HTTP代理服务成功登录。
现在我来配置HTTP策略,
在“Signatures”页,我添加了一个名为QQ的签名项,指定在Request URL里面搜索“tencent.com”,如果匹配则ISA Server 2004会丢弃该数据包。
此时,QQ已经不能通过代理服务器登录了。
要注意的是,只有QQ通过HTTP代理服务器登录的时候,才会在数据包内包含“Request URL”,如果是QQ直接通过HTTP协议连接服务器,那么是不会包含这个字段的,所以,这个HTTP签名项只能针对QQ使用HTTP代理登录时使用。不过使用这个HTTP过滤,结合封锁QQ的服务器IP,可以很完美的封锁掉QQ。
以下链接是从微软网站上找到的,常用的网络应用程序的签名项,不过,新版本的软件可能会修改这个签名项。
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件:三峡大学数据安全的坚实后盾与合作伙伴
学校介绍三峡大学是经国家教育部批准,由原武汉水利电力大学(宜昌)和原湖北三峡学院于2000年5月25日合并组建。2018年,学校被省人民政府列为“国内一流大学建设高校”,水利工程、土木工程、电气工程等3个学科被列为“国内一流学科建设学科”;目前,三峡大学已发展成为水利电力特色与优势比较明显、综合办学实力较强、享有较高社...
零部件企业数据保卫战:安企神软件如何筑起防泄密铜墙铁壁
瑞安市特迩翡汽车配件有限公司企业背景瑞安市戴尔菲汽车零部件有限公司一直致力于高共轨电喷(EFI)发动机和SCR排气系统的研发。通过了16949质量管理体系和CE认证,公司具备自主开发汽车电子系统和核心软件的技术能力。公司力争成为以市场为导向、以技术为支撑、以质量为先、以人才为本的知名创新型企业。产品包括:氮氧化物传感器...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...