我是这样禁止QQ的！

2022-07-15

防火墙――SERVER ISA 2004

网络检测软件－－安企神系统封堵QQ较简单，点点鼠标就可以完全封堵

操作系统――WIN2003

优点――简单易用

现在P2P 软件非常的流行，而且提供了多样化的登录方式，在其中QQ 是一个很典型的例子，本身就支持UDP、HTTP和HTTPS这三种登录方式，而且可以使用HTTP 代理，这相当于只要你允许了HTTP 协议，那么QQ 就可以登录。过去的基于包过滤的防火墙（无论硬件还是软件防火墙）都是没有办法封锁QQ 的，但是利用ISA Server 2004 的深层 HTTP 检查机制，你会发现，原来封锁QQ 是如此的简单。 QQ 的登录过程是这样的，在默认情况下，QQ 先向服务器群的8000 端口发送UDP 数据包，从服务器群的回复中选择一个较快的作为登录服务器；如果没有服务器回复UDP 数据包，则使用TCP 80/443 端口来进行连接。因为他可以使用HTTP 直接连接，而一般是不能封锁HTTP 协议的，所以，封锁QQ 的较好办法是封锁它的服务器IP，但是QQ 还可以使用HTTP 代理登录，所以，还得在ISA Server 2004的HTTP检查机制中设置禁止 QQ的HTTP连接。 QQ 的服务器的地址如下，较后更新于2004 年6 月1 日。不过tencent 随时可能增加服务器，而且不同版本的QQ 使用的服务器也不一样。但是这个服务器地址的获取很简单，只要你能上QQ，你可以在QQ 的网络属性里面看看当前登录服务器的IP，然后添加进来就是了。 QQ 服务器分为三类： 1、UDP 8000 端口类18 个：速度较快，服务器较多； QQ 上线会向这些服务器发送UDP 数据包，选择回复速度较快的一个作为连接服务器； 61.144.238.145 61.144.238.146 61.144.238.156 61.144.238.150 202.104.129.251 202.104.129.254 202.104.129.252 202.104.129.253 61.141.194.203 202.96.170.166 218.18.95.221 219.133.45.15 61.141.194.200 61.141.194.224 202.96.170.164 202.96.170.163 219.133.40.216 218.18.95.209 2、TCP HTTP 连接服务器5 个，使用HTTP 80 和443 端口连接； 218.17.209.23 218.18.95.153

61.141.194.227 218.18.95.171 218.18.95.221 3、会员VIP登陆服务器，使用HTTP 443安全连接； 218.17.209.42 QQ 通过HTTP 代理服务连接时，发送的数据包具有关键字特性。注意看下图，这是我通过sniffer 监听到的数据包的一部分，这个地方，显示了QQ 通过HTTP代理服务连接到的QQ 服务器URL。 Ok，let’s go！封锁QQ 服务器IP的方法可以参见“八、使用访问规则向导来禁止某些内部用户访问某些网站”，只是在定义目的网络的时候也使用计算机集。如下图，我已经做好了禁止内部客户访问QQ服务器群的访问策略；这时QQ 已经不能通过UDP方式来连接了，于是我设置QQ 的HTTP 代理， QQ 通过ISA Server 2004的HTTP 代理服务成功登录；

现在我们来配置HTTP 策略，利用ISA Server 2004 的HTTP 深层检查机制，禁止 QQ 使用HTTP 代理。在允许QQ使用HTTP代理的策略上点击右键（在此例中是无限制的Internet访问），选择“配置HTTP”；在弹出的“为规则配置HTTP策略”对话框中，点击“签名”页，然后点击“添加”；在弹出的“签名”对话框中，输入名称为“QQ”，指定签名搜索条件为在“请求URL” 中搜索“tencent.com”，如果找到则阻止这个连接。

较后在防火墙策略页点击“应用”以保存修改和更新防火墙策略。此时，QQ 已经不能通过代理服务器登录了。需要注意的是，只有QQ 通过HTTP代理服务器登录的时候，才会在HTTP连接请求中包含“请求URL”，如果是QQ 直接通过HTTP协议连接服务器，那么是不会包含这个字段的。所以，这个HTTP深层过滤机制只能针对QQ 使用HTTP代理登录时使用，因此它必须结合封锁QQ 服务器群一起使用。

　　对于上面所提到的QQ的服务器的地址，我们怎么知道呢？这里我们便可以借助科来网络分析系统来查找，从而得出有效地地址。如果出了新的代理，如HTTP，SSL代理等，ISA原来的策略中没有禁止时，也通过科来网络分析系统进行查找，再在ISA中禁止，即可比较好的达到禁止QQ的目的。