|
您现在的位置是:
IT外包 ->技术支持 ->网络安全 ->防火墙 ->
|
|
|
|
设置防火墙禁止QQ、MSN 和联众游戏
|
作者:
不详
| 发布时间:
2011-04-18 14:37
| 信息类别:
防火墙
| 访问人次:
次 |
|
|
|
|
|
一、阻断QQ的连接
新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。QQ在连
接时首先向以下七个服务器的8000端口发送UDP包。
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
在阻断8000端口的连接后,发现QQ还会通过UDP的8001 和TCP 的8000、
8001端口进行连接。鉴于这些端口目前只有QQ使用,所以可以基于端口来做阻
断规则。
在用防火墙阻断以上端口的数据包后,发现QQ还会通过TCP 的80 和443
端口进行连接。如果针对这两个端口作阻断规则,会影响用户的正常上网,所以
只能对服务器的IP地址来做规则。通过试验发现了以下可通过80和443端口建
立连接的QQ服务器:
218.17.217.106
219.133.40.95
219.133.40.97
219.133.40.157
219.133.40.177
219.133.40.73
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
在针对这些IP作阻断规则后,QQ已基本无法登录。
在试验中还发现,QQ安装目录下的Config.db 文件,其中记录了QQ服务器
的地址,与我们上面找到的完全符合。因此,在用防火墙阻止用户使用QQ上网
时,除了阻止TCP和UDP的8000、8001端口外,还需阻断与QQ服务器的连接。
下面列举了在试验中找到的和在网上查到的QQ服务器IP:
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40.21/73/89/90/92/95/97/157/177/189(这个网段的服务器
地址较多,可以考虑阻断整个网段)
虽然以上方法可以起到阻断QQ连接的作用,但如果腾讯增加新的QQ服务器,
QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER等,支持
Anonymous的Socks5代理还是可能绕过去,登录使用QQ。
二、阻断MSN的连接
MSN的连接在除使用常规的1863端口外,还会使用7001和80端口,因为这
两个端口涉及到其他网络服务的应用,所以也只能采用阻断QQ连接的方法,通
过阻断与MSN服务器的连接,来达到用户要求。以下列举了在试验中找到的服务
器IP:
64.4.12.200/201
65.54.194.117
207.46.68.23
207.46.104.20
207.46.107.14/125
207.46.110.27/28/254
经查询,这些服务器IP都是北美地区的。同样,如微软添加新的MSN服务
器或者用户使用代理,还是可以登录MSN。
三、阻断联众的连接
阻断联众的连接相对来说就比较容易啦。在客户端连接服务器时,首先会与
服务器的2000端口建立连接(61.55.138.219:2000)。在连接建立后,会用到
服务器的1007、2001、2002、3015端口。在试验中,只阻断了2000端口的数据
包,客户端就已经无法连接服务器了。
|
上海市 
+0086-21-58878998 
+0086-21-58878998
HappyFreeAngel@hotmail.com