歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

使用ISA Server 2004禁止P2P軟件

來源:www.hack58.com 作者:佚名 時間:2006-05-08 TAG: 我要投稿
前言:首先謝謝Greg Mulholland文章“Preventing P2P and Instant Messaging programs from hijacking your network with ISA 2004 Firewalls”的提醒,我才能深入考慮到使用HTTP的過濾;在Greg原文中提供了Windows Messenger的封鎖方法,我加入了QQ的封鎖方法。

  現在P2P軟件非常的流行,而且提供了多樣化的登錄方式,這給我們做網管的想封鎖它的時候,帶來很多不方便。下面我以國內常用的QQ和MSN來給大家介紹一下,利用ISA Server 2004的增強的HTTP協議檢查功能,來完全的禁止它們。

  既然要封鎖它們,首先要對QQ和MSN使用的協議來進行分析,知己知彼,才能在封鎖與反封鎖的較量中獲勝。

  首先介紹MSN。MSN使用TCP 1863端口來登錄的。封鎖這個端口就可以很好的禁止MSN登錄,但是在使用HTTP代理的情況下,MSN可以很輕松的突破1863端口的限制。

  再說說QQ。QQ的登錄過程是這樣的,在默認情況下,QQ先向服務器群的8000端口發送UDP數據包,從服務器群的回復中選擇一個最快的作為登錄服務器;如果沒有服務器回復,則使用TCP 80/443端口來進行連接。因為他可以使用HTTP直接連接,而一般是不能封鎖HTTP協議的,所以,封鎖QQ的最好辦法是封鎖它的服務器IP。但是如果使用HTTP代理登錄,那么還是可以上QQ的。

  QQ的服務器的地址如下, 最后更新于2004年6月1日。不過tencent隨時可能增加服務器,但是應對政策很簡單,如果能上QQ,你在QQ的系統屬性里面看看當前登錄服務器的IP,然后添加進來就是了。

  QQ服務器分為三類:

  1、UDP 8000端口類18個:速度最快,服務器最多。

  QQ上線會向這些服務器發送UDP數據包,選擇回復速度最快的一個作為連接服務器。

  61.144.238.145

  61.144.238.146

  61.144.238.156

  61.144.238.150

  202.104.129.251

  202.104.129.254

  202.104.129.252

  202.104.129.253

  61.141.194.203

  202.96.170.166

  218.18.95.221

  219.133.45.15

  61.141.194.200

  61.141.194.224

  202.96.170.164

  202.96.170.163

  219.133.40.216

  218.18.95.209

  2、TCP HTTP連接服務器5個,使用HTTP 80 和443端口連接

  這4個服務器名字均以tcpconn開頭,域后綴是tencent.com,域名與IP對應為

  tcpconn tcpconn3 218.17.209.23

  tcpconn2 tcpconn4 218.18.95.153

  61.141.194.227

  218.18.95.171 218.18.95.221

  3、會員VIP登陸服務器,使用HTTP 443安全連接

  服務器IP 218.17.209.42

  在過去的時候,對于使用HTTP代理來上QQ和MSN的情況,沒有什么辦法。不過現在不一樣了,ISA Server 2004增強的HTTP協議狀態檢查,可以很完美的封鎖使用HTTP代理上QQ和MSN的情況。

  以下首先給大家介紹一下封鎖利用HTTP代理上Windows Messanger的情況,譯自Greg Mulholland的“Preventing P2P and Instant Messaging programs from hijacking your network with ISA 2004 Firewalls”,不過原文比較復雜,我簡化了一下。 Greg Mulholland通過設置防火墻策略,只允許這個客戶只能使用HTTP協議,所以,Windows Messenger不能登錄。單擊圖片看大圖


  但是這個客戶使用Windows Messenger的HTTP代理,



  于是就可以登錄了。


Greg Mulholland通過在HTTP協議中配置簽名,


  (注意,下圖是重點)Windows Messenger連接HTTP代理服務的時候,發送的數據包的請求頭中的User-Agent字段,關鍵字為MSMSGS,


  通過勾選這個定義項,ISA Server 2004會阻止具有這個特性的HTTP數據包。




  于是,這個客戶不能登錄了。


  QQ通過HTTP代理服務連接時,發送的數據包同樣具有關鍵字特性,我通過sniffer分析了一下,注意看下圖,這是我監聽到的數據包的一部分,這個地方,顯示了QQ通過HTTP代理服務連接到的QQ服務器URL。




  同樣的,我做了一個完整的測試:

  首先我在ISA Server 2004中設置防火墻策略,只允許192.168.0.41訪問外部的HTTP和HTTPS服務。



  這時QQ不能通過UDP方式來連接了,于是我設置QQ的HTTP代理,


  QQ通過ISA Server 2004的HTTP代理服務成功登錄。


  現在我來配置HTTP策略, 

 

  在“Signatures”頁,我添加了一個名為QQ的簽名項,指定在Request URL里面搜索“tencent.com”,如果匹配則ISA Server 2004會丟棄該數據包。


  此時,QQ已經不能通過代理服務器登錄了。

 

  要注意的是,只有QQ通過HTTP代理服務器登錄的時候,才會在數據包內包含“Request URL”,如果是QQ直接通過HTTP協議連接服務器,那么是不會包含這個字段的,所以,這個HTTP簽名項只能針對QQ使用HTTP代理登錄時使用。不過使用這個HTTP過濾,結合封鎖QQ的服務器IP,可以很完美的封鎖掉QQ。

  以下鏈接是從微軟網站上找到的,常用的網絡應用程序的簽名項,不過,新版本的軟件可能會修改這個簽名項。

  

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐