QQ現用TCP:80,如何封鎖?

之前QQ一直用的是SERVER是UDP:8000,今天在FIREWALL下,發現是透過TCP:80取得login.這就意味著,沒有辦法通過port(因要開放80port給client)去控管,只有去關QQ SERVER的IP;不知各位又是怎樣做?

第二场雪 回复于：2004-05-20 21:42:47

封掉腾讯的ip~

platinum 回复于：2004-05-20 22:38:32

腾讯的什么IP？ 腾讯有很多IP，WEB是一个，SERVER是很多IP 另外，如果客户端用80端口的代理服务器上QQ，也一样没办法了 这个问题讨论过，楼主可以试试封掉客户端的4000-4010端口，协议包括TCP和UDP

sharkszpt 回复于：2004-05-20 22:39:55

不难，公司曾经给过这样的任务给我做： 先把udp8000 drop或reject掉； 再自己单独一台电脑上qq，记录下 -p tcp --dport 80 的 d ip ，发现一个关闭一个，直到qq登陆不上去为止，我封的时候好像只发现2个tcp代理的ip； 注：qq登陆不止两种方式登陆，好像会员还可以用 http 443（大概，具体不记得） 祝你好运！

platinum 回复于：2004-05-20 23:05:11

我做了一个试验 这是我用iptraf工具监视到的 1、普通QQ上网 [quote:67e0c05a0e] UDP (72 bytes) from 192.168.0.2:4000 to 202.104.129.254:8000 on eth1 [/quote:67e0c05a0e] 2、使用朋友的SOCKS5代理 [quote:67e0c05a0e] 192.168.0.2:1198   eth1 61.xxx.xx.xx:8039   ppp0 UDP (51 bytes) from 192.168.0.2:1197 to 61.xx.xx.xx:43908 on eth1 UDP (51 bytes) from 61.149.165.246:1197 to 61.xx.xx.xx:43908 on ppp0 [/quote:67e0c05a0e] 3、使用朋友的HTTP代理 [quote:67e0c05a0e] 192.168.0.2:1179   eth1 61.xxx.xxx.xxx:80   ppp0 [/quote:67e0c05a0e] 可见，如果想彻底拦截QQ，不太容易

JohnBull 回复于：2004-05-21 00:31:22

动用NIDS手段即可.

silverwolf 回复于：2004-05-21 08:53:19

没有多大的用处，比如用通通通加几个代理都可以绕过去了。 这种东西要禁不是考技术而是靠规定。

text2002 回复于：2004-05-21 09:00:36

怪不得我上不了QQ

panwj 回复于：2004-05-21 09:20:36

将IP找出来封了,下面的IP几乎包括了QQ的全部,当然可能还有一些漏掉了,大家一起找啦~ iptables -A FORWARD -s 0/0 -d 202.96.170.164 -j DROP iptables -A FORWARD -s 0/0 -d 202.96.170.165 -j DROP iptables -A FORWARD -s 0/0 -d 202.96.170.175 -j DROP iptables -A FORWARD -s 0/0 -d 202.96.170.188 -j DROP iptables -A FORWARD -s 0/0 -d 61.135.131.240 -j DROP iptables -A FORWARD -s 0/0 -d 61.141.194.203 -j DROP iptables -A FORWARD -s 0/0 -d 61.141.194.231 -j DROP iptables -A FORWARD -s 0/0 -d 61.141.194.224 -j DROP iptables -A FORWARD -s 0/0 -d 218.18.95.165 -j DROP iptables -A FORWARD -s 0/0 -d 219.133.40.15 -j DROP iptables -A FORWARD -s 0/0 -d 61.144.238.137 -j DROP iptables -A FORWARD -s 0/0 -d 61.144.238.145 -j DROP iptables -A FORWARD -s 0/0 -d 61.144.238.146 -j DROP iptables -A FORWARD -s 0/0 -d 61.144.238.150 -j DROP iptables -A FORWARD -s 0/0 -d 61.144.238.151 -j DROP iptables -A FORWARD -s 0/0 -d 202.104.129.254 -j DROP iptables -A FORWARD -s 0/0 -d 202.104.129.252 -j DROP iptables -A FORWARD -s 0/0 -d 202.104.129.253 -j DROP iptables -A FORWARD -s 0/0 -d 202.104.129.251 -j DROP iptables -A FORWARD -s 0/0 -d 202.104.129.242 -j DROP iptables -A FORWARD -s 0/0 -d 202.104.129.246 -j DROP iptables -A FORWARD -s 0/0 -d 202.103.190.61 -j DROP iptables -A FORWARD -s 0/0 -d 202.103.149.40 -j DROP iptables -A FORWARD -s 0/0 -d 218.18.95.165 -j DROP iptables -A FORWARD -s 0/0 -d 218.18.95.140 -j DROP iptables -A FORWARD -s 0/0 -d 218.18.95.153 -j DROP iptables -A FORWARD -s 0/0 -d 218.17.209.23 -j DROP iptables -A FORWARD -s 0/0 -d 218.17.217.103 -j DROP iptables -A FORWARD -s 0/0 -d 218.17.209.42 -j DROP

platinum 回复于：2004-05-21 09:23:07

panwj兄，用代理上的怎么办呢？

panwj 回复于：2004-05-21 09:44:46

<<黑客防线>>有介绍封QQ的, 上面只屏蔽登陆QQ服务器,用户一但用代理上登陆服务器后.就用UDP通讯了.不在经过服务器了, 当然还要封UDP端口了.

POWERS 回复于：2004-05-21 09:45:13

对呀，怎么才能查出哪台机器用代理上QQ呢，还有代理的地址怎么查出来，用什么命令可以呢

grub007 回复于：2004-05-21 09:47:03

如果使用SSH的端口转发功能，好象就没办法封了。

Markerful 回复于：2004-05-21 10:02:03

谁上就炒鱿鱼

panwj 回复于：2004-05-21 10:13:45

不管用不用代理.内网用户都要通过网关走吧,封网关的UDP, 即使他用代理登上了QQ服务器(这也要由网关出去的吧),但QQ之间的通讯是用UDP进行的啊! 这样的话.他可以上QQ\,但无法聊天.我们的目的也算达到了! 不管怎样.以上方法对于高手是没用的.但对大多数人来说.应该可以了

wind521 回复于：2004-05-21 11:40:53

上个QQ多不容易呀！ ：） 封源端口

linuxpiao 回复于：2004-05-21 13:42:38

多謝各位的討論,不過我剛又測過了,client(動態PORT)=>QQ SERVER TCP:80就像我們開網頁一樣,我看這下還真是沒辦法了,只有找到一個QQ SERVER IP關一個了.今天辦公室的人發現這個密秘都憋了很長時間沒玩,都登上去了,就像一個网吧了.

platinum 回复于：2004-05-21 13:44:53

呵呵，你们公司的人是不是也有上CU的呀？

linuxpiao 回复于：2004-05-21 13:52:31

[quote:22cf7b8431="platinum"]呵呵，你们公司的人是不是也有上CU的呀？[/quote:22cf7b8431] 是呀,CU辦的不錯,學習交流很好,又有水準,開始只有我一個人上,現推荐其他人上,他們也很喜歡的.

platinum 回复于：2004-05-21 13:55:29

呵呵，早知道我就不把那三个对比贴上来了，害的你现在都没办法制止 :mrgreen:

linuxpiao 回复于：2004-05-21 14:20:46

[quote:6db5867671="platinum"]呵呵，早知道我就不把那三个对比贴上来了，害的你现在都没办法制止 :mrgreen:[/quote:6db5867671] 沒關系?不過我覺上QQ也沒什麼大不了的.有些同事還用來與客戶交流呢,現反正也不那麼考慮機密了.

POWERS 回复于：2004-05-21 14:23:32

大家都是斗智斗勇

第二场雪 回复于：2004-05-21 19:29:20

嘿嘿，最近看了黑客的一些东西，发现一个真理~~ 没有可以拦住人的东西，如果你的那些同事坚持的话 呵呵，你放弃吧！

jazzgirl 回复于：2004-05-21 21:14:54

炒鱿鱼是个好办法

fushuyong 回复于：2004-05-22 12:50:14

如果，你确实痛心疾首，愿意不惜一切代价来屏蔽QQ的话，可以考虑在网关处采用内容过滤技术，通过snort 或者是iptables的-m string技术。先找出QQ所使用的数据包的封装特征，然后，过滤掉含有这些特征字符的数据包。

浪色海洋 回复于：2004-05-22 13:05:00

我见过一个用iptables的高手，他是用squid+iptables来完成封闭QQ的，包括封闭QQ的所有代理，以及个人代理。不过具体的原理我也不懂，就是知道可以那样，原理就是反代理，把传输包作个RETURN，这样只要是出去找代理的就不能到达。 大家来研究一下吧

linuxpiao 回复于：2004-05-22 16:40:12

[quote:b261c40409="浪色海洋"]我见过一个用iptables的高手，他是用squid+iptables来完成封闭QQ的，包括封闭QQ的所有代理，以及个人代理。不过具体的原理我也不懂，就是知道可以那样，原理就是反代理，把传输包作个RETURN，这样只要是出去找代理的..........[/quote:b261c40409] 這個技術應發揚一下,哪位知道大俠能不能舍身一下發表出來.

platinum 回复于：2004-05-22 19:07:44

[quote:c8af8fdd48="浪色海洋"]我见过一个用iptables的高手，他是用squid+iptables来完成封闭QQ的，包括封闭QQ的所有代理，以及个人代理。不过具体的原理我也不懂，就是知道可以那样，原理就是反代理，把传输包作个RETURN，这样只要是出去找代理的..........[/quote:c8af8fdd48] 但是我认为通过HTTP（TCP-80）做代理的，应该没戏……

david5337 回复于：2004-05-22 19:40:49

哎呀呀 封掉干吗呢！ 不用这样子嘛。会遭大家记恨得！ 我是不支持的！

总版主 回复于：2004-05-22 22:10:49

道高一尺，魔高一丈，从技术方面是封不住的，除非断网！ 它要是用外加边的加密代理，不关你用什么方法都封不了了的.还有像那个小日本写的SoftEther之类，封不住的，。

54cszzl 回复于：2004-05-23 15:37:55

[quote:6fda870f18="fushuyong"]如果，你确实痛心疾首，愿意不惜一切代价来屏蔽QQ的话，可以考虑在网关处采用内容过滤技术，通过snort 或者是iptables的-m string技术。先找出QQ所使用的数据包的封装特征，然后，过滤掉含有这些特征字符的数据包。[/quote:6fda870f18] 这招好想可行

Rioga 回复于：2004-05-23 17:26:42

其实通过squid+iptables是可以的，我在公司就是这样做的。 先让iptables把所有的TCP、UDP端口block。然后配合iptables开squid的透明代理让大家上网。在squid也做相应的配置把QQ的服务器IP屏蔽就可以了。 由于iptables把http的通讯通过端口转发给squid处理，所以代理服务器也被屏蔽掉了，这也适用于通过外部代理上网的情况。只要在squid做好配置，用代理也上不了某些网站，3721就被我用squid屏蔽了，公司里的人用代理也不能上。

platinum 回复于：2004-05-23 18:25:40

如果用80端口做代理，就不好弄了 网络上的WEB太多了，而且基本上都没屏蔽掉代理功能 如果封，怎么封的过来？ 如果全封了，还怎么访问网页？ 我测试了，网关LINUX如果设置了SQUID，客户端就可以使用80的TCP代理 如果SQUID关掉，就提示403或400错误了 具体原因，不知道 总之证明，SQUID不但不能封锁QQ，反倒给QQ上网开了后门

smartlam 回复于：2004-05-24 10:48:59

装个防水墙之类的软件，直接杀掉qq的进程！

fushuyong 回复于：2004-05-24 12:14:46

还是借助于内容过滤技术吧。

benjiam 回复于：2004-05-24 14:45:43

我看 是不是可以考虑封掉qq  的dns 服务器  因为qq 需要dns 来确定 服务器的地址 只要关掉qq dns 的地址 他是不是就上不去了？ 我这里不限制qq 所以没机会练手！ :(

laosechong 回复于：2004-05-24 15:56:42

不是吧，又封的必要吗

Rioga 回复于：2004-05-24 16:33:44

[quote:88b88d5a5b="platinum"]如果用80端口做代理，就不好弄了 网络上的WEB太多了，而且基本上都没屏蔽掉代理功能 如果封，怎么封的过来？ 如果全封了，还怎么访问网页？ 我测试了，网关LINUX如果设置了SQUID，客户端就可以使用80的TCP代理..........[/quote:88b88d5a5b] 你在SQUID里要配置block qq的服务器IP，就算是80端口的代理也是先过SQUID，那时候就已经xxx了。

lnx 回复于：2004-05-24 16:44:29

[quote:54908eb586="Rioga"] 你在SQUID里要配置block qq的服务器IP，就算是80端口的代理也是先过SQUID，那时候就已经xxx了。[/quote:54908eb586] 不错，这是可行的、 但需要找出所有QQ的IP，谁有较完全的吗？我只是部分，前面的兄弟都已贴出来了 :em02:

platinum 回复于：2004-05-24 17:09:49

多方面综合限制，才“有可能”完全封杀QQ，而且不排除仍然有可能能用QQ 另外，我建议安排一个“卧底”，如果发现谁能上QQ了，马上去学习、去探讨、去请教…… 知己知彼，方能百战不殆，大家说呢？ :mrgreen:

Rioga 回复于：2004-05-24 17:15:54

[quote:6792734260="lnx"] 不错，这是可行的、 但需要找出所有QQ的IP，谁有较完全的吗？我只是部分，前面的兄弟都已贴出来了 :em02:[/quote:6792734260] 你在防火墙上看下就能找到，我记得好象是2、3 个IP。但我配置的时候为稳妥起见，是把相应的整个C类都干掉了 :D 如果你做的细心点用squid是可以只把qq的广告干掉，但还可以上qq

shiqiaoliang 回复于：2004-05-24 17:32:38

在IPTABEL中，有个测试的规则，好象叫 -math STRING  可以对包检查，发现含有tencent的包（QQ登陆的时候，包里有这个信息）。全部DROP掉。就可以了

yoursmile 回复于：2004-05-24 17:58:24

[quote:acac7a5254="shiqiaoliang"]在IPTABEL中，有个测试的规则，好象叫 -math STRING  可以对包检查，发现含有tencent的包（QQ登陆的时候，包里有这个信息）。全部DROP掉。就可以了[/quote:acac7a5254] 有时间我来试试 每次封QQ都被同事暗骂。。。。。  :roll:

冰川火云 回复于：2004-05-24 20:27:42

学习，老板想封，但是不懂怎么封。 不过还是不要让他知道的好。

原文转自：http://www.ltesting.net