QQ是如此的成功,想必在企业做网络管理员的朋友们一定有为此烦恼过,我也只是其中一小位;
  众所周知的,QQ的服务器以及所走的端口都非常的多。所以禁止起来是非常的麻烦。但是基于一些特殊的原因有必须禁止不可,那这里介绍一些比较容易禁止的方式。供用户参考使用。我个人是用NETCORE(磊科路由器)的2505+NR和2605;其他路由道理一样.您就会发现禁止QQ其实也不会是让你头痛的事了。
一、其实QQ在登陆的时候主要使用的是TCP/UDP的8000端口。因此我们先禁止所有内网机器对远程主机的8000端口的访问。在NETCORE的高端路由器里面,我们可以在互联网访问控制中添加规则,首先选择对所有内部主机都有效(次步骤可以着情处理,比如你可以选择对一部分主机有效、或者选择对某台主机有效等等)。在选择对所有内部主机都有效,再指定对下列应用有效,指定TCP/UDP协议,端口指定为8000,选择禁止Internet访问。这样对所有的使用8000端口登陆的服务器就无法登陆了。
二、另有些服务器使用的是TCP协议的80以及443端口登陆的。对这些服务器都会使用域名解吸其IP地址出来。统计出的域名包括:t、t、t、t、tencent、tencent.。然后对这些服务器的所有有应用多有效或者指定对TCP/UDP的80以及443端口有效,禁止Internet访问。
三、此时还并不能完全控制QQ,但是大部分的然后我们使用QQ软件登陆,看看他还会从那些服务器登陆,
从什么端口登陆。在单独对这些服务器进行限制。
四、如此,整个QQ的禁止的过程就完成了。
五、下列出MSN以及QQ常用服务器IP地址。
msn服务器地址
65.54.225.254  65.54.226.254  65.54.228.244  65.54.228.253  65.54.229.248
65.54.229.253  65.54.225.241  65.54.226.247
qq服务器地址
219.133.40.15   
218.17.209.23   
202.104.129.252 
218.18.95.153
202.104.129.251 
61.144.238.145 
202.104.129.253 
61.141.194.203
202.104.129.254 
218.18.95.165 
61.144.238.146 
219.133.40.91
211.248.99.252 
218.17.217.66 
61.144.238.156 
219.133.40.89
219.133.40.115 
219.133.40.90 
219.133.40.113 
219.133.40.114
210.22.12.126 
61.141.194.223 
61.172.249.135 
202.104.128.233
202.96.170.164 
218.17.217.103 
218.66.59.233 
61.141.194.207
202.96.170.163 
202.96.170.166 
202.96.140.18 
202.96.140.119
202.96.140.8   
202.96.140.12 
218.18.95.221 
219.133.45.15 
61.141.194.224 
218.17.209.42 
61.141.194.227 
218.18.95.171
219.133.49.6 
219.133.49.73 
219.133.48.56 
219.133.40.215
219.133.38.132 
里面包含具体那些协议?
219.133.38.30 
219.133.40.177 
219.133.38.232
219.133.38.29 
219.133.48.88 
219.133.38.31 
219.133.6
0.34
219.133.49.211
(服务器还会增加,希望朋友们自己去发现,我路由目前禁止了那么多IP,另也要对部分域名过滤)
 sz.tencent:8000
t/
t:443/
QQ服务器分为三类:
1、UDP 8000端口类13个:速度最快,服务器最多。
QQ上线会向这11个服务器发送UDP数据包,选择回复速度最快的一个作为连接服务器。
这6个服务器名字均以SZ开头,域后缀是tencent,域名与IP对应为
sz sz2 : 61.144.238.145  61.144.238.146  61.144.238.156
sz3 sz4 sz6 sz7 : 202.104.129.251  202.104.129.254  202.104.129.252
202.104.129.253
sz5 : 61.141.194.203  202.96.170.166  218.18.95.221  219.133.45.15
61.141.194.224  202.96.170.164
2、TCP HTTP连接服务器4个,使用HTTP 80 和443端口连接
这4个服务器名字均以tcpconn开头,域后缀是tencent,域名与IP对应为
tcpconn tcpconn3  218.17.209.23
tcpconn2 tcpconn4  218.18.95.153  61.141.194.227  218.18.95.171
3、会员VIP登陆服务器,使用HTTP 443安全连接
服务器IP 218.17.209.42
知道这些服务器地址,全封锁了就OK了,谁也不能上QQ了,代理软件另谈).
如果可以上了,那么就是增加了新的服务器!见一个杀一个!嘻嘻!
QQ:在现在的默认端口为4000,传送UDP,但是,还会用1080,8000,8001,28120都是用的UDP传送。不管3721全禁.
☆ 如果使用代理软件
封代理远不及封QQ复杂. 比如'通通通' 公司已经有人用成功上Q了.没办法我也安装了,发现通通通只有一个免费服务器,其他几个要钱的.相必没多少人愿意花钱买这小软件吧? 我就路由中把服务器IP给封了。
最后我自己用'TTT'代理也上不了QQ了.其他代理软件我想也是大同小异了.嘿嘿.望大家指正
如果本机系统没重装的情况下,又是用自己以往在这机器登陆的QQ,同时QQ有新的服务器出现的话,QQ一般还是会出现无法登陆的.本人觉得QQ总是会最快,以往又登陆过的服务器.(这点还真的不好说清楚)
如果路过的朋友对照以上方法还是不能实现禁止QQ的话,可以给我留言,我会尽力相助
☆ 对有些朋友又问如何禁用MSN的补充
MSN客户端登陆服务所采用的端口是TCP协议中的1863,只要将其这个端口加以封闭,那么你想登陆MSN都难了。其中还有几个端口大家也要注意点,因为MSN进行文件共享传输时所采用的端口是TCP port 6891 and 6890、80、443,而视频与语音则是采用的是UDP port 13324 and 1332
5、 3544 -3579、68,然而程序共享传输则是采用的是TCP协议中的1503端口,知道这些后,大家就可以按照你那里的具体环境来进行对MSN的限制了。
----------------------------------------
ISA严禁即时通信工具MSN/QQ使用代理
MSN和QQ,交流沟通的好工具,拉近了人们的距离。然而,对于很多业务繁忙同时又不太依赖即时交流工具的公司来说,它们可是洪水猛兽,会严重影响员工的正常工作、公司的正常运转。
针对以上情况,很多网管会采用措施禁用MSN、QQ等即时通信工具。但简单的禁用并不能解决问题,由于网络办公的需要,网管并不能禁用HTTP协议,因此很多不自觉的员工就利用HTTP代理偷偷使用MSN和QQ。这还了得?岂不是在挑战网管的权威?封堵即时通信工具的代理势在必行。
封堵原理
因为网管必须保证员工能正常上网办公,所以不可能禁用HTTP协议,这也是禁止即时通信工具MSN和QQ使用HTTP代理的难点。如何解决这个难题呢?恰好现在很多企业级网络防火墙都新增了“深度防护”的概念,如ISA Server2004,它不但可以对通信中的网络数据包进行检验,而且还可以检查数据包应用层中的内容,能对HTTP应用层数据进行过滤和检测。
ISA Server 2004一旦发现HTTP应用层数据中包含MSN和QQ的关键字信息,就可将该数据包丢弃,以此就能达到禁用MSN和QQ等即时通信工具使用HTTP代理的目的。
解决办法
要想阻止MSN和QQ使用HTTP代理,最有效、最简单的办法就是过滤掉网络通信中的IM数据包,这种
过滤措施是通过识别IM数据包中所包含的IM关键字来实现的,利用ISA Server 2004防火墙提供的“签名”功能很容易做到。
网络环境:由ISA Server 2004服务器统一管理的网络
封堵工具:ISA Server 2004防火墙
提示:ISA防火墙提供了很强大的网络监控和管理功能,如深度防护和过滤功能,利用这些功能可禁止MSN和QQ使用HTTP代理。当然要知道MSN和QQ数据包中所包含的特征关键字才行。
封堵步骤:获得MSN和QQ的关键字;启用ISA签名功能;启动“封堵”功能。
掌握“关键字”
做好以上准备工作后,就可以开始进行“封堵”的设置了,在到MSN和QQ数据包中的关键字后,配置一下ISA防火墙即可完成设置工作。
因为ISA防火墙就是利用MSN和QQ数据包所包含的特征关键字,来过滤掉HTTP数据包中所包含的IM数据包,实现禁用HTTP代理的目的,因此必须首先出MSN和QQ数据包中的关键字。
ISA Server 2004 提供的“签名”功能作用在HTTP应用层中,是利用即时通信软件数据包中的“关键字”进行过滤操作的。如MSN发送的数据包中包含的关键字是“MSMSGS”,而QQ数据包使用的关
键字是“tencent”,掌握了这些信息后,就容易利用“签名”功能封堵HTTP代理。
提示:在网上很容易查到MSN、QQ数据包中的“关键字”资料,那别人是如何获得的呢?这个比较复杂,需要利用工具Sniffer对这些IM数据包进行监控和分析,如利用NAI公司推出的协议分析工具“Sniffer Pro”,由于操作比较麻烦,就不详细介绍了。
开始“封口”
掌握了聊天工具使用HTTP代理传出的数据包中的关键字后,我们就可顺藤摸瓜,利用这些“关键字”封住它们的“口”。
ISA防火墙就是利用内置的“签名”功能,来禁止MSN和QQ使用HTTP代理,因此必须要合理配置“签名”功能才行。
在ISA Server 2004服务器的控制台窗口中,右键单击“允许用户访问外部网络”规则,在弹出菜单中选择“配置HTTP”选项。接着在“为规则配置HTTP策略”对话框中,切换到“签名”标签页,现在就可以利用签名功能,禁用HTTP代理。
提示:安装ISA Server 2004网络防火墙后,默认是不允许任何用户访问外部网络的,因此要创建一条访问规则,允许内网中的员工可以访问互联网,这条规则就是刚才所提到的“允许用户访问外部网络”规则。
1.禁用MSN
禁止MSN使用HTTP代理,只要过滤掉包含有关键字“MSMSGS”的数据包即可。
在“签名”标签页中,点击“添加”按钮,弹出签名配置对话框(图1),在“名称”栏中输入“MSN Messenger”,然后在“查范围”下拉列表框中选择“请求头”选项,在“HTTP头”栏中输入“User-Agent:”,然后还要在“签名”栏中输入“MSMSGS”,最后连续两次点击“确定”按钮即可完成设置。
2.禁用QQ
和禁止MSN使用HTTP代理一样,禁止QQ使用HTTP代理,只要过滤掉包含有关键字“tencent”的数据包即可。
在“签名”标签页中点击“添加”按钮,弹出签名配置对话框(图2),在“名称”栏中输入“QQ”,然后在“查范围”下拉列表框中选择“请求URL”,接着在“签名”栏中输入“tencent”,最后两次点击“确定”按钮完成设置。
3.禁用其他聊天软件
禁止其他IM工具使用HTTP代理的方法也是相同的,只要知道该IM数据包中所包含的特征关键字,然后在ISA防火墙的“签名”功能中进行相应配置即可。
最后在ISA Server 2004防火墙策略窗口中选中“允许用户访问外部网络”规则,点击上方的“应用”按钮,使以上的签名配置生效,这样就可彻底禁止MSN、QQ等聊天工具使用HTTP代理。
总结:禁止MSN和QQ使用HTTP代理的原理非常简单,关键就是要知道IM数据包中的特征关键字,然后配置ISA防火墙的签名功能进行相应的过滤即可。
小知
识:“代理”为聊天软件服务的原理
虽然不同的IM工具使用的通信协议也各不相同,但几乎所有的IM工具都支持HTTP代理功能,这是因为一旦网管将IM工具封杀,就无法登录,这时就可以利用HTTP代理,将IM工具的数据包转换成HTTP数据包,来突破防火墙的限制,毕竟大多数局域网是不会封杀HTTP协议的。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。