突出重围!
小Q对你说:“想封我没那么容易!”
这两天在博客中看到了很多用ISA封杀QQ的法子,方法也是层出不穷,而且都很有效,我为管理员欣慰的同时也为因此不能在上QQ的朋友表示遗憾,但遗憾归遗憾,俗话说上有对策,下有应策....哈哈,明白我打算干什么了吧,明白了就跟我 Go吧.
先从最基本的开始吧
某天登录QQ发现如下提示
提示说Windows无法打开此程序,原因是由一个软件限制策略阻止的,这时候你就得明白,管理员是用了策略的软件哈希规则来限制你的,先来看看他是怎么做的
首先,你的PC大多会在域环境下(愚公除外),因为这样对管理员来说管理会很方便,并且他会把你规划到域中的某个组,这个组针对某一类人,然后他在给这个组新建一条策略,比如用来限制你们登录QQ
如上图,展开组策略中安全设置的软件限制策略,在其他规则中右击选择新建哈希规则,在出现的界面中选择浏览,加入QQ的运行程序QQ.exe
浏览QQ的安装目录,加入QQ.exe
加入后会在文件哈希的选项框中显示当前版本QQ的MD5值,下图
有了这个MD5值,不管你改动名称也好,重装也好(和之前一样的版本),都会出现无法打开此程序的提示,因为一个程序对应一个MD5值,而且此值是唯一的,策略会核对这个唯一的MD5值做限制,对与这种初级限制的解决办法非常简单,安装另一个版本的QQ即可,这个被限接着换另个版本,要知道互联网日益普及的今天,每天都有新的QQ版本出现
接下来算是中等限制
某天登录QQ发现如下提示
提示说连接超时,排除网络故障外,这就说明管理员在防火墙中做了配置,其一是在防火墙封了QQ服务器的IP地址,同样看看他是怎样做到的
这里用企业首选的ISA防火墙来做演示,打开ISA配置界面,在网络对象中选择新建计算机集
看明白了吧,问题就在这了,要求输入IP地址,这也是费事的地方,管理员需要用抓包工具在QQ登录时进行抓包查看连接了哪些IP地址,然后逐个手工添加进来,下面我用Ethereal演示一下抓包过程,安装几乎一直下一步,完成后运行它
如上图,选择Option,选取当前网卡
配置好后就等Start了,不过先别着急,把QQ准备好后,在点击,等QQ登录完成后,就点击STOP, 随后出现抓包结果,下图
这里面有一部分数据不是我们所需要的,所以选择过滤一下
在Filter中输入dns,回车即可,然后便只剩我们想要的数据包,下图
如上图所示,QQ用来连接的IP地址出现在了列表中,要想抓的更多,你可以这样做
先禁用你的网卡,然后登录QQ,在出现的连接超时错误提示中,选择详细信息,这时QQ登录所用的服务器名都出现在了文本框中
UDP、TCP的都显示在了列表中
然后打开命令提示符,出入NSLOOKUP
然后输入上面列表中的登录所连接的服务器名,看看会出现什么,下图
如上图所示,仅一个服务器就出现了10多个IP地址,是不是觉的很爽,说到这想起来前段时间看到的一位博友也是关于ISA限制QQ登录的文章,在UDP的限制上,他采取了直接封死8000端口的办法,我觉得这样做很是不妥,谁都不能保证没有什么服务及软件不会使用UDP协议的8000端口,建议还是稳妥点好,你可以抓下选择UDP登录时的地址包
,用限制TCP的方法来限制UDP登录,效果完全一样的。
接下来我们回到ISA的IP地址添加向导中,开始逐个输入抓到的QQ服务器IP,下图
直到添加完所有的IP地址,然后开始新建拒绝访问规则,下图
这时出现访问规则源,选择本地主机和外部
选择访问规则目标,下图,这里就要注意了,选择刚才新建并添加进QQ登录IP地址的计算机集QQ_IP
这样一来,员工登录QQ就会出现之前连接超时的错误了,那么解决办法又是什么呢,呵呵,也不难,用代理服务器登录即可,网上有很多免费的,为什么代理服务器在这里就可以登录了,这还得从基础说起,ISA刚才所作的配置是封住QQ的服务器IP,客户端在不使用代理服务器登录时,通讯是直接连往QQ服务器IP的,这时防火墙会对外出的访问做包监听,所以管理员只要在防火墙中创建规则拒绝本地内网用户访问这些IP地址,从而就达到了限制客户端登录QQ的目的。
而通过代理服务器就不一样了,客户端就不会在是直接连往QQ服务器的IP,它会先连接到代理服务器,然后代理服务器在负责前往QQ服务器的IP,这样防火墙监听到的包只会是你访问当前代理服务器的地址包,这样就绕过了防火墙,也就是为什么用代理就可以登录的原因了,但是这儿要注意一点,我说的代理可不是SOCKS代理,之前在博客中看到有好一部分博友在实验时用SOCKS做代理,我当时就捏了一把汗,微软的实力不会封不住你SOCKS协议,之所以不做是因为SOCKS代理非常透明,你的帐户密码全都会赤裸裸的暴露在SOCKS代理服务器上,在微软看来没有谁会傻到用它来做代理登录...
在来看个有难度的吧
某天你照往常一样登录QQ,同样出现了连接超时的提示,因为知道可以用代理上去了,你便不慌不忙的输入代理地址,可随后发现,代理也不能上了....
如下图所示,提示连接超时,这是为什么?
如上图所示,同样也提示连接超时,不是用代理登录的吗?怎么不行了?有人开始问了。呵呵,别急,这说明QQ通过代理服务器访问QQ服务器时未能得到响应,很可能是限制登录QQ服务器域名(也叫签名)造成的,先来看看是怎么做到的
首先,新建一条访问规则,默认允许内网用户访问外网,起名叫ISA_Test(自定义)
接下来右击刚才新建的QQ_Test规则,选择配置HTTP
接下就是关键的一步了,还记得之前抓的QQ登录包不,在来分析分析,下图
注意观察,在要连接的IP地址上的红色深字上,发现什么没有?
细心的朋友一定发现了,这儿出现了qzone-client.qq.com等以QQ.com结尾的服务器域名,这个就是问题的关键了,很显然即使通过代理服务器连接仍然露出了蛛丝马迹,要知道微软在ISA2004版本以后都支持了HTTP监测的技术,在其中的HTTP签名选项中,指定这些服务器域名既能达到阻止访问的目的
我们点击添加,出现了签名选项,在其中输入之前抓到的这些服务器域名,下图
在添加
在点击添加,将反复测试抓到的几十个服务器域名都填加到其中,这时会有人说了,为什么用通配符*,将它加在qq.com的前面,这样不就省去很大麻烦吗?
呵呵,可别忘了,这样一来,就连腾讯官网都访问不了了,太过分会激起民怨噢~
继续点击添加,将所有的服务器域名都写入其中,这样通过代理服务器登录QQ的愿望彻底就破灭了
那如此一来你要问我以后是不是就不能上QQ了,呵呵,那倒未必。
主角出场!从上个列子不难看出,被ISA限制的最主要原因就是访问的QQ服务器域名被嗅探出,那我们要是能在传输过程中做层加密不就不会被发现了?答案是肯定的,不过这个发现可不是我,虽然方案提出了,但达成目的的却少之又少,不是找的加密代理不能用,就是用着用着突然蹦个框来收费,再或者干脆就是用了几天居然连QQ号都不见了,为了弥补这一遗憾,我在此为大家慷慨解囊,大伙吸收完不回我,可太对不起我了~
先来介绍下涉及到的工具
1.自助冲浪
2.支持上传CGI、PHP、ASP、JSP的FTP站点
先来说说这自助冲浪吧,好家伙!超级难找!我百度、谷歌搜了几百遍居然找不着哪有下?不过功夫不负有心人,终于还是被我找到,不过我不会中饱私囊的,给大家共享了,页末有下载
首先我们去支持CGI、PHP、ASP、JSP上传的FTP站点,网上有很多,而且有相当一部分是免费的,注册好完成后我们来打开自助冲浪
打开后会提示你输入加密用的口令
出现配置界面
CGI、PHP、ASP、JSP四种任选,这里选择PHP,勾选PHP,上图
在PHP所在目录中输入注册好的FTP站点路径,上图
点击生成PHP,如上图所示
输入冲浪密钥名称,下图
提示,生成成功!下图
这时在你软件的更目录下出现了生成后的文件,如下图所示
然后选择通过代理访问,点击运行,下图
然后我们打开QQ,HTTP代理,地址和端口用默认的127.0.0.1和8088,点击登录
如下图,登陆成功
至此,小Q突破重重限制来登录的操作算是完成了。兴奋不已的你是不是早已迫不及待?呵呵,那就赶紧试试吧!
本文出自 “张正涛” 博客,谢绝转载!
突出重围!小Q对你说:“想封我没那么容易!”
冰雪天天、linjiaen、female
社区:
