邪恶八进制信息安全团队技术讨论组 » 骨干网络运营{ Backbone Security } » [转载]路由器端QQ封堵方案 [查看完整版本]

xiphi 2004-9-13 11:51

[转载]路由器端QQ封堵方案

信息来源：HackBase.com

鉴于并非所有局域网的连接方式都是代理式的（实际上，几乎稍具规模的局域网都不是代理式的），所以，找到一套通过路由器端控制的方法是比较切实需要的。不少单位（如我们）都是在不同网段使用较低级别的路由器来连接网络，ＳＯＨＯ级别的路由器允许设置的限制规则条数均不多（10条以内），给封堵众多的ＱＱ服务器（见固顶帖子里面的列表，大大超过１０个）带来许多的困难。

　　以下是我本人的方案，基本的思路是：１、常用端口封堵；２、重点服务器ＩＰ封堵；３、流入、流出数据封堵结合。

　　现在的运作证明，没有人能突破这个封锁。

　　一、域名过滤；

　　对所有进出路由器的数据包中，包含下列域名的数据均作丢弃处理：

　　QQ.COM    TENCENT.COM

　　二、报文过滤；

　　流出过滤：(使用8条规则即可）

              1、所有内网ＩＰ的UDP4001-4009端口发出的报文全部丢弃。

              2、所有内网ＩＰ的8000端口发出的报文全部丢弃。

              3、所有目标IP为218.18.95.220的报文全部丢弃。

              4、所有目标IP为61.144.238.145的报文全部丢弃。

              5、所有目标IP为61.141.194.227的报文全部丢弃。

              6、所有目标IP为218.17.209.23的报文全部丢弃。

              7、所有目标IP为218.18.95.153的报文全部丢弃。

              8、所有目标IP为218.18.75.171的报文全部丢弃。

　　流入过滤：(使用6条规则即可）

             1、所有从外部发往内部网络中目标端口为UDP4000-4009的报文全部丢弃。

              2、所有从外部发往内部网络中目标端口为433的报文全部丢弃。

              3、所有从外部发往内部网络中目标端口为UDP8000的报文全部丢弃。

              4、所有从218.18.95.220（端口80）发往内网端口80的报文全部丢弃。

              5、所有从218.18.95.220（端口443）发往内网端口443的报文全部丢弃。

　　　　　　 5、所有从61.144.238.155（端口U8000）发往内网端口U8000的报文全部丢弃。

!angel 2005-3-29 21:48

这种过滤的方法基本没有什么效果ＳＯＨＯ级别的路由器太笨了,回公司试一下本想要用到双层代理可以通过.实验一下,用单一的代理可以转过去这个限制

a11yesno 2005-3-30 09:03

对楼主的帖子 提一个疑问



[quote]

流出过滤：(使用8条规则即可）

        1、所有内网ＩＰ的UDP4001-4009端口发出的报文全部丢弃。

          2、所有内网ＩＰ的8000端口发出的报文全部丢弃。
流入过滤：(使用6条规则即可）

        1、所有从外部发往内部网络中目标端口为UDP4000-4009的报文全部丢弃。

        2、所有从外部发往内部网络中目标端口为433的报文全部丢弃。

        3、所有从外部发往内部网络中目标端口为UDP8000的报文全部丢弃。
[/quote]

假如以上规则有效 那为什么还对ip进行过滤？？

a11yesno 2005-3-30 11:51

我知道有tcp的登录方式

我的测试环境是 开启了ABCD 4个QQ  A使用TCP代理登录 BCD都使用UDP代理

按照楼主给出帖子的意思 在结合我在天网防火墙 查看的数据

实际上 使用udp 还是tcp登录方式 QQ都会 监听4000端口 和 往800端口放送数据包

所以按照 楼主的帖子 那么只需要禁止端口之间的通信 而不需要再对 ip进行过滤

并且 我这边的腾讯 服务器ip也跟楼主给出的不一样  也就是说 即使封住了已知ip

也可以 使用代理绕过

另外我观察天网截获的数据 本地监听的端口其实不一定是4000 初始化的端口 是4000

而 往后 我这里显示的 却是从6000开始 而不我原来想的 从4000－4xxx

并且 我还发现了一个有趣的现象

由于 本地监听端口 不一定是 4000 所以 封锁本地端口 应该可以绕过

但我发现 始终QQ上线的时候 是要往 腾讯服务器的 8000端口 发送信息的 所以楼主规则中的

封锁发送往 udp8000口的信息 这一条将会非常有用 当然 我也监听到有发往8001 8002的信息

而有趣的地方 却在这个时候出现了  我开了ABCD四个QQ做测试

前面三个 跟我上面的分析 没什么差别 唯独 第四个 D QQ

他 既不开 4000端口 也不开 6000 他本地监听的 是 4137 和其他一些端口 换句话来说

这个QQ监听开放的端口 更没有规律 （也可能是 从他原本想要开放的端口已经被占用）

并且 他也不向 udp8000－8xxx 发送数据 他只跟udp 代理服务器进行数据交换

我将这个QQ反复的 上线 和 下线 发现他 在一瞬间 有跟 腾讯服务器的ip udp8000进行通话

可是 并没有出现象其他三个QQ那样一直保持通话 我的猜测是 它可能只是想 通过udp8000

获取QQ好友在线 或其他情况 因为 我使用 这个D QQ进行和 别的QQ对话的时候 它也没有

往 udp8000发送任何信息 始终 只有和代理服务器 有信息联通

这个与众不同的QQ 我现在还没想清楚是为什么

以上的 测试 在XP 通过天网防火墙 对端口联通监视

查看完整版本: [转载]路由器端QQ封堵方案

© 1999-2008 EvilOctal Security Team