网络禁用与突破限制二

3、QQ登录分析
　　
　　了解了上面的知识，我们再来看腾讯QQ登录时的网络设置就不会感到陌生了。如图10所示。这里有SOCKS5代理、HTTP代理、使用浏览器设置等多种类型供用户选择，找到合适的服务器地址和用户密码后，用户就可以快速方便的连接到服务器了。同时，还要考虑需要登录服务器的类型以达到更好的效果。
　　

　
　　图 10

　　
　　现在，假设网络出现故障，我们使用QQ进行登录，系统肯定会出现登录失败的提示，如图11所示。
　　

　
　　图 11

　　
　　单击“详细信息”按钮，我们就可以看到十分详细的登录过程，摘要如下：
　　
　　1) 【QQ 版本】Build 13.81.8228
　　
　　2) 【QQ 号码】527454452
　　
　　3) 【操作系统】Microsoft Windows 2000 Service Pack 4 [Build 5.0.2195]
　　
　　4) 【网络设置】局域网内使用透明代理
　　
　　5) 【登录过程】
　　
　　6) 开始登录......时间[2005-08-22 00:45:13]
　　
　　7) 初始化登录服务器列表，上次的登录方式为【UDP登录方式】
　　
　　8) 尝试UDP方式登录,先创建UDP网络组件
　　
　　9) 创建UDP网络组件成功，本地IP【192.168.10.123】,端口【4000】，直接登录上一次登录过的服务器， 10) 确定登录UDP服务器IP【219.133.48.75】,端口【8000】
　　
　　11) 向登录服务器发送登录第一步骤数据
　　
　　12) 登录第一步骤超时
　　
　　13) 尝试UDP方式登录,先创建UDP网络组件
　　
　　14) 创建UDP网络组件成功，本地IP【192.168.10.123】,端口【4001】，直接登录上一次登录过的服务器，
　　
　　15) 确定登录UDP服务器IP【sz2.tencent.com】,端口【8000】
　　
　　16) 向登录服务器发送登录第一步骤数据
　　
　　17) 登录第一步骤超时
　　
　　18) 尝试UDP方式登录,先创建UDP网络组件
　　
　　19) 创建UDP网络组件成功，本地IP【192.168.10.123】,端口【4000】，直接登录上一次登录过的服务器，
　　
　　20) 确定登录UDP服务器IP【sz5.tencent.com】,端口【8000】
　　
　　21) 向登录服务器发送登录第一步骤数据
　　
　　22) 登录第一步骤超时
　　
　　23) UDP登录服务器全部尝试失败,尝试下一种登录方式
　　
　　24) 尝试TCP方式登录,准备连接TCP服务器IP【TCPconn4.tencent.com】,端口【80】,先进行域名解析
　　
　　25) TCP登录服务器【TCPconn4.tencent.com】域名解析不成功，无法连接该服务器
　　
　　26) 尝试TCP方式登录,准备连接TCP服务器IP【TCPconn4.tencent.com】,端口【443】,先进行域名解析
　　
　　27) TCP登录服务器【TCPconn4.tencent.com】域名解析不成功，无法连接该服务器
　　
　　28) 尝试TCP方式登录,准备连接TCP服务器IP【TCPconn.tencent.com】,端口【80】,先进行域名解析
　　
　　29) TCP登录服务器【TCPconn.tencent.com】域名解析不成功，无法连接该服务器
　　
　　30) 尝试TCP方式登录,准备连接TCP服务器IP【TCPconn.tencent.com】,端口【443】,先进行域名解析
　　
　　31) TCP登录服务器【TCPconn.tencent.com】域名解析不成功，无法连接该服务器
　　
　　32) 尝试TCP方式登录,准备连接TCP服务器IP【TCPconn3.tencent.com】,端口【80】,先进行域名解析
　　
　　33) TCP登录服务器【TCPconn3.tencent.com】域名解析不成功，无法连接该服务器
　　
　　34) 尝试TCP方式登录,准备连接TCP服务器IP【TCPconn3.tencent.com】,端口【443】,先进行域名解析
　　
　　35) TCP登录服务器【TCPconn3.tencent.com】域名解析不成功，无法连接该服务器
　　
　　36) TCP登录服务器全部尝试失败
　　
　　37) 最终登录失败,时间:2005-08-22 00:46:28
　　
　　从上面的记录可以看出：QQ不仅仅通过UDP方式登录服务器，还能够以TCP方式登录。QQ登录时，首先会向本地端口4000发送DNS请求，解析sz.tencent.com－sz7.tencent.com 7台服务器的IP；然后用UDP 8000目的端口登录。如果UDP方式无法登录，则采用HTTP 80端口登录。如果是VIP会员，则解析TCPconn.tencent.com－TCPconn4.tencent.com 服务器的IP，利用TCP 443 端口登录，考虑到QQ采用了HTTP 80 端口登录，所以可以直接采用屏蔽QQ登录服务器IP的方式，过滤QQ登录。了解了上述登录的整个过程，我们就可以进行有的放矢的防守和反击了。
　　
　　二、进攻：突破对QQ、MSN、联众的限制
　　
　　在内部网中，如果用户不能玩某些游戏、不能上一些网站等等，他们就会通过各种方法来突破限制。
　　
　　1、突破限制的一般方法
　　
　　根据不同的情况，简单分类分析如下。
　　
　　第1种现象：用户不能使用QQ等工具进行聊天；不能访问某些网站；不能玩某些网络游戏（如联众）。
　　
　　出现这种现象的主要原因是限制了欲访问的IP地址。对于这类限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的，一抓一大把，在IE里加了HTTP代理就可以轻松访问目的网站了。“QQ代理公布器 V2005”是一款不错的突破软件，软件下载地址为http://www.cz88.net/fox。它的使用方法很简单，只需按“读取数据”这个按钮就可以找到很多的代理。软件是从网站上的数据库随机读取QQ代理（SOCK5代理）的数据，这样可以避免太多人同时使用同一代理。然后测试端口能否连接和其连接速度，连接速度越短越好，这样才能保证QQ的正常使用。如果顺利登录上去，就说明这个代理是成功的。同时，真实的IP地址被隐藏起来，所显示的仅仅是这个代理罢了！软件界面如图12所示。
　　

　
　　图 12

　　
　　第2种现象：上网冲浪的过程中，我们经常碰到类似的情况：处于单位网络安全的考虑，管理员会限制某些网络协议，这样，导致用户不能使用FTP等资源；再比如，管理员限制了一些网络游戏的服务器端IP地址，而这些游戏又不支持普通HTTP代理，让那些爱好游戏的用户一筹莫展！可见，在很多场合，网管通常都会封杀80以外的服务端口，这样就会导致用户只能使用WWW等浏览服务。另外，现在有很多聊天软件如ICQ、IRC和OICQ等，只提供SOCKS Proxy的功能，即使用户有个免费的HTTP Proxy也不能让这些聊天程序通过代理来连接服务器。那么，能否让HTTP Proxy变成SOCKS Proxy呢？其实，只要防火墙开放80端口，我们可以配合使用SOCKS2HTTP、SOCKSCAP32这两个软件，就可以完全绕过防火墙了。需要注意的是，网络必需能正常连接到www.totalrc.net、端口为80这个网关地址。
　　
　　第1步：找一个可靠的HTTP Proxy地址。还是使用“QQ代理公布器 V2005”，代理类型选择“HTTP”，软件界面如图13所示。
　　

　
　　图 13

　　
　　第2步：下载运行Socks2http软件。软件下载地址为http://www.totalrc.net/s2h/index.jsp。它能将基于Socks协议的请求转换为HTTP协议的请求，并通过指定的HTTP代理服务器处理这些请求。首先需要指定一个HTTP代理的具体参数。选中“Use http proxy server”，在Name/IPAddress栏填入HTTP Proxy的域名或IP地址，在Port栏填入HTTP Proxy的端口。本例中我们选择一个免费代理服务器，地址为218.189.229.234:8080。如果要更改配置，则在工具栏中右键单击socks2http的图标，选择Configuration，其它与上相同。如图14所示。
　　

　
　　图 14

　　
　　第3步：配置Socks2http软件。单击“Gateway Configuration”选项卡，因为我们使用的是免费代理，所以要选中“This is Personal Gateway”，代表这是一个个人服务器。否则，就会出现错误提示。如图15所示。
　　

　　图 15

　　
　　第4步：测试SOCKS服务器。另外，单击“Security”选项卡，可以看到SOCKS Proxy实现的端口，默认为1080。要检测你的SOCKS2HTTP是否成功配置好并可以使用了，可以尝试远程登陆到本机的1080端口。如果可以登陆上，则表示HTTP Proxy已成功地转换为了SOCKS Proxy。可单击“开始”，选择“运行”，输入“telnet localhost 1080”来远程登陆到本机的1080号端口。现在，该程序就将所设置的HTTP Proxy变成了本地的SOCKS v.5 Proxy。可以以localhost:1080或127.0.0.1:1080的形式来使用了。
　　
　　第5步：下载并安装Sockscap32软件。软件下载地址为http://www.socks.nec.com。SocksCap32 软件是由美国 NEC USA, Inc.公司出品的代理服务器第三方支持软件，它拥有功能强大的SOCKS 调度，通过它几乎可以让所有基于 TCP/IP 协议的软件如ICQ、OICQ、MSN、MUD、FTP、IE、NEWS等，都能通过 Socks 代理服务器连接到外部网络，甚至代理猎手还可以通过它去搜索代理服务器。
　　
　　第6步：配置通过本机127.0.0.1端口1080的SOCKS5代理连接网络。选择“文件”菜单下的“设定”，在SOCKS服务器中填入127.0.0.1，Port中填入1080，在协议中选择SOCKS版本5，域名解析中选择“先尝试由本地端再由远端解析”，然后“确定”。如图16所示。
　　

　
　　图 16

　　
　　第7步：单击SocksCap32面板中的“新建”按钮，点击“浏览”，选择需要经过SocksCap32代理的应用软件和工作目录路径。或者直接将要运行软件拖入窗口中的空白处，在弹出的窗口中选择“新建应用程序标识项”，设置完毕，点击“确定”。如图17所示。
　　

　
　　图 17

　　
　　第8步：现在只需双击SocksCap控制台界面里的图标就可以了通过HTTP代理玩OICQ了。注意：在SOCKSCAP中运行的ICQ等软件不需再对代理做特别配置，在使用过程中，不可以关闭sockscap32，否则已在其上运行的程序就不能正常继续运行。另外，也可以直接在OICQ中进行设置。如QQ2005中，进入“系统设置”界面，选中“代理设置”选项，在该界面中选中“使用自定义的网络设置”并选择“SOCKET5代理服务器”，在防火墙地址栏填入localhost，在端口栏填入1080。重新登陆后，现在OICQ就是通过代理上线了!如图18所示。如果需要测试此服务器是否正常，可以单击“测试”按钮进行测试。ICQ、MSN等其他聊天工具或浏览器的设置与之类似，用户可以多多体会。
　　

　
　　图 18

　　
　　对于上述问题，另外一种方法是用FLAT软件，配合SocksCap32，不过所做的FLAT代理最好也是80端口，当然不是80端口也没关系，因为FLAT还支持再通过普通的HTTP代理访问，不是80端口，就需要再加一个80端口的HTTP 代理。这类突破办法中间走的代理加密，网管不知道中间所走的数据是什么。代理跳板也可以做到，不过代理仍然要80端口的。对于单纯是80端口限制，还可以用一些端口转换的技术突破限制。 第5种现象：以上一些限制综合的，比如有限制IP的，也有限制关键字，比如封MSN， 还有限制端口的情况。
　　
　　一般用第四种现象的第二个办法就可以完全突破限制。只要还允许上网，呵呵，所有的限制都可以突破。
　　
　　2、如何在局域网内上联众
　　
　　联众是一个网络游戏平台，你可以在那里和其他玩家一起打牌、下棋、对战，体会在游戏中“与人斗，其乐无穷”的感觉。可是局域网内的用户由于网络条件的限制不能直接上联众。怎么办呢？“通通通2006”可以帮助您解决这个问题。在联众游戏中进行一些设置，点击联众图标，出现下面的界面。点击“设置代理服务器”按钮，出现下面这个界面。如图19所示。
　　

　
　　图 19

　　
　　选中“使用代理服务器上网”，在地址框中输入“127.0.0.1”，在端口框中输入“1080”，选择“使用socks5协议”。如图20所示。这样，所有的设置都完成了，然后就可以去玩游戏了。
　　

　
　　图 20

　　
　　3、另类突破方法
　　
　　现实生活中，可能会出现如下现象：用户根本不能上网，管理员没有给用户上网权限或者上网IP，或者做IP与MAC地址绑定了。怎么办？可以通过下面的小技巧实施突破：
　　
　　走后门。和网络管理员搞好关系，一切都能搞定，网络管理员什么权限都有，可以单独给你的IP开无任何限制的，前提是不要给网络管理员带来麻烦，不要影响局域网的正常运转。这应该有点社会工程学的味道了，关键在于怎么利用这些人际资源了。 2、隐通道技术。隐通道技术就是借助一些软件，可以把防火墙不允许的协议封装在已被授权的可行协议内，从而通过防火墙，端口转换技术也是把不允许的端口转换成允许通过的端口，从而突破防火墙的限制。
　　
　　HTTPTunnel就可以完成这个任务，它的原理是将数据伪装成HTTP的数据形式来穿过防火墙，即在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。HTTPTunnel刚开始时只有Unix版本，现在已经有人把它移植到Window平台上了，它包括htc和hts两个程序，其中htc是客户端，而hts是服务器端。
　　
　　比如开了FTP的机器的IP是192.168.10.10，本地的机器的IP是192.168.10.123，现在我本地因为防火墙的原因无法连接到 FTP上，现在用HTTPTunnel的过程如下：
　　
　　启动HTTPTunnel客户端。启动MS-DOS的命令行方式，然后执行“htc -F 8888 192.168.10.10:80”命令，其中htc是客户端程序，-f参数表示将来自192.168.10.10:80的数据全部转发到本机的8888端口，这个端口可以随便选，只要本机没有占用就可以。用Netstat查看本机开放的端口，发现8888端口已在侦听。
　　
　　在对方机器启动HTTPTunnel服务器端，并执行 “hts -f localhost:21 80”命令，意思是说把本机21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Netstat查看服务器，会发现80端口处于侦听状态。
　　
　　在本机使用FTP连接本机8888端口，现在可以连上服务器了。
　　
　　三、防守：阻断QQ、MSN、联众的连接
　　
　　下面，我们根据QQ、MSN、联众等服务器的不同特点，从单位用户的角度来考虑如何阻断这些连接。
　　
　　1、阻断QQ的连接
　　
　　局域网中禁止QQ的问题比较烦琐，传统的解决方法是通过对QQ的端口和服务器地址进行封堵。在阻断8000端口的连接后，发现QQ还会通过UDP的8001和TCP的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用，所以可以基于端口来做阻断规则。在用防火墙阻断以上端口的数据包后，发现QQ还会通过TCP的80和443端口进行连接。如果针对这两个端口作阻断规则，会影响用户的正常上网，所以只能对服务器的IP地址来做规则。在针对IP作阻断规则后，QQ已基本无法登录。仔细检查后可以发现，QQ安装目录下的Config.db文件记录了QQ服务器的地址。因此，在用防火墙阻止用户使用QQ上网时，除了阻止TCP和UDP的8000、8001端口外，还需阻断与QQ服务器的连接。
　　
　　实际应用中，由于新版QQ可以采用TCP的80端口和加密代理、HTTP代理等方式进行登录，所以采用传统的方式对局域网内的QQ进行封堵的方法很难达到交果。虽然以上方法可以起到阻断QQ连接的作用，但如果腾讯增加新的QQ服务器，QQ也还是可以登录的。另外，用第三方的代理软件如NEC E-BORDER等，支持Anonymous的Socks5代理还是可能绕过去，登录使用QQ。
　　
　　2、阻断MSN的连接
　　
　　阻断MSN连接最简单高效的方法就是直接禁止对Messenger.hotmail.com等服务器的访问，当然还可以禁止对*.msgr.hotmail.com域名集的访问。但不建议禁止对*.Passport.com的访问，因为登录Hotmail.com邮箱等其它的Passport验证服务还需要使用它。另外，MSN的连接在除使用常规的1863端口外，还会使用7001和80端口，因为这两个端口涉及到其他网络服务的应用，所以也只能采用阻断QQ连接的方法，通过阻断与MSN服务器的连接，来达到用户要求。要禁用MSN，可以采用下面的方法：
　　
　　首先是尽量采取“允许需要的，拒绝所有（其它）的”的原则创建防火墙规则；
　　
　　拒绝对IP 207.46.104.20的访问；
　　
　　拒绝对TCP 1863的访问；
　　
　　对HTTP进行应用层检查，阻止包含Gateway.messenger.hotmail.com的连接；
　　
　　拒绝对常用代理端口的访问，比如TCP 8080/1080/3128；
　　
　　关注常见的HTTP隧道登录，枪打出头鸟，随时拒绝这类服务的登录服务器。
　　
　　同样，如果微软添加新的MSN服务器或者用户使用代理，还是可以登录MSN。
　　
　　3、阻断联众及其他游戏服务器的连接
　　
　　阻断联众的连接相对来说比较容易，在客户端连接服务器时，首先会与服务器的2000端口建立连接（61.55.138.219：2000）。在连接建立后，会用到服务器的1007、2001、2002、3015端口。在试验中，只阻断了2000端口的数据包，客户端就已经无法连接服务器了。此外，还有不少其他的游戏服务器，如可乐吧客户端在连接服务器时，首先要打开可乐吧的主页（www.kele8.com），再通过主页进入游戏大厅。针对这种情况，只要定义一个URL规则，过滤地址为“*kele8*”即可。
　　
　　防守和反击永远是一个此增彼长的过程，关键在于管理员或者用户实施有的放矢的操作，相对来说，把握主动权的使用者应该就是笑到最后的胜利者了。