利用Ipsec禁用QQ

技術小甜發表於2017-11-16
摘要]騰訊QQ在實驗室對教學形成了較大的衝擊,學生耽於聊天而荒廢了學業。本文從分析QQ的工作方式入手,探討禁用QQ的思路,在此基礎上提出利用Windows 2000伺服器版自帶的“IP安全策略”(即Ipsec)來禁用QQ的方法,在不安裝任何新的軟體的情況下,較好地解決了網路環境教學過程中這個使教師倍感頭痛的問題。
[關鍵詞]禁用QQ  IP安全策略 Ipsec

禁用QQ,不是與騰訊公司過不去,實在是萬不得已。作為一款優秀的即時通訊軟體,QQ為我們的生活平添了許多方便,增添了許多樂趣,語音、視訊QQ更是使學生樂此不疲,許多學生耽於其中不能自拔,尤其是實驗室中許多學生養成了一邊上QQ聊天,一邊聽老師講課的惡習,甚至把聊天當成了主要任務,聊天之餘再去做老師佈置的內容甚至不做,老師沒有辦法只好在實驗室關掉網路,但許多實驗課需要在網上查詢資料甚至完全在網上進行實驗,如筆者所授《網路營銷》課程就完全是以網際網路作為實驗物件和實驗手段,關閉網路實驗就無法進行,因此急需探尋一種既不影響正常網路操作又能遮蔽掉QQ使用的方法。
在網上搜尋很久,得到了許多與禁用QQ相關的資料,但試用之後往往難以奏效,只好自己想辦法解決。經過筆者近半年的摸索,總算較好地解決了這個問題。
一、        騰訊QQ的工作方式
1、        檢視QQ登入方式的方法
以QQ2005betaII為例(以下同)。
開啟QQ皮膚,點左下角“選單”→“個人設定”→“系統設定”→“登入設定”,就可檢視到當前QQ的登入方式和所登入的伺服器。
2、        QQ的工作方式
主要有四種:
①        UDP方式
這是最普遍的一種方式,客戶端使用4000埠,服務端採用8000埠
②        會員VIP伺服器登入方式
這是連通性最強的一種方式,可以通過大部分防火牆的限制,服務端使用443埠
③        TCP方式
禁用QQ時碰到的最麻煩的一種方式,使用TCP的80埠,而網頁瀏覽也是使用80埠,總不成為了禁用QQ連網頁瀏覽也禁用了吧
④        代理
包括HTT代理與Socks5多種,關於使用代理突破網路封鎖的方式,連網警都無能為力,我們同樣也沒有辦法。不過如果我們的學生能自己找到利用代理破解QQ禁用的方法,對這樣的學生我們還是應該予以鼓勵吧(苦笑ing~~~)。
二、        QQ禁用思路
1、        UDP埠的禁用
①        關閉發向服務埠8000的向外請求
②        關閉來到本地4000埠的向內請求
2、        會員VIP登入的禁用
關閉向伺服器埠443的請求,協議方式為TCP
3、        TCP方式的禁用
普通使用者使用TCP登入時一般採用80埠,80埠同樣也是網頁瀏覽的埠,當然不能禁。首先我針對QQ的每一個伺服器IP地址予以封鎖,但太繁瑣,效果也不是很好,因為QQ有二十多臺伺服器,並且還在不斷增加中,之後我發現QQ伺服器IP地址集中在三個C類網段上,分別為 218.18.95.0、219.133.49.0和219.133.38.0,針對這三個網段禁止本地機器與它們來往的通訊,那就簡單得多,同時據我觀測,新增的QQ伺服器都是這三個網段中的地址,所以即使QQ新增了伺服器,禁用QQ也是可行的。
4、        關於QQ代理的禁用
如果使用本地代理的話,那好說,只要在本地代理伺服器上使用以上三種方法即可使所有通過本地代理連網的客戶端實現對QQ的禁用,問題是我們現在使用的均是閘道器型的透明代理,這就沒有辦法了。
三、        禁用QQ實戰
實驗機房均通過Internet連線共享的方式共享上網,均為透明閘道器型代理,一般沒有安裝代理軟體,採用系統一般為Windows 2000的高階伺服器版,故在實際操作中選用Windows 2000中自帶的“本地安全策略”工具來實現QQ禁用,這樣不要另外安裝任何新的軟體。如果代理伺服器採用Windows 98 加代理軟體的話,可根據QQ禁用思路予以設定,同樣比較簡單。
1、        開啟“本地安全策略”
在開始選單中,選“程式”→“管理工具”→“本地安全策略”,在介面左邊右擊“IP安全策略”,選“建立IP安全策略”即可開啟IP安全策略嚮導,點“下一步”將此條Ipsec取一個好記的名字,如禁用QQ。然後一路預設至出現一個警告視窗,不理它,選“是”進入下一步,點“完成”即可進入“禁用QQ屬性”視窗。
在“禁用QQ屬性視窗”中,點“新增”至下一步,一路預設至出現警告視窗,同樣不理它,選“是”即可開啟“安全規則嚮導”視窗。
在“安全規則嚮導”視窗中,點“新增”,在出現的介面中給“IP篩選器列表”取個名字如“禁用QQ”,再在此介面去掉對“使用新增嚮導”的選擇,然後點“新增”即可開啟“篩選器屬性”配置介面。
具體配置引數見下表:
通訊協議        源埠        目標埠        源 地 址        目標地址
UDP        任何        8000        我的IP地址        任何IP地址
UDP        任何        4000        任何IP地址        我的IP地址
任何        任何        任何        我的IP地址        218.18.95.0
任何        任何        任何        218.18.95.0        我的IP地址
任何        任何        任何        我的IP地址        219.133.49.0
任何        任何        任何        219.133.49.0        我的IP地址
任何        任何        任何        我的IP地址        219.133.38.0
任何        任何        任何        219.133.38.0        我的IP地址
TCP        任何        443        我的IP地址        任何IP地址
全部引數配置完成之後,回到“安全規則嚮導”,選中“禁用QQ”,點“下一步”,在出現的介面中去掉對“使用新增嚮導”的選擇,點“新增”,給篩選器操作取個名字如“QQ篩選器“,一路預設到“篩選器操作”,選中“阻止”,一路回車回到“篩選器操作”介面,選中新建的“QQ篩選器”,點“下一步”至“完成”。
2、        IP安全策略(Ipsec)的匯入與匯出
   在每臺伺服器進行Ipsec的配置太過麻煩,此時我們可將在一臺伺服器上所作的配置通過Ipsec的匯出功能儲存成一個檔案,傳到FTP伺服器上,另一臺伺服器上也想禁用QQ的話,可從FTP伺服器上將這個配置檔案下載到本地機器,使用Ipsec的匯入功能來實現,而不需要重新配置。具體做法如下:
在“本地安全策略”中,右擊“IP安全策略”→“所有任務”→“匯出策略”,即可將已配好的策略儲存成檔案,如果選擇“匯入策略”即可完成匯入。
3、Ipsec的指派
在預設情況下,所匯入的策略並未發生作用。此時應在“Ip安全策略”上單擊,在右邊找到“禁用QQ”項右擊,在出現的右鍵選單中選“指派”即可。

至此,禁用QQ的操作就全部完成了,看到螢幕上QQ的小企鵝在拼命掙扎,心中有說不出的痛快,於是世界清淨了,實驗室少了許多的喧鬧。當然下課之後,我們又可以不指派匯入的策略,此時QQ小企鵝又會歡快的笑了。














本文轉自loveme2351CTO部落格,原文連結:http://blog.51cto.com/loveme23/8214 ,如需轉載請自行聯絡原作者





相關文章