突出重圍！小Q對你說：“想封我沒那麼容易！”

突出重圍！

小Q對你說：“想封我沒那麼容易！”

這兩天在博客中看到了很多用ISA封殺QQ的法子，方法也是層出不窮，而且都很有效，我爲管理員欣慰的同時也爲因此不能在上QQ的朋友表示遺憾，但遺憾歸遺憾，俗話說上有對策，下有應策....哈哈，明白我打算幹什麼了吧，明白了就跟我 Go吧.

先從最基本的開始吧

某天登錄QQ發現如下提示

提示說Windows無法打開此程序，原因是由一個軟件限制策略阻止的，這時候你就得明白，管理員是用了策略的軟件哈希規則來限制你的，先來看看他是怎麼做的

首先，你的PC大多會在域環境下（愚公除外），因爲這樣對管理員來說管理會很方便，並且他會把你規劃到域中的某個組，這個組針對某一類人，然後他在給這個組新建一條策略，比如用來限制你們登錄QQ

如上圖，展開組策略中安全設置的軟件限制策略，在其他規則中右擊選擇新建哈希規則，在出現的界面中選擇瀏覽，加入QQ的運行程序QQ.exe

瀏覽QQ的安裝目錄，加入QQ.exe

加入後會在文件哈希的選項框中顯示當前版本QQ的MD5值，下圖

有了這個MD5值，不管你改動名稱也好，重裝也好（和之前一樣的版本），都會出現無法打開此程序的提示，因爲一個程序對應一個MD5值，而且此值是唯一的，策略會覈對這個唯一的MD5值做限制，對與這種初級限制的解決辦法非常簡單，安裝另一個版本的QQ即可，這個被限接着換另個版本，要知道互聯網日益普及的今天，每天都有新的QQ版本出現

接下來算是中等限制

某天登錄QQ發現如下提示

提示說連接超時，排除網絡故障外，這就說明管理員在防火牆中做了配置，其一是在防火牆封了QQ服務器的IP地址，同樣看看他是怎樣做到的

這裏用企業首選的ISA防火牆來做演示，打開ISA配置界面，在網絡對象中選擇新建計算機集

給此集取名叫QQ_IP，然後點擊添加

出現的下拉菜單中選擇計算機，下圖

出現如下向導，下圖

看明白了吧，問題就在這了，要求輸入IP地址，這也是費事的地方，管理員需要用抓包工具在QQ登錄時進行抓包查看連接了哪些IP地址，然後逐個手工添加進來，下面我用Ethereal演示一下抓包過程，安裝幾乎一直下一步，完成後運行它

如上圖，選擇Option,選取當前網卡

配置好後就等Start了，不過先彆着急，把QQ準備好後，在點擊，等QQ登錄完成後，就點擊STOP, 隨後出現抓包結果，下圖

這裏面有一部分數據不是我們所需要的，所以選擇過濾一下

在Filter中輸入dns，回車即可，然後便只剩我們想要的數據包，下圖

如上圖所示，QQ用來連接的IP地址出現在了列表中，要想抓的更多，你可以這樣做

先禁用你的網卡，然後登錄QQ，在出現的連接超時錯誤提示中，選擇詳細信息，這時QQ登錄所用的服務器名都出現在了文本框中

UDP、TCP的都顯示在了列表中

然後打開命令提示符，出入NSLOOKUP

然後輸入上面列表中的登錄所連接的服務器名，看看會出現什麼，下圖

如上圖所示，僅一個服務器就出現了10多個IP地址，是不是覺的很爽，說到這想起來前段時間看到的一位博友也是關於ISA限制QQ登錄的文章，在UDP的限制上，他採取了直接封死8000端口的辦法，我覺得這樣做很是不妥，誰都不能保證沒有什麼服務及軟件不會使用UDP協議的8000端口，建議還是穩妥點好，你可以抓下選擇UDP登錄時的地址包

，用限制TCP的方法來限制UDP登錄，效果完全一樣的。

接下來我們回到ISA的IP地址添加嚮導中，開始逐個輸入抓到的QQ服務器IP,下圖

第一個

第二個

直到添加完所有的IP地址，然後開始新建拒絕訪問規則，下圖

選擇新建訪問規則

選擇拒絕操作，下圖

選擇所有出站通訊，下圖

這時出現訪問規則源，選擇本地主機和外部

選擇訪問規則目標，下圖，這裏就要注意了，選擇剛纔新建並添加進QQ登錄IP地址的計算機集QQ_IP

選擇所有用戶，點擊下一步完成新建，下圖

這樣一來，員工登錄QQ就會出現之前連接超時的錯誤了，那麼解決辦法又是什麼呢，呵呵，也不難，用代理服務器登錄即可，網上有很多免費的，爲什麼代理服務器在這裏就可以登錄了，這還得從基礎說起，ISA剛纔所作的配置是封住QQ的服務器IP，客戶端在不使用代理服務器登錄時，通訊是直接連往QQ服務器IP的，這時防火牆會對外出的訪問做包監聽，所以管理員只要在防火牆中創建規則拒絕本地內網用戶訪問這些IP地址，從而就達到了限制客戶端登錄QQ的目的。

而通過代理服務器就不一樣了，客戶端就不會在是直接連往QQ服務器的IP，它會先連接到代理服務器，然後代理服務器在負責前往QQ服務器的IP，這樣防火牆監聽到的包只會是你訪問當前代理服務器的地址包，這樣就繞過了防火牆，也就是爲什麼用代理就可以登錄的原因了，但是這兒要注意一點，我說的代理可不是SOCKS代理，之前在博客中看到有好一部分博友在實驗時用SOCKS做代理，我當時就捏了一把汗，微軟的實力不會封不住你SOCKS協議，之所以不做是因爲SOCKS代理非常透明，你的帳戶密碼全都會赤裸裸的暴露在SOCKS代理服務器上，在微軟看來沒有誰會傻到用它來做代理登錄...

在來看個有難度的吧

某天你照往常一樣登錄QQ，同樣出現了連接超時的提示，因爲知道可以用代理上去了，你便不慌不忙的輸入代理地址，可隨後發現，代理也不能上了....

如下圖所示，提示連接超時，這是爲什麼？

如上圖所示，同樣也提示連接超時，不是用代理登錄的嗎？怎麼不行了？有人開始問了。呵呵，別急，這說明QQ通過代理服務器訪問QQ服務器時未能得到響應，很可能是限制登錄QQ服務器域名（也叫簽名）造成的，先來看看是怎麼做到的

首先，新建一條訪問規則，默認允許內網用戶訪問外網，起名叫ISA_Test（自定義）

自定義名稱

選擇爲允許規則

完成新建，下圖

接下來右擊剛纔新建的QQ_Test規則，選擇配置HTTP

在出現的界面中選擇簽名

然後點擊添加，下圖

接下就是關鍵的一步了，還記得之前抓的QQ登錄包不，在來分析分析，下圖

注意觀察，在要連接的IP地址上的紅色深字上，發現什麼沒有？

細心的朋友一定發現了，這兒出現了qzone-client.qq.com等以QQ.com結尾的服務器域名，這個就是問題的關鍵了，很顯然即使通過代理服務器連接仍然露出了蛛絲馬跡，要知道微軟在ISA2004版本以後都支持了HTTP監測的技術，在其中的HTTP簽名選項中，指定這些服務器域名既能達到阻止訪問的目的

我們點擊添加，出現了簽名選項，在其中輸入之前抓到的這些服務器域名，下圖

在添加

加入抓到的另一個服務器域名

在點擊添加，將反覆測試抓到的幾十個服務器域名都填加到其中，這時會有人說了，爲什麼用通配符*，將它加在qq.com的前面，這樣不就省去很大麻煩嗎？

呵呵，可別忘了，這樣一來，就連騰訊官網都訪問不了了,太過分會激起民怨噢~

繼續點擊添加，將所有的服務器域名都寫入其中，這樣通過代理服務器登錄QQ的願望徹底就破滅了

那如此一來你要問我以後是不是就不能上QQ了，呵呵，那倒未必。

主角出場！從上個列子不難看出，被ISA限制的最主要原因就是訪問的QQ服務器域名被嗅探出，那我們要是能在傳輸過程中做層加密不就不會被發現了？答案是肯定的，不過這個發現可不是我，雖然方案提出了，但達成目的的卻少之又少，不是找的加密代理不能用，就是用着用着突然蹦個框來收費，再或者乾脆就是用了幾天居然連QQ號都不見了，爲了彌補這一遺憾，我在此爲大家慷慨解囊，大夥吸收完不回我,可太對不起我了~

先來介紹下涉及到的工具

1.自助衝浪

2.支持上傳CGI、PHP、ASP、JSP的FTP站點

先來說說這自助衝浪吧，好傢伙！超級難找！我百度、谷歌搜了幾百遍居然找不着哪有下？不過功夫不負有心人，終於還是被我找到，不過我不會中飽私囊的，給大家共享了,頁末有下載

首先我們去支持CGI、PHP、ASP、JSP上傳的FTP站點，網上有很多，而且有相當一部分是免費的，註冊好完成後我們來打開自助衝浪

打開後會提示你輸入加密用的口令