作者:大势至 日期:2010-1-25
文章摘要:QQ是如此的成功,想必在企业做网络管理员的朋友们一定有为此烦恼过,我也只是其中一小位;众所周知的,QQ的服务器以及所走的端口都非常的多。所以禁止起来是非常的麻烦。当然,如果你有较多的预算,就直接购买一些网管软件,如国内大名鼎鼎的聚生网管系统(官方网站:http://www.grablan.com),直接在局域网一台PC上安装了聚生网管之后,你就可以点点鼠标勾选所有的聊天软件进行控制。聚生网管可以控制QQ、MSN、网易泡泡、新浪UC、阿里旺旺、skype、yahoo通、ICQ、飞信等等,基本上涵盖了当前所有流行的IM即时通讯聊天软件。如果你的预算不多,那就没办法了,按照下面的土办法来吧,呵呵。
通过第三方嗅探软件,我们可以得知QQ登录的服务器IP和端口列表如下: 181 ; 218.18.95.182 ;218.18.95.183 ;218.18.95.188 ;218.18.95.189 218.18.95.162 ; 218.17.217.106; 211.162.63.24; 219.133.38.9 61.144.238.15; 61.172.249.133; 61.172.249.134
因此可以采用限制端口和服务器IP地址两种方式结合使用。
虽然可以限制QQ,但现在聊天工具很多,还可以使用MSN,UC等聊天工具。所以,你得想办法将这些聊天软件的登录服务器IP地址和端口全部找到,并可以全部封堵。
局域网如何禁止QQ登录?
1.禁止对*.qq.com;*.tencent.com所有端口所有协议的访问
2.还要禁止图片中所列IP的端口. QQ的登陆方式 : UDP方式,目的端口8000 4000=OICQ Client TCP方式,目的端口80 VIP方式,目的端口443
QQ服务器分为三类:
1、UDP 8000端口类7个:速度较快,服务器较多。 QQ上线会向这7个服务器发送UDP数据包,选择回复速度较快的一个作为连接服务器。sz sz2 : 61.144.238.145 146 156 sz3 sz4 sz6 sz7 : 202.104.129.251 254 252 253 sz5 : 61.141.194.203
2、TCP HTTP连接服务器2个,使用HTTP 80端口连接 这2个服务器名字均以tcpconn开头,域后缀是tencent.com,域名与IP对应为 tcpconn tcpconn3 218.17.209.23 tcpconn2 tcpconn4 218.18.95.153 虽然有4个名字,但是只有2个服务器
3、会员VIP登陆服务器,使用HTTP 443安全连接 服务器IP 218.17.209.42
由于第2、3种我这儿无法选择进行登陆,我只是通过反向查询得到了IP及端口,至于第1种我经过了详细的测试,封锁了这7个UDP服务器,QQ是不能登陆的。
Nslookup -querytype=all [url]http://www.tencent.com/[/url] 218.18.95.165 202.96.170.188 202.104.129.246 61.144.238.137 202.96.170.175 202.103.190.61 202.103.149.40 202.103.190.61 202.103.149.40 218.18.95.140 218.18.95.153 61.135.131.240 216.239.33.99 218.17.209.23 202.104.129.251 61.144.238.155 下面QQ登陆服务器地址来源:QQ安装目录下的Config.db文件。
屏蔽QQ登陆服务器地址作用:用户登陆QQ时,会自动把下面这些地址一个个尝试着登陆,只要把这些地址全部加入LAN/INTERNET网关或者代理服务器屏蔽,LAN内用户就不能登陆使用QQ了;也可以把这些地址加入域内安全策略中的“IP安全策略”,并选择BLOCK通讯即能有效作到禁止LAN内用户登陆使用QQ。我选择的是后者。目前还没有发现可以绕过去的LAN内用户,呵呵~~ 设置QQ自带的“网络设置”,填入HTTP或SOCKS代理服务器也不能登陆、使用。除非使用第三方的代理软件如,NEC E-BORDER等,使用支持Anonymous的Socks5代理才有可能绕过去,登陆、使用QQ。――但是这类代理在网上实在是少之又少。普通LAN内用户没有方向和时间去寻找这些代理的。 因此,基本认定上述方法可以有效在LAN内彻底屏蔽QQ。
