禁止网上聊天有奇招.docVIP

禁止网上聊天有奇招 NETW0RKlNGSoLUTl0NS 妙方解难gt;Solutions@.~tl 编者按:在很多企业里,为了不影响员工正常工作,网管会采取措施禁止员工在工作时间内使用QQ等即时通讯工具进行聊天. 但禁止直接登录容易,禁止它们通过代理登录却很难,特别是由于网络办公需要,员工访问Web又是必需的,很多不自觉的员工会 利用HTTP代理偷偷地使用这些工具,打破了网管对即时通讯工兵的封锁如何才能解决这个难题呢?本文针对此问题,在分析了流 行工具代理方式上网原理的基础上,找到了一种简单易行的解决办法. 禁止网上聊天有奇招 企业网络中,为了禁止员工在上 班时间聊天,管理员一般会在路由器, 网关等出口设备上设定规则,如封锁 TCP协议l863端口限制MSN登录; 封锁UDP协议8000端口限制QQ登 录;或找出QQ,MSN等的登录服务 器IP地址,然后设定规则将发向这些 服务器IP地址的包过滤掉,这些方法 能够限制QQ等的直接登录,但不能限 制这类软件通过代理方式登录,特别 是通过HTTP代理方式登录,更加难 以控制. 代理上网原理分析 即时通讯工具使用代理登录有两 种方式,一种是通过SOCKS代理服务 器登录,另一种是通过HTTP代理服 务器登录. 第一步:即时通讯软件将用户登 录ID,密码,要访问的登录服务器的 IP地址或URL等信息封装在SOCKS 或HTTP数据包中,传给代理服务器. 第二步:代理服务器接到这些数 据包后,从包中提取登录服务器的IP 地址或URL,按照提取的信息,将用 户登录ID,密码等信息发送过去. 第三步:登录服务器接到这些包 后,检查该用户ID和密码是否正确,如 果正确,将把确认信息及其他控制信 息封装在SOCKS或HTTP数据包中, 发回给代理服务器. 第四步:代理服务器收到返回的 数据包,将这些数据包传到用户的计 算机.用户计算机上的即时通讯软件 收到发回的确认包后,成功登录. 146电脑时空2006年6月 经过以上四步登录成功 后,即时通讯软件就可通过 代理服务器发送,接收聊天 信息了. 封堵原理 从以上的原理分析来 看,即时通讯软件要想通过 代理服务器成功登录,必须 要告诉代理服务器所要登录 服务器的IP地址或URL,这 样代理服务器才能将登录信 息正确的传送过去.如果设 法让代理服务器无法接收到 含有登录服务器IP地址或 URL信息的数据包,代理服 务器就不知道该将用户ID, 密码信息送到哪里了,这样 即时通讯软件用户就不能成 登录服务器 文/藤红春 代理服务器 功登录,也就不能通过代理方式使用 即时通讯软件了. 通过抓包分析发现,即时通讯软 件不论是采用SOCKS还是采用HrrP 代理方式登录,其登录服务器IP地址 或URL都被封装在发往代理服务器的 前几个数据包中,并且SOCKS方式和 HTTP方式都是在相同服务器上登录 的,以明文字符串形式封装在SOCKS 或HTTP数据包中.以下给出六种流行 工具登录服务器IP地址或URL信息: ICQxy.icq.corn/hello MSN7.0:loginnet.passport.corn QQ:tcpconn.tencent.corn UC:TCPC0NN.5lUC.COM 网易泡泡:220.181.28(+) 雅虎通:shttp.msg.yahoo.corn 注:网易泡泡的登录服务器信息 是直接用lP地址给出的,不像其他几个 软件用的是UgL,其服务器地址在220. 181.28网段中. 因为这些IP或URL信息是封装在 HTTP协议或SOCKS协议中的明文信 息,所以只要找出这些信息,并将含有 这些信息的数据包过滤掉,代理服务 器就无法帮助聊天软件登录了. 由上面的原理分析可以看到,只 要网关,路由器,防火墙支持字符串过 滤功能,把上面列出的关键字信息加 到网关,路由器,防火墙的字符串过滤 规则中,就可以完全禁止通过代理使 用这些工具了. 封堵方法 大部分中低档网关,路由器,防火 墙并不支持字符串过滤功能,硬件防 火墙或高档路由器虽然支持这种功能, 但它们的价格实在是太过昂贵,在企 业网络中很少使用它们. 那么如何才能用最小的代价实现 字符串过滤功能呢?用一个插上多块 网卡的PC机,装上Linux系统,启动 路由和包传发功能,利用Linux本身自 带的Netfilter/IPtables做一个透明网 关,使用IPTABLES的字符串过滤模 块可以实现上述功能.新做的透明网 关可以完全代替原来连接内网与外网 的路由器等,也可以将其放在内网与 路由器之间,当成一个包过滤防火墙 使用. 由于Linux具有强大的网络功能, 再加上其本身自带的IPTABLES具有 防火墙与网络地址转换等功能,在此 基础上构建的透明网关性价比非常高, 非常