想请教一下，最近ARP功击病毒很多，想在防火墙封QQ，QQ用的端口挺多,谢谢大家帮忙

lipman · 发表于 2006-8-29 14:49:39

想请教一下，最近ARP功击病毒很多，想在防火墙封QQ，QQ用的端口挺多

wwwang · 发表于 2006-8-29 18:41:38

qq登陆方式有三种，tcp登陆，udp登陆，vip登陆(在qq登陆设置可查)

应该说用任何方式登陆都要经过一定的ip和端口进行的，我发现tcp方式登陆的一般都是用以下几个地址和端口:218.18.95.153:80，218.17.209.23:80，可能还有很多ip可以登陆，但我想应该都是通过tcp的80端口登陆的，只要禁止了tcp的80端口就可以禁止tcp方式的登陆了，但大家要注意一个事实，tcp的80端口也是浏览网站的默认端口啊，屏蔽了它是不能上网浏览网页啊，所以只能封登陆的ip地址了。

udp登陆有:61.144.238.145:8000,202.104.129.254(253):8000，可能还有很多ip可以登陆，但我想应该都是通过udp的8000端口登陆的，只要禁止了udp的8000端口就可以禁止udp方式的登陆了。

vip登陆有(会员登陆用):21817.209.42:443(ssl的端口)，这个也是使用tcp方式登陆了，可能还有很多ip可以登陆，但我想应该都是通过tcp的443端口登陆的，只要禁止了tcp的443端口就可以禁止会员的tcp方式的登陆了。

综上所述，终结方法为(已经成功测试过)

tcp方式登陆:

封掉(218.18.95.1-218.18.95.255)和(218.17.209.23)这些ip地址的任何端口的连接访问，其中(218.18.95.1-218.18.95.255)这段地址里就有tcp方式登陆的地址，其中有218.18.95.153，218.18.95.221，还有的我就不想再测试了，那位有时间的话，可以测试的准确一点，不然的话(218.18.95.1-218.18.95.255)这段ip里可能有一些网站就不能访问了，还有就是qq的服务器应该还在不断增加，它们的ip会不断的增多，以后只有考大家了。

udp方式登陆:封掉8000端口就行了

vip方式登陆:封掉443端口的连接就可以了(这个我具体没有试过，因为我不是会员，不知道还有什么端口可以登陆到vip会员的服务器。

代理登陆:基本上没办法，只能见一个封一个

具体做法就是"IP Packet Filters"新建Filter，大家可以验证!封锁msn的原理相同

msn服务器地址

65.54.225.254
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247

qq服务器地址

219.133.40.15
218.17.209.23
202.104.129.252
218.18.95.153
202.104.129.251
61.144.238.145
202.104.129.253
61.141.194.203
202.104.129.254
218.18.95.165
61.144.238.146
219.133.40.91
211.248.99.252
218.17.217.66
61.144.238.156
219.133.40.89
219.133.40.115
219.133.40.90
219.133.40.113
219.133.40.114
210.22.12.126
61.141.194.223
61.172.249.135
202.104.128.233
202.96.170.164
218.17.217.103
218.66.59.233
61.141.194.207
202.96.170.163
202.96.170.166
202.96.140.18
202.96.140.119
202.96.140.8
202.96.140.12

天蓝 · 发表于 2006-8-29 22:18:14

防火墙封QQ 与 ARP 攻击有什么关系？

zmc837 · 发表于 2006-8-30 08:28:38

学习，顺便问一句，一般木马用的是什么协议tcp还是udp，我想进行一些acl设置，但苦于不知道用的是什么协议，所以迟迟不敢动手！

lipman · 发表于 2006-8-30 09:08:44

谢谢wwwang，说的很详细。因为我们公司许多员工喜欢使用qq，所以员工喜欢用qq聊天收东西，现在的文件中时常带有病毒。而最近我们公司内部arp功击特多。

bolly_zhang · 发表于 2006-8-30 09:13:48

原帖由 wwwang 于 2006-8-29 18:41 发表
qq登陆方式有三种，tcp登陆，udp登陆，vip登陆(在qq登陆设置可查)

应该说用任何方式登陆都要经过一定的ip和端口进行的，我发现tcp方式登陆的一般都是用以下几个地址和端口:218.18.95.153:80，218.17.209.23:8 ...

你这个帖子太老了，根本不管用

rfc126 · 发表于 2006-8-30 09:29:33

用SNIFFER 抓包看是用的什么断口或IP服务器

阿多 · 发表于 2006-11-19 00:50:21

QQ和MSN的现在的版本，如果标准端口被封，会走80端口，你不可能把80也封掉，那大家连网页也都打不开了。

所以解决之道不是封端口，而是封MSN和QQ的登陆服务器。

QQ的登陆认证服务器用QQ本身就可以看到IP。
MSN的登陆认证是访问域名的。抓包看他访问的什么域名。把这个域名封掉。（在路由器上封URL）

[ 本帖最后由阿多于 2006-11-19 15:31 编辑 ]

XHR · 发表于 2006-11-19 02:04:27

封端口室封不掉的!
QQ支持TCP和UDP两种登陆方式,如果将常用的QQ端口封掉,从TCP的80端口还是可以的!
建议把QQ的地址从服务器网关的HOST文件里指向本地!

阿多 · 发表于 2006-11-19 15:26:16

原帖由 XHR 于 2006-11-19 02:04 发表
封端口室封不掉的!
QQ支持TCP和UDP两种登陆方式,如果将常用的QQ端口封掉,从TCP的80端口还是可以的!
建议把QQ的地址从服务器网关的HOST文件里指向本地!

服务器网关的HOST文件? 是说运行NAT的服务器上修改HOSTS文件。这个没意义的。客户段是可以直接访问外部DNS来解析的。
就算是使用网关做DNS。跟服务器上的这个HOSTS文件也是没关系的。再说有些是用路由器上面没有HOSTS文件可以修改的。何况QQ根本不用DNS解析的！

附件是MSN8。O的DNS请求。可以看到需要访问多个域名。比如LOGIN。LIVE。COM 还有HOTMAIL的域名等。在路由器上把这几个URL封掉。MSN就不能通过验证了。当然也就无法登陆了。

PS：
1。有的时候网页无法打开，MSN也无法登陆，但QQ可以登陆，就是因为QQ不通过DNS而是直接用IP去连接QQ服务器。（你可以把自己机器上的DNS设置个错误的，但QQ还能登陆）
所以封QQ要封IP。

2。不要试图把MSN的域名解析出来的IP封掉。因为微软应该是使用得DNS轮训的方式来做负载均衡。就是一个域名下会对应多个IP （多个服务器），所以封MSN要封域名。

[ 本帖最后由阿多于 2006-11-19 15:29 编辑 ]

jxj0918 · 发表于 2006-12-21 14:37:07

重新看帖子之后才发现这真的好老啊科来现在有QQ的过滤器等了。

rixtdm · 发表于 2006-12-21 15:18:02

呵呵，要封闭QQ单纯的靠IP和端口更本无法彻底的禁止的。决绝的办法就是找个可以对应用层进行
过滤的网络设备，如UTM防火墙。现在不少UTM防火墙都可以禁止聊天工具或BT这类，靠普通方法无法禁止的通讯。

想请教一下，最近ARP功击病毒很多，想在防火墙封QQ，QQ用的端口挺多,谢谢大家帮忙

网上资料给你参考一下

建议

本帖子中包含更多资源