设置要求
要求只屏蔽 QQ、TM,不能影响其他网络服务.
环境
本例为本人公司网络真实接入环境,情况如下:
TL-R641G 108M 无线宽带路由器(下文简称“路由器”)
网络岗 企业版
计算机一台(用于安装网络岗,DNS 服务器)
详细步骤
(1) 利用路由器封 UDP 端口
首先我们登陆路由器,安全设置--防火墙设置 (如图 1) 请按照下图设置好。
图 1
点击“IP 地址过滤”—“添加新条目”
在“局域网 IP 地址”中填入你的网段 如 192.168.1.1—192.168.1.255
“局域网端口”中保持为空
“广域网 IP 地址”也保持为空
“广域网端口”填“8000—8000”
协议选择 UDP
通过:禁止通过
状态:生效
记得点“保存” 嘿嘿……(如图 2)
图 2
按上面设置禁止 UDP 4000 端口通过(如图 3)
图 3
最后我们将看到下图的样子(如图 4)
图 4
到了这里,我们的路由器禁止UDP 4000 UDP 8000 端口了。
(2) 建立 DNS 服务器
至于如何添加 DNS 服务器我就不多说了,这里我们看看如何设置 DNS 实现泛解析
*.tencent.com
经分析,QQ 使用了多种登陆方式组合使用,确实很难封锁,现总结如下:
1、 QQ 先解析 7 个服务器的 IP,然后由 4000 端口向这 7 个 IP 的8000 端口发送 UDP
数据包,请求登陆。这 7 个服务器是:s z.tencent.com、s z2.tencent.com、s z3.tencent.com、
sz4.tencent.com、sz5.tencent.com、sz6.tencent.com、sz7.tencent.com。要注意的是,
腾讯公司完全可以使用 DNS 轮循技术,从几十个甚至上百个 IP 中随机返回一个。所以不能
简单地认为只有 7 个IP,这后面可能有一大堆 IP,而且 IP 数字可以不断增加。
2、 如果 UDP 方式都连接不上,QQ 改用TCP 方式发送登陆请求,目标端口为 80 和 443。
经分析,TCP 方式解析 4 个服务器的 IP:tcpconn.tencent.com、tcpconn2.tencent.com、
tcpconn3.tencent.com、tcpconn4.tencent.com。当这 4 个服务器无法登陆,则使用固定的
IP:
219.133.38.132;218.17.209.23;218.17.209.42;218.18.95.165;219.133.49.6;219.133.4
9.8 (如图 5)
图 5
这些固定的 IP 是写在 QQ 的安装文件中的,防止 DNS 解析不到时 QQ 无法登陆。TCP 方式的
连接非常棘手,由于需要允许企业内部用户正常访问其他网站,不可能封住 80/443
端口。
对策:从分析中可以看出,QQ 大部分登陆服务器使用***.tencent.com 这样的二级域名,只
要腾讯公司愿意,这些域名的 IP 可以随时变化,防不胜防。单纯地一个个找 IP 封住并不是
个好主意,太麻烦了。对付 DNS 轮循技术和大量 IP 最简单的办法是在自己服务器上建立 DNS
服务器,负责解析客户机的请求。当客户机查询***.tencent.com 的 IP 时,返回一个错误
的 IP。当查询其他的域名时,由 DNS 服务器去查询网上的其他 DNS 服务器,返回一个正确
的 IP。这样既屏蔽掉了某个域名又不影响其他的域名。剩下的事就简单多了,只需要对付
那几个固定的 IP,拒绝对这几个 IP 的访问就行了。
看了这么多原理,我们正式来设置 DNS 服务器
点开始—程序—管理工具-- DNS 就可以了(如图 6)
(如果没有就需要自己添加了,不要问我如何添加 DNS 服务器呀,小心打你,屁屁,嘿
嘿…………嘿嘿!·)
图 6
我们点 DNS 后会出现这个画面,我们点正向搜索区域按右键--新建区域
图 7
会弹出这个画面,( 如图 8)
图 8
选标准主要区域(P) 点下一步我们输入 tencent.com 就可以了,下一步(如图 9)
图 9
出现这个画面,他会自动帮你取文件名为 tencent.com.dns 没关系,下一步
(如图 10)
图 10
图 11
图 12
到了这一步不要以为好了,这只是搞定了区域而已,还要增加主机
右击刚才我们建立的区域,选择“新建主机”(如图 13)
图 13
其中 IP 地址为 DNS 服务器的 IP 地址,必须为固定 IP,最后点“添加主机”弹出了成功创
建了主机记录
www.tencent.com 确定 呵呵,DNS 服务器马上就要建立好了。
然后重复新建主机 在名称中输入“*”,这是实现泛解析的关键一步(如图 14)
图 14
最后点“添加主机”弹出了成功创建了主机记录*.tencent.com 确定
我们需要解析一下,重新按 tencent.com 按右键,点“属性”
点“名称服务器”, 点中间那个“编辑”按钮,
在服务器名输入
www.tencent.com 并按解析,I P 地址192.168.1.126 会自动跑到列表框中,
在服务器名输入*.tencent.com 并按解析,IP 地址 192.168.1.126 也会自动跑到列表框中
去,呵呵
全部确定,退回桌面,这回才是真正搞定 DNS 解析呢!!哈哈,对了,要记得重起你的爱机。
然后将地址改成你刚建立的 DNS 服务器的地址(我用的是 192.168.1.126)
图 15
开个 DOS 窗口 ,看到了吧,PING
www.tencent.com 的 IP 变成了 192.168.1.126
图 16
PING 任何一个字母也变成了 192.168.1.126,这就是我们要实现的泛解析
图 17
到了这里,我们只要利用《网络岗》禁止 443 端口和几个登陆的 IP 就可以了。
219.133.38.132;218.17.209.23;218.17.209.42;218.18.95.165;219.133.49.6;219.133.4
9.8
测试
看到没有?哈哈……,连接服务器超时,请检查网络!测试通过!
如图 18
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
