突出重围！小Q对你说：“想封我没那么容易！”

                  突出重围！

           小 Q 对你说： “ 想封我没那么容易！ ”

       这两天在博客中看到了很多用 ISA 封杀 QQ 的法子，方法也是层出不穷，而且都很有效，我为管理员欣慰的同时也为因此不能在上 QQ 的朋友表示遗憾，但遗憾归遗憾，俗话说上有对策，下有应策 .... 哈哈，明白我打算干什么了吧，明白了就跟我 Go 吧 .

          先从最基本的开始吧

          某天登录 QQ 发现如下提示

提示说 Windows 无法打开此程序，原因是由一个软件限制策略阻止的，这时候你就得明白，管理员是用了策略的软件哈希规则来限制你的，先来看看他是怎么做的

            首先，你的 PC 大多会在域环境下（愚公除外），因为这样对管理员来说管理会很方便，并且他会把你规划到域中的某个组，这个组针对某一类人，然后他在给这个组新建一条策略，比如用来限制你们登录 QQ

如上图，展开组策略中安全设置的软件限制策略，在其他规则中右击选择新建哈希规则，在出现的界面中选择浏览，加入 QQ 的运行程序 QQ.exe

浏览 QQ 的安装目录，加入 QQ.exe

加入后会在文件哈希的选项框中显示当前版本 QQ 的 MD5 值，下图

有了这个 MD5 值，不管你改动名称也好，重装也好（和之前一样的版本），都会出现无法打开此程序的提示，因为一个程序对应一个 MD5 值，而且此值是唯一的，策略会核对这个唯一的 MD5 值做限制，对与这种初级限制的解决办法非常简单，安装另一个版本的 QQ 即可，这个被限接着换另个版本，要知道互联网日益普及的今天，每天都有新的 QQ 版本出现

        接下来算是中等限制

        某天登录 QQ 发现如下提示

提示说连接超时，排除网络故障外，这就说明管理员在防火墙中做了配置，其一是在防火墙封了 QQ 服务器的 IP 地址，同样看看他是怎样做到的

        这里用企业首选的 ISA 防火墙来做演示，打开 ISA 配置界面，在网络对象中选择新建计算机集

给此集取名叫 QQ_IP ，然后点击添加

出现的下拉菜单中选择计算机，下图

出现如下向导，下图

看明白了吧，问题就在这了，要求输入 IP 地址，这也是费事的地方，管理员需要用抓包工具在 QQ 登录时进行抓包查看连接了哪些 IP 地址，然后逐个手工添加进来，下面我用 Ethereal 演示一下抓包过程，安装几乎一直下一步，完成后运行它

如上图，选择 Option, 选取当前网卡

配置好后就等 Start 了，不过先别着急，把 QQ 准备好后，在点击，等 QQ 登录完成后，就点击 STOP, 随后出现抓包结果，下图

这里面有一部分数据不是我们所需要的，所以选择过滤一下

在Filter中输入dns，回车即可，然后便只剩我们想要的数据包，下图

如上图所示， QQ 用来连接的 IP 地址出现在了列表中，要想抓的更多，你可以这样做

先禁用你的网卡，然后登录 QQ ，在出现的连接超时错误提示中，选择详细信息，这时 QQ 登录所用的服务器名都出现在了文本框中

UDP 、 TCP 的都显示在了列表中

然后打开命令提示符，出入 NSLOOKUP

然后输入上面列表中的登录所连接的服务器名，看看会出现什么，下图

如上图所示，仅一个服务器就出现了 10 多个 IP 地址，是不是觉的很爽，说到这想起来前段时间看到的一位博友也是关于 ISA 限制 QQ 登录的文章，在 UDP 的限制上，他采取了直接封死 8000 端口的办法，我觉得这样做很是不妥，谁都不能保证没有什么服务及软件不会使用 UDP 协议的 8000 端口，建议还是稳妥点好，你可以抓下选择 UDP 登录时的地址包

，用限制 TCP 的方法来限制 UDP 登录，效果完全一样的。

接下来我们回到 ISA 的 IP 地址添加向导中，开始逐个输入抓到的 QQ 服务器 IP, 下图

第一个

第二个

直到添加完所有的 IP 地址，然后开始新建拒绝访问规则，下图

选择新建访问规则

选择拒绝操作，下图

选择所有出站通讯，下图

这时出现访问规则源，选择本地主机和外部

选择访问规则目标，下图，这里就要注意了，选择刚才新建并添加进 QQ 登录 IP 地址的计算机集 QQ_IP

选择所有用户，点击下一步完成新建，下图

这样一来，员工登录 QQ 就会出现之前连接超时的错误了，那么解决办法又是什么呢，呵呵，也不难，用代理服务器登录即可，网上有很多免费的，为什么代理服务器在这里就可以登录了，这还得从基础说起， ISA 刚才所作的配置是封住 QQ 的服务器 IP ，客户端在不使用代理服务器登录时，通讯是直接连往 QQ 服务器 IP 的，这时防火墙会对外出的访问做包监听，所以管理员只要在防火墙中创建规则拒绝本地内网用户访问这些 IP 地址，从而就达到了限制客户端登录 QQ 的目的。

    而通过代理服务器就不一样了，客户端就不会在是直接连往 QQ 服务器的 IP ，它会先连接到代理服务器，然后代理服务器在负责前往 QQ 服务器的 IP ，这样防火墙监听到的包只会是你访问当前代理服务器的地址包，这样就绕过了防火墙，也就是为什么用代理就可以登录的原因了，但是这儿要注意一点，我说的代理可不是 SOCKS 代理，之前在博客中看到有好一部分博友在实验时用 SOCKS 做代理，我当时就捏了一把汗，微软的实力不会封不住你 SOCKS 协议，之所以不做是因为 SOCKS 代理非常透明，你的帐户密码全都会赤裸裸的暴露在 SOCKS 代理服务器上，在微软看来没有谁会傻到用它来做代理登录 ...

       在来看个有难度的吧

       某天你照往常一样登录 QQ ，同样出现了连接超时的提示，因为知道可以用代理上去了，你便不慌不忙的输入代理地址，可随后发现，代理也不能上了 ....

如下图所示，提示连接超时，这是为什么？

如上图所示，同样也提示连接超时，不是用代理登录的吗？怎么不行了？有人开始问了。呵呵，别急，这说明 QQ 通过代理服务器访问 QQ 服务器时未能得到响应，很可能是限制登录 QQ 服务器域名（也叫签名）造成的，先来看看是怎么做到的

首先，新建一条访问规则，默认允许内网用户访问外网，起名叫 ISA_Test （自定义）

自定义名称

选择为允许规则

完成新建，下图

接下来右击刚才新建的 QQ_Test 规则，选择配置 HTTP

在出现的界面中选择签名

然后点击添加，下图

接下就是关键的一步了，还记得之前抓的 QQ 登录包不，在来分析分析，下图

注意观察，在要连接的 IP 地址上的红色深字上，发现什么没有？

细心的朋友一定发现了，这儿出现了 qzone-client.qq.com 等以 QQ.com 结尾的服务器域名，这个就是问题的关键了，很显然即使通过代理服务器连接仍然露出了蛛丝马迹，要知道微软在 ISA2004 版本以后都支持了 HTTP 监测的技术，在其中的 HTTP 签名选项中，指定这些服务器域名既能达到阻止访问的目的

我们点击添加，出现了签名选项，在其中输入之前抓到的这些服务器域名，下图

在添加

加入抓到的另一个服务器域名

在点击添加，将反复测试抓到的几十个服务器域名都填加到其中，这时会有人说了，为什么用通配符 * ，将它加在 qq.com 的前面，这样不就省去很×××烦吗？

呵呵，可别忘了，这样一来，就连腾讯官网都访问不了了 , 太过分会激起民怨噢 ~

继续点击添加，将所有的服务器域名都写入其中，这样通过代理服务器登录 QQ 的愿望彻底就破灭了

那如此一来你要问我以后是不是就不能上 QQ 了，呵呵，那倒未必。

    主角出场！从上个列子不难看出，被 ISA 限制的最主要原因就是访问的 QQ 服务器域名被嗅探出，那我们要是能在传输过程中做层加密不就不会被发现了？答案是肯定的，不过这个发现可不是我，虽然方案提出了，但达成目的的却少之又少，不是找的加密代理不能用，就是用着用着突然蹦个框来收费，再或者干脆就是用了几天居然连 QQ 号都不见了，为了弥补这一遗憾，我在此为大家慷慨解囊，大伙吸收完不回我 , 可太对不起我了 ~

     先来介绍下涉及到的工具

     1. 自助冲浪

     2. 支持上传 CGI 、 PHP 、 ASP 、 JSP 的 FTP 站点

   先来说说这自助冲浪吧，好家伙！超级难找！我百度、谷歌搜了几百遍居然找不着哪有下？不过功夫不负有心人，终于还是被我找到，不过我不会中饱私囊的，给大家共享了 , 页末有下载

     首先我们去支持 CGI 、 PHP 、 ASP 、 JSP 上传的 FTP 站点，网上有很多，而且有相当一部分是免费的，注册好完成后我们来打开自助冲浪

打开后会提示你输入加密用的口令

出现配置界面

CGI 、 PHP 、 ASP 、 JSP 四种任选，这里选择 PHP ，勾选 PHP ，上图

在 PHP 所在目录中输入注册好的 FTP 站点路径，上图

点击生成 PHP ，如上图所示

输入冲浪密钥名称，下图

提示，生成成功！下图

这时在你软件的更目录下出现了生成后的文件，如下图所示

然后选择通过代理访问，点击运行，下图

 

然后我们打开 QQ ， HTTP 代理，地址和端口用默认的 127.0.0.1 和 8088 ，点击登录

如下图，登陆成功

至此，小 Q 突破重重限制来登录的操作算是完成了。兴奋不已的你是不是早已迫不及待？呵呵，那就赶紧试试吧！