ISA禁止skype网络电话的原理

这里讲一个案例：上网环境，ccproxy，局域网内上网用户，只有少部分是不限制的，其余的，要么是没有上网权限，要么是限制部分网站，要么是限制部分资源，或者是综合起来限制，但对于skype的限制，却是一个比较麻烦的事情。

这里讲了一个ISA限制和允许skype的例子：

skype使用非公开的私用协议，并采用P2P模式，这使得允许与限制都相当麻烦。它登录时首先使用UDP，不行再使用TCP随机端口，还不行就使用HTTP和HTTPS（即TCP80和443端口）。有人称之为“网管杀手”，的确如此。

一、测试其使用的端口

1、只开放HTTP协议到外部
结果：有时可以正常登录，通话音质不太好，但大多时候都不能正常工作。
2、只开放HTTPS协议到外部
结果：可以正常登录，也可以正常拨打普通电话，通话音质不太好
3、新建一个协议，暂命名为skype，端口为UDP925发送接收，只开放此协议到外部，skype中指定使用端口925
结果：刚开始无法登录，且显示所在区域为美国。后来有时能登录，有时则不能。不稳定

二、测试其登录时使用的服务器IP

因为其使用随机的TCP端口，且还可以使用TCP80和443，所以在无法限制内网用户只浏览指定网站的情况下，尝试通过限制其登录服务器IP来限制其使用。
在网上搜得其登录服务器的7个IP：
66.235.180.9:33033 sls-cb10p6.dca2.superb.net
66.235.181.9:33033 ip9.181.susc.suscom.net
80.161.91.25:33033 0x50a15b19.boanxx15.adsl-dhcp.tele.dk
80.160.91.12:33033 0x50a15b0c.albnxx9.adsl-dhcp.tele.dk
64.246.49.60:33033 rs-64-246-49-60.ev1.net
64.246.49.61:33033 rs-64-246-49-61.ev1.net
64.246.48.23:33033 ns2.ev1.net
在ISA中新建一个计算机集，将这些IP加进去，暂命名为“skype服务器集”。
开放所有出站到“skype服务器集”
结果：无法登录，且显示所在区域为美国。
这说明这些服务器IP不对
后通过ISA的日志，找到如下IP：
130.111.151.56
130.13.162.207
145.94.38.175
147.156.30.202
163.26.224.60
190.78.215.222
201.192.84.58
203.175.26.165
210.159.184.155
213.103.205.231
222.188.139.232
24.208.192.51
41.201.182.6
41.243.119.56
60.56.66.204
60.56.66.204
67.184.82.132
68.225.209.13
68.34.121.85
69.217.50.192
70.135.126.59
74.195.28.91
75.18.113.60
75.37.131.146
76.110.250.40
76.111.84.229
82.131.80.48
84.101.139.56
84.102.164.192
84.223.160.111
85.139.185.93
85.224.56.239
86.136.102.165
86.7.66.70
87.3.88.101
98.226.114.199
太多了！可能还有许多，看来想通过限制登录服务器IP的方法太麻烦，不现实。

三、结论

估计skype是使用HTTPS协议进行登录验证

通话时skype尝试使用随机的UDP1024以上端口与外界通信，不行就尝试随机的TCP1024以上端口，还不行就使用TCP443端口，最后使用TCP80端口。当然这样会导致音质下降。

四、解决方法

要求：只允许访问某些指定网站，禁skype
方法：只允许HTTP、HTTPS协议，目标为指定的域名集。自然skype也无法访问，这实际上还是通过限制服务器IP来限制skype的登录，从而使其无法使用。

要求：允许访问所有网站，但要禁skype
方法：这个比较难，可以这样试：
（1）第一种方法：允许HTTP、HTTPS协议，目标为外部，但对用户进行限制，即删掉所有用户，添加允许的内网用户（需域支持），同时内网客户端不要安装firewall客户端软件，并在ISA上关闭WEB代理和socks4代理。这是利用skype无法提供用户验证的特性。
（2）第二种方法：使用sniffer，找到skype的签名，使用HTTP过滤进行阻止
这两种方法只是思路，未实际验证过。

要求：只允许skype
方法：在ISA中新建一个协议，命名为skype，端口为UDP925发送接收。只允许此协议和HTTPS协议到外部，skype中指定使用端口925。这样就要开放HTTPS协议，有点遗憾，但只使用HTTPS协议的网站毕竟少；

上述所说的那些，在ISA中可以操作的，在ccproxy中，基本也可以操作，只不过今天限于时间，没有及时测试，暂时收藏记录；
 

另外，在搜索过程中，发现了一些电信运营商在封skype的一些言论，我用的是网通线路，一般也很少用skype，因此，倒是没有遇到过这类现象；