扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
关于防火墙
对外网用户而言,你的防火墙如果不接受主动连接,麻烦大了:标准模式 FTP 客户端无法在此环境中运行,因为 FTP 服务器必须向 FTP 客户端发出新的连接请求。
对服务器而言,防火墙管理员可能不希望使用 PASV FTP 服务器,因为 FTP 服务器可以打开任何短暂端口号,如果防火墙配置允许未经请求的连接完全访问所有的短暂端口,则可能会是不安全的。
小技巧,IE默认使用主动方式发起连接,要想使用被动方式,需要设置
IE-工具-Internet 选项-高级
在浏览下面,单击“为 FTP 站点启用文件夹视图”复选框,将其清除。
单击“使用被动 FTP(为防火墙和 DSL 调制解调器兼容性)”复选框,将其选中。
单击确定。
如果选中了“为 FTP 站点启用文件夹视图”复选框,Internet Explorer 的表现就会像“标准”
模式 FTP 客户端一样,即使您还选中了“使用被动 FTP”复选框也是如此。如果您清除了“为FTP 站点启用文件夹视图”复选框,然后选中“使用被动 FTP”复选框,Internet Explorer 的表现就会像“被动”模式 FTP 客户端一样。
进入论坛讨论。
继续实验:简单分析QQ登陆方式
1,关闭DNS之后
在NAT上关闭DUP53端口出站后QQ依然能登录服务器,这也是有些用户判断DNS解析是否正常的一种手段,显示服务器地址是218.18.95.221
二、QQ3种登录方式
新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。本文利用SNIFFER PRO工具监视QQ登录全过程,为了让大家更好的理解QQ登录过程,抓包过程结合防火墙技术,每出现一种登录方式先抓取报文,然后用防火墙关闭该通道,这样QQ就会自动选择其它方式试图登录服务器,反复如此就可以弄清楚QQ所有登录方式和QQ服务器的地址及端口。
1 登录速度最快的UDP方式
报文中61.53.187.229是本地IP地址,219.157.70.130是ISP的DNS服务器IP地址。从报文中可以看到QQ 首先发出7个DNS解析请求,并且顺利获得了相应IP:
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
以上IP也可以通过PING 域名的方法得到。接着,QQ向这7个服务器中的3个发送UDP数据包,它们是发送到
202.104.129.254 的 UDP 数据包
202.104.129.252 的 UDP 数据包
61.144.238.146 的 UDP 数据包
如果服务器在5秒中没有回应,就发如下UDP数据包
202.104.129.251 的 UDP 数据包,
61.141.194.203 的 UDP 数据包,
61.144.238.145 的 UDP 数据包,
再过5秒后发送到 202.104.129.253 的 UDP 数据包
在此过程中如果服务器有回复,QQ选择回复速度最快的一个作为连接服务器,图QQ1中显示分别得到了SZ4/SZ7/SZ6.tencent.com的回应,QQ选择SZ4.tencent.com作为登录服务器。。通过分析可以知道,如果防火墙不允许QQ走UDP方式,那么QQ至少需要10秒才能登录服务器。图QQ1报文清晰的显示本地端口是4000,目的端口是8000。为了以后的实验,这里设置防火墙拦截发往以上7个IP地址的8000端口的UDP数据包。拦截后再也没有发现新的UDP服务器地址。
2 通过80端口的TCP方式
防火墙拦截UDP数据包后,QQ登录服务器的报文。从图中可以看出几点变化:
域名 从类似sz?.tencent.com 改为tcpconn?.tencent.com
协议 不再是UDP而是TCP
端口 目标端口80,本地端口1042(不固定1024-65534)
80端口是HTTP协议默认的端口,浏览网页一般都是走80端口,许多防火墙允许用户浏览网页,所以80端口获准允许通过。tcpconn.tencent.com域名对应的IP是218.17.209.23,继续做实验,发现如下域名与IP对应关系:
tcpconn.tencent.com 218.17.209.23
tcpconn3.tencent.com 218.17.209.23
tcpconn2.tencent.com 218.18.95.153
tcpconn4.tencent.com 218.18.95.153
虽然有4个域名,但是只有2个服务器IP。
3 通过443端口的TCP方式
继续实验,用防火墙拦截上面提到的服务器80端口通道,继续探索QQ的登录方式。
QQ是通过TCP协议连接到服务器的443端口,443是HHTPS协议的默认端口,HTTPS也是提供用户网页浏览服务的,不过是加密了。
图QQ3中看到的QQ服务器IP是218.18.95.153,实验中还发现218.17.209.23也可以提供服务。反复实验只发现这两个IP地址。
,把实验环境换到WINDOWS 2000做NAT方式下的网络中,防火墙安装在服务器上,封堵上面提到的IP和相应端口。局域网内部所有QQ用户都无法登录服务器了。也可以把这些地址加入安全策略中的“IP安全策略”,并选择BLOCK通讯即能有效作到禁止LAN内用户登陆使用QQ。
还有一类软件需要提一下,就是以MYIM为代表的兼容多种即时通信软件的聊天软件。MYIM可以在QQ卸载后独立运行,而且可以使用多个QQ帐号登录,是不是它的登录过程不同于QQ呢?实验中安装最新版的MYIM (版本:MyIM 1.0 Beta build 0225),防火墙成功的封堵了MYIM的登录,这也好理解,毕竟QQ服务器是相同的。
4 用防火墙封QQ广告
流行的木子版QQ客户端具备去广告功能,本文提供另外的方法,使用防火墙也可以达到禁止QQ广告的目的。用防火墙拦截所有来自下面网址的数据报文,QQ就无法访问服务器的广告网页了。这些地址是QQ成功登录后在QQ通讯过程中通过SNIFFER PRO抓到的。
61.172.249.133
61.172.249.134
61.172.249.135
218.17.217.105
218.17.217.106
219.133.40.154
219.133.40.152
219.133.40.153
219.133.40.155
219.133.40.15 qqshow-ufs.tencent.com
219.133.40.157 qqring.clent.tencent.com
不过,QQ仍然弹出系统消息等窗口也非常讨厌,找到QQ的安装目录(默认在C:\Program Files\Tencent\qq),把其中的可执行文件QQexternal.exe文件改名为QQexternalb.exe。再登录QQ就没有窗口弹出来了。以上实验在腾讯QQ2003III Build0117简体中文版下通过。
5 关于QQ安装目录下的Config.db文件
用记事本打开Config.db文件,发现跟上面提到的域名极为相似的域名:
61.144.238.146:8000
sz.tencent.com:8000
sz2.tencent.com:8000
sz3.tencent.com:8000
sz4.tencent.com:8000
sz5.tencent.com:8000
sz6.tencent.com:8000
sz7.tencent.com:8000
tcpconn.tencent.com:80
tcpconn2.tencent.com:80
tcpconn3.tencent.com:80
tcpconn4.tencent.com:80
tcpconn2.tencent.com:80
tcpconn3.tencent.com:80
tcpconn4.tencent.com:80
http2.tencent.com:80
http.tencent.com:443
也许这就是QQ记录服务器地址的文件,不过,最后两项用普通QQ帐号没有涉及到,根本就没有发起连接包。也许是收费用户的服务器吧,这里也提供出他们的IP地址:
http.tencent.com 218.17.209.42
http2.tencent.com 61.144.238.149
结束语
如果腾讯增加新的QQ服务器,QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER等,支持Anonymous的Socks5代理还是可能绕过去,登陆使用QQ。
进入论坛讨论。
终结实验,温故知新,网关的作用
在实验中,利用ping命令来检验主机间能否进行正常的双向通信。在“ping”的过程中,源主机向目标主机发送ICMP的Echo Request报文,目标主机收到后,向源主机发回ICMP的Echo Reply报文,从而可以验证源与目标主机能否进行正确的双向通信。
A与B为实验用的PC机,使用Windows2000 Professional作操作系统。
实验方案:
步骤1:
设置两台主机的IP地址与子网掩码:
A: 10.2.2.2 255.255.254.0
B: 10.2.3.3 255.255.254.0
两台主机均不设置缺省网关。
用arp -d命令清除两台主机上的ARP表,然后在A与B上分别用ping命令与对方通信,在A与B上分别显示,
A: Reply from 10.2.3.3: bytes=32 time<10ms TTL=128
B: Reply from 10.2.2.2: bytes=32 time<10ms TTL=128
用arp -a命令可以在两台PC上分别看到对方的MAC地址。
分析:由于主机将各自通信目标的IP地址与自己的子网掩码相“与”后,发现目标主机与自己均位于同一网段(10.2.2.0),因此通过ARP协议获得对方的MAC地址,从而实现在同一网段内网络设备间的双向通信。
步骤2:
将A的子网掩码改为:255.255.255.0,其他设置保持不变。
操作1:用arp -d命令清除两台主机上的ARP表,然后在A上ping B,在A上显示结果为:Destination host unreachable
用arp -a命令在两台PC上均不能看到对方的MAC地址。
分析1:A将目标设备的IP地址(10.2.3.3)和自己的子网掩码(255.255.255.0)相“与”得10.2.3.0,和自己不在同一网段(A所在网段为:10.2.2.0),则A必须将该IP分组首先发向缺省网关。由于A的缺省网关没有配置,无法对分组进行正确发送,因此显示“目标主机不可到达”。
操作2:接着在B上ping A,在B上显示结果为:Request timed out
此时用arp -a命令可以在两台PC上分别看到对方的MAC地址。
分析2:B将目标设备的IP地址(10.2.2.2)和自己的子网掩码(255.255.254.0)相“与”,发现目标主机与自己均位于同一网段(10.2.2.0),因此,B通过ARP协议获得A的MAC地址,并可以正确地向A发送Echo Request报文。但由于A不能向B正确地发回Echo Reply报文(原因见分析1),故B上显示ping的结果为“请求超时”。在该实验操作中,通过观察A与B的ARP表的变化,可以验证:在一次ARP的请求与响应过程中,通信双方就可以获知对方的MAC地址与IP地址的对应关系,并保存在各自的ARP表中。
步骤3:
在前面实验的基础上,把A的缺省网关设为:10.2.2.1,网关的子网掩码为:255.255.0.0。
在A与B上分别用ping命令与对方通信,各自的显示结果为:
A: Reply from 10.2.3.3: bytes=32 time<10ms TTL=128
B: Reply from 10.2.2.2: bytes=32 time<10ms TTL=127
在A与B上分别用tracert命令追踪数据的传输路径,结果分别为:
A: tracert 10.2.3.3
Tracing route to 10.2.3.3 over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 10.2.2.1
2 <10 ms <10 ms <10 ms 10.2.3.3
Trace complete.
B: tracert 10.2.2.2
Tracing route to 10.2.2.2 over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 10.2.2.2
Trace complete.
分析:如步骤2中的分析,由于A认为B与其不在同一个网段,故从A发向B的报文需要经过网关转发;而B认为A与其在同一个网段,故B不需要经过网关直接向A发送报文,从而可以观察到A与B双向通信时传输路径的不对称性。由于ping命令结果显示的是从目标主机返回的Echo Reply报文的TTL的值,而B收到从A返回的Echo Reply报文经过了网关的转发,所以在B中显示该IP报文的TTL值降为了127(从A发出的IP分组的TTL的初始值为128,每经过一个网关,TTL值减1)。
步骤4:
用arp -d命令清除A中的ARP表,在A上ping一台外网段的主机,如中大的WWW Server(202.116.64.8),再用arp -a可观察到A的ARP表中只有缺省网关的MAC地址信息。
分析:当源主机要和外网段的主机进行通信时,它并不需要获取远程主机的MAC地址,而是把IP分组发向缺省网关,由网关IP分组的完成转发过程。如果源主机没有缺省网关MAC地址的缓存记录,则它会通过ARP协议获取网关的MAC地址,因此在A的ARP表中只观察到网关的MAC地址记录,而观察不到远程主机的MAC地址。
步骤5:
使用典型的NAT结构
ADSL----NAT(10.41.221.2/24)-----PC
在PC上做如下改变:
网关:无网关/网关为自己/网关为未使用的本网段IP/网关为未使用的网段IP(10.42.22.10或/11.22.33.44)
Y表示能通讯,N表是不能建立通讯
改变MASK 内部 外部
10.41.221.10/24/30/16 Y N
10.41.222.10/8/24/16/25 N N
网关为10.41.221.2/24
改变MASK 内部 外部
10.41.221.10/24/30/16 Y Y
10.41.222.10/8/24/16/25 N N
网关为10.41.221.2/255.255.0.0
改变MASK 内部 外部
10.41.221.10/24/30/16 Y Y
10.41.222.10/8/16/24/25 Y Y
以最后一个例子分析,当PC的MASK设置为8和24时,虽然它们都可以上网,但是走路的方式1却不同
以8位做MASK时,10.41.222.10经过与运算认为10.41.221.2在一个网段,于是直接发起连接,经过NAT,回应的报文经过10.41.221.2时,它经过运算也认为PC在自己的网段,通讯就建立了。
以24位做MASK时,PC10.41.222.10经过与运算认为10.41.221.2不在一个网段,于是发起ARP请求得到网关的MAC,并把报文发送给网关,经过NAT,回应的报文经过10.41.221.2时,它经过运算认为PC在自己的网段,通讯就建立了。
复习麦子的帖子:在MS系统中设置网关的效果:
1.不设网关.............................不向本网段以外的地址发包
2.网关设为自己..........................proxy arp, 对任何地址发ARP请求,路由器响应
3.网关设为路由器地址...................普通模式,PC ARP解释路由器地址,然后跨网段数据包交路由器转发
4.网关设为未使用的本网段地址...........普通模式,PC ARP解释路由器地址,失败,无法跨网段访问
5.网关设为非本网段地址.................proxy arp, 对任何地址发ARP请求,路由器响应
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。