coyote可以控制应用层协议版本阻止QQ设置文件

心想事成 · 发表于 2004-11-14 10:44:36

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

coyote可以控制应用层协议版本阻止QQ设置文件修改版本见：http://www.routerclub.com/ipb/index.php?showtopic=3707将此文件拷入/etc/l7-protocols目录中。再运行命令：

CODE
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -j DROP
注意：此为测试版本，可以封锁所有的QQ版本登录,但是因为QQ协议的特征太少,请大家测试是否对其它的协议有干扰。

DreamCat · 发表于 2004-11-14 11:53:17

晚上弄~~

smile787 · 发表于 2004-11-14 17:13:52

有时间要试试～现在帮不了测试～～～

心想事成 · 发表于 2004-12-2 19:48:13

网上介绍的阻止QQ的办法都是通过封锁服务器IP的的方式。如果QQ用户使用代理的话，而且又使用tcp方式登录的话，完全没有办法封住的。现在用l7来封锁，不管它怎么用代理，QQ底层的协议它是没有办法改变的。所以从根本上封住了QQ。

chen_2004 · 发表于 2004-12-10 13:06:51

期待这您的成果！

soft_route · 发表于 2004-12-10 13:30:36

顶！

心想事成 · 发表于 2004-12-13 17:38:12

顶一下！

DreamCat · 发表于 2004-12-13 17:58:49

顶一下，用CL都来测试一下~~~！惭愧，我一直没测试呢。最近很忙，维修活压的太多了。

netwolf · 发表于 2004-12-14 15:20:19

我的2004 sp1可以上

easehu · 发表于 2004-12-14 20:58:24

这个东西的工程就大了啊，需要每个版本都抓包，还要比较，郁闷。应用层的就是比较麻烦！~~

心想事成 · 发表于 2004-12-16 09:44:08

经过仔细研究，发现规律如下：如果QQ用UDP协议登录，则数据结构如下：第一字节： 02 （固定值）第二、三字节： xx xx (xx为变量，值为当前QQ的版本号）第四、五字节： 00 xx （xx为变量，值为控制命令，如果登录、发送信息、搜索、退出等）第六、七字节 xx xx （也为变量，值为包的序号）第八、九、十、十一字节 xx xx xx xx （为QQ号的十六进制值，如你的QQ号码为：156725349，则十六进制值为09 57 70 65)TCP协议也是基本上一样，只是在最前面多了两字节。

心想事成 · 发表于 2004-12-16 09:49:25

其实layer-7使用的配置文件就是正则表达式，大家可以搜索一下这个东西。用正则表达式来表达某一种协议的固有特征，从而来block掉指定的东西。我写了个qq的udp协议的正式表达式，不知道能不能行。

CODE
^\x02..[\x01\x02\x04\x05\x06\x09\x0a\x0b\x0d\x12\x16\x17\x1a\x1c\x1d\x22\x26\x27\x30\x80\x81]

心想事成 · 发表于 2004-12-16 09:52:38

好东西，不错。

心想事成 · 发表于 2004-12-16 16:11:29

重新更新,现在可以阻止掉所有的QQ登录,就算使用代理也不能登录了.我现已将此功能添加到了修改版本中了.

账号		自动登录	找回密码
密码			注册

[coyote] coyote可以控制应用层协议版本阻止QQ设置文件

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。