|
 | 作者: tuzi [tuzi]
 版主 |
登录 |
| 1,关闭DNS之后 在NAT上关闭DUP53端口出站后QQ依然能登录服务器,这也是有些用户判断DNS解析是否正常的一种手段,显示服务器地址是218.18.95.221 二、QQ3种登录方式 新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。本文利用SNIFFER PRO工具监视QQ登录全过程,为了让大家更好的理解QQ登录过程,抓包过程结合防火墙技术,每出现一种登录方式先抓取报文,然后用防火墙关闭该通道,这样QQ就会自动选择其它方式试图登录服务器,反复如此就可以弄清楚QQ所有登录方式和QQ服务器的地址及端口。 1 登录速度最快的UDP方式 报文中61.53.187.229是本地IP地址,219.157.70.130是ISP的DNS服务器IP地址。从报文中可以看到QQ 首先发出7个DNS解析请求,并且顺利获得了相应IP: sz.tencent.com 61.144.238.145 sz2.tencent.com 61.144.238.146 sz3.tencent.com 202.104.129.251 sz4.tencent.com 202.104.129.254 sz5.tencent.com 61.141.194.203 sz6.tencent.com 202.104.129.252 sz7.tencent.com 202.104.129.253 以上IP也可以通过PING 域名的方法得到。接着,QQ向这7个服务器中的3个发送UDP数据包,它们是发送到 202.104.129.254 的 UDP 数据包 202.104.129.252 的 UDP 数据包 61.144.238.146 的 UDP 数据包 如果服务器在5秒中没有回应,就发如下UDP数据包 202.104.129.251 的 UDP 数据包, 61.141.194.203 的 UDP 数据包, 61.144.238.145 的 UDP 数据包, 再过5秒后发送到 202.104.129.253 的 UDP 数据包 在此过程中如果服务器有回复,QQ选择回复速度最快的一个作为连接服务器,图QQ1中显示分别得到了SZ4/SZ7/SZ6.tencent.com的回应,QQ选择SZ4.tencent.com作为登录服务器。。通过分析可以知道,如果防火墙不允许QQ走UDP方式,那么QQ至少需要10秒才能登录服务器。图QQ1报文清晰的显示本地端口是4000,目的端口是8000。为了以后的实验,这里设置防火墙拦截发往以上7个IP地址的8000端口的UDP数据包。拦截后再也没有发现新的UDP服务器地址。 2 通过80端口的TCP方式 防火墙拦截UDP数据包后,QQ登录服务器的报文。从图中可以看出几点变化: 域名 从类似sz?.tencent.com 改为tcpconn?.tencent.com 协议 不再是UDP而是TCP 端口 目标端口80,本地端口1042(不固定1024-65534) 80端口是HTTP协议默认的端口,浏览网页一般都是走80端口,许多防火墙允许用户浏览网页,所以80端口获准允许通过。tcpconn.tencent.com域名对应的IP是218.17.209.23,继续做实验,发现如下域名与IP对应关系: tcpconn.tencent.com 218.17.209.23 tcpconn3.tencent.com 218.17.209.23 tcpconn2.tencent.com 218.18.95.153 tcpconn4.tencent.com 218.18.95.153 虽然有4个域名,但是只有2个服务器IP。 3 通过443端口的TCP方式 继续实验,用防火墙拦截上面提到的服务器80端口通道,继续探索QQ的登录方式。 QQ是通过TCP协议连接到服务器的443端口,443是HHTPS协议的默认端口,HTTPS也是提供用户网页浏览服务的,不过是加密了。 图QQ3中看到的QQ服务器IP是218.18.95.153,实验中还发现218.17.209.23也可以提供服务。反复实验只发现这两个IP地址。 ,把实验环境换到WINDOWS 2000做NAT方式下的网络中,防火墙安装在服务器上,封堵上面提到的IP和相应端口。局域网内部所有QQ用户都无法登录服务器了。也可以把这些地址加入安全策略中的“IP安全策略”,并选择BLOCK通讯即能有效作到禁止LAN内用户登陆使用QQ。 还有一类软件需要提一下,就是以MYIM为代表的兼容多种即时通信软件的聊天软件。MYIM可以在QQ卸载后独立运行,而且可以使用多个QQ帐号登录,是不是它的登录过程不同于QQ呢?实验中安装最新版的MYIM (版本:MyIM 1.0 Beta build 0225),防火墙成功的封堵了MYIM的登录,这也好理解,毕竟QQ服务器是相同的。 4 用防火墙封QQ广告 流行的木子版QQ客户端具备去广告功能,本文提供另外的方法,使用防火墙也可以达到禁止QQ广告的目的。用防火墙拦截所有来自下面网址的数据报文,QQ就无法访问服务器的广告网页了。这些地址是QQ成功登录后在QQ通讯过程中通过SNIFFER PRO抓到的。 61.172.249.133 61.172.249.134 61.172.249.135 218.17.217.105 218.17.217.106 219.133.40.154 219.133.40.152 219.133.40.153 219.133.40.155 219.133.40.15 qqshow-ufs.tencent.com 219.133.40.157 qqring.clent.tencent.com 不过,QQ仍然弹出系统消息等窗口也非常讨厌,找到QQ的安装目录(默认在C:\Program Files\Tencent\qq),把其中的可执行文件QQexternal.exe文件改名为QQexternalb.exe。再登录QQ就没有窗口弹出来了。以上实验在腾讯QQ2003III Build0117简体中文版下通过。 5 关于QQ安装目录下的Config.db文件 用记事本打开Config.db文件,发现跟上面提到的域名极为相似的域名: 61.144.238.146:8000 sz.tencent.com:8000 sz2.tencent.com:8000 sz3.tencent.com:8000 sz4.tencent.com:8000 sz5.tencent.com:8000 sz6.tencent.com:8000 sz7.tencent.com:8000 tcpconn.tencent.com:80 tcpconn2.tencent.com:80 tcpconn3.tencent.com:80 tcpconn4.tencent.com:80 tcpconn2.tencent.com:80 tcpconn3.tencent.com:80 tcpconn4.tencent.com:80 http2.tencent.com:80 http.tencent.com:443 也许这就是QQ记录服务器地址的文件,不过,最后两项用普通QQ帐号没有涉及到,根本就没有发起连接包。也许是收费用户的服务器吧,这里也提供出他们的IP地址: http.tencent.com 218.17.209.42 http2.tencent.com 61.144.238.149 结束语 如果腾讯增加新的QQ服务器,QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER等,支持Anonymous的Socks5代理还是可能绕过去,登陆使用QQ。 文章著者:hhstar 来源:netbuddy |
| 地主 发表时间: 04-05-09 10:46 |
 | 回复: yugang110 [yugang110]  论坛用户 |
登录 |
|
看的我的头都大了啊 |
| B1层 发表时间: 04-05-09 11:27 |
| 回复: tuzi [tuzi] 版主 |
登录 |
|
这篇好帖子竟然没人顶 晕死 |
| B2层 发表时间: 04-05-09 21:06 |
 | 回复: Achieve [achieve]  版主 |
登录 |
|
不错,太好了 |
| B3层 发表时间: 04-05-10 13:26 |
 | 回复: friendship [friendship] 论坛用户 |
登录 |
|
Very Very Good!~~ 收藏了! |
| B4层 发表时间: 04-05-11 12:51 |
| 回复: lobam [xx_js] 论坛用户 |
登录 |
 |
| B5层 发表时间: 04-05-13 12:30 |
 | 回复: christ_ns [christ_ns]  论坛用户 |
登录 |
|
有点晕 |
| B6层 发表时间: 04-06-04 01:02 |
 | 回复: battle [battle]  论坛用户 |
登录 |
|
厉害 |
| B7层 发表时间: 04-06-04 03:21 |
 | 回复: rambo [rambo] 论坛用户 |
登录 |
|
顶一下 |
| B8层 发表时间: 04-06-05 16:33 |
 | 回复: clark008 [clark008] 论坛用户 |
登录 |
|
|
| B9层 发表时间: 04-06-07 10:32 |
 | 回复: a08mjw [a08mjw]  论坛用户 |
登录 |
|
网管用的是ISA2000的代理服务器。经扫描,192.168.17.5(上网的网管主机的IP)的1080(CSockS)开放。 目前局域网封闭了所有的QQ通道。以前还可以用SocksOnlineV2做代理上QQ,最近也不行了。 目前第一次上网浏览都需要输入局域网的用户名和密码。我的电脑IE的代理设置是:192.168.17.5,端口是8080。 怎样利用NEC e-Border Client突破限制上QQ? |
| B10层 发表时间: 04-06-09 19:27 |
 | 回复: yangliwei [yangliwei]  论坛用户 |
登录 |
|
不错,分析得较全面, 我收藏了, 在此谢了~!  |
| B11层 发表时间: 04-06-11 10:07 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 系统集成
标题: 简单分析QQ登陆方式~~ZT