Chinaunix首页 | 论坛 | 博客
  • 博客访问: 332531
  • 博文数量: 114
  • 博客积分: 1415
  • 博客等级: 上尉
  • 技术积分: 1110
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-23 17:34
文章分类

全部博文(114)

文章存档

2011年(2)

2010年(22)

2009年(56)

2008年(34)

我的朋友

分类: 系统运维

2009-05-20 16:40:14

硬件:Fortigate-100A
OS版本:3.00-b0740(MR7 Patch 4)
 
已测试的可封杀版本:
QQ2007/QQ2008/TM2005正式版/TM2008beta版
 
方法:
Intrution Protection->IPS Sensor->create new->建立QQ策略->OK
Add Pre-defined override->出现Configure IPS Override页面
Signature->选择按钮->出现防火墙已定义好的IPS库->点name旁边的漏斗图标->以“qq”为名字进行查询
出现qq的IPS项目后,点击确认,回到Configure IPS Override页面
选中“Enable”复选框
“Action”项目一定要选择“Reset”而不是“block”(重点)
按需要决定是否勾选“Logging”(登陆或阻止信息)和“Packet Log”(通讯信息)
下面的“Exempt IP”是指不受此策略限制的IP列表
 
Firewall->Protection Profile->新建或选择已有的保护表,编辑它的IPS选项,指定为上面建立的QQ策略
 
完成!
 
其他的什么IP、时间段之类的东西就不说了,呵呵!
 
迅雷的封杀飞塔中国技术支持网站有教程,不过我测试了以下两种特征码,仅能探测出来,无法实现封杀或流量限制!(重点还是了解封杀的原理:http头,特征码有空可以用sniffer再测试)
 
F-SBID( --name "Thunder_HTTP"; --attack_id 7777; --protocol tcp; --service HTTP; --flow from_client; --pattern "|4d 6f 7a 69 6c 6c 61 2f 34 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 36 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 35 2e 30 29 0d 0a|"; --context header; )
 
F-SBID( --attack_id 1342; --name "Thunder.Detection"; --protocol tcp; --service HTTP; --flow from_client; --parsed_type HTTP_POST; --pattern "application/octet-stream"; --context header; --pattern "|00 00 00|"; --context body; --distance 1,context; --within 3,context; --byte_test 1,<,64,-4,relative; --pattern "|00 00 00|"; --distance 1; --within 3; )
阅读(1376) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~