硬件:Fortigate-100A
OS版本:3.00-b0740(MR7 Patch 4)
已测试的可封杀版本:
QQ2007/QQ2008/TM2005正式版/TM2008beta版
方法:
Intrution Protection->IPS Sensor->create new->建立QQ策略->OK
Add Pre-defined override->出现Configure IPS Override页面
Signature->选择按钮->出现防火墙已定义好的IPS库->点name旁边的漏斗图标->以“qq”为名字进行查询
出现qq的IPS项目后,点击确认,回到Configure IPS Override页面
选中“Enable”复选框
“Action”项目一定要选择“Reset”而不是“block”(重点)
按需要决定是否勾选“Logging”(登陆或阻止信息)和“Packet Log”(通讯信息)
下面的“Exempt IP”是指不受此策略限制的IP列表
Firewall->Protection Profile->新建或选择已有的保护表,编辑它的IPS选项,指定为上面建立的QQ策略
完成!
其他的什么IP、时间段之类的东西就不说了,呵呵!
迅雷的封杀飞塔中国技术支持网站有教程,不过我测试了以下两种特征码,仅能探测出来,无法实现封杀或流量限制!(重点还是了解封杀的原理:http头,特征码有空可以用sniffer再测试)
F-SBID( --name "Thunder_HTTP"; --attack_id 7777; --protocol tcp; --service HTTP; --flow from_client; --pattern "|4d 6f 7a 69 6c 6c 61 2f 34 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 36 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 35 2e 30 29 0d 0a|"; --context header; )
F-SBID( --attack_id 1342; --name "Thunder.Detection"; --protocol tcp; --service HTTP; --flow from_client; --parsed_type HTTP_POST; --pattern "application/octet-stream"; --context header; --pattern "|00 00 00|"; --context body; --distance 1,context; --within 3,context; --byte_test 1,<,64,-4,relative; --pattern "|00 00 00|"; --distance 1; --within 3; )
阅读(1394) | 评论(2) | 转发(0) |
