对局域网用户的限制技术和反限制技巧

互联网 | 编辑: 2005-11-23 00:00:00转载 返回原文

可能现在对局域网上网用户限制比较多,比如不能上一些网站,不能玩某些游戏,不能上MSN,端口限制等等,一般就是通过代理服务器上的软件进行限制,如现在谈的最多的ISA Server 2004,或者是通过硬件防火墙进行过滤。下面谈谈如何突破限制,需要分限制情况进行说明:

对局域网用户的限制技术和反限制技巧(上)

可能现在对局域网上网用户限制比较多,比如不能上一些网站 ,不能玩某些游戏,不能上MSN,端口限制等等,一般就是通过 代理服务器上的软件进行限制,如现在谈的最多的ISA Server 2004,或者是通过硬件防火墙进行过滤。下面谈谈如何 突破限制,需要分限制情况进行说明:

一、单纯的限制某些网站,不能访问,网络游戏(比如 联众)不能玩,这类限制一般是限制了欲访问的IP地址。

对于这类限制很容易突破,用普通的HTTP代理就可以了 ,或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易 的,一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网 站了。

二、限制了某些协议,如不能FTP了等情况,还有就是 限制了一些网络游戏的服务器端IP地址,而这些游戏又不支持 普通HTTP代理。

这种情况可以用SOCKS代理,配合Sockscap32软件,把 软件加到SOCKSCAP32里,通过SOCKS代理访问。一般的程序都可 以突破限制。对于有些游戏,可以考虑Permeo Security Driver 这个软件。如果连SOCKS也限制了,那可以用 socks2http了,不会连HTTP也限制了吧。

{ad}三、基于包过滤的限制,或者禁止了一些关键字。这类 限制就比较强了,一般是通过代理服务器或者硬件防火墙做的 过滤。比如:通过ISA Server 2004禁止MSN ,做了包过滤。这类限制比较难突破,普通的代 理是无法突破限制的。

这类限制因为做了包过滤,能过滤出关键字来,所以要 使用加密代理,也就是说中间走的HTTP或者SOCKS代理的数据流 经过加密,比如跳板,SSSO, FLAT等,只要代理加密了就可以突破了, 用这些软件再配合 Sockscap32,MSN就可以上了。 这类限制就不起作用了。

四、基于端口的限制,限制了某些端口,最极端的情况 是限制的只有80端口可以访问,也就只能看看网页,连OUTLOOK 收信,FTP都限制了。当然对于限制几个特殊端口,突破原理一 样。

这种限制可以通过以下办法突破:
1、找普通 HTTP80端口的代理,12.34.56.78:80,象这样的,配合 socks2http,把HTTP代理装换成SOCKS代理,然后再配合 SocksCap32,就很容易突破了。这类突破办法中间走的代理未 加密。通通通软件也有这个功能。
2、用类似FLAT软件 ,配合SocksCap32,不过所做的FLAT代理最好也是80端口,当 然不是80端口也没关系,因为FLAT还支持再通过普通的HTTP代 理访问,不是80端口,就需要再加一个80端口的HTTP 代理。这类突破办法中间走的代理加密,网管不知道中间所走 的数据是什么。代理跳板也可以做到,不过代理仍然要80端口 的。对于单纯是80端口限制,还可以用一些端口转换的技术突 破限制。

五、以上一些限制综合的,比如有限制IP的,也有限制 关键字,比如封MSN,还有限制端口的情况。

一般用第四种情况的第二个办法就可以完全突破限制。 只要还允许上网,呵呵,所有的限制都可以突破。

对局域网用户的限制技术和反限制技巧(下)

六、还有一种情况就是你根本就不能上网,没给你上网 的权限或者IP,或者做IP与MAC地址绑定了。

两个办法:

1、你在公司应该有好朋友吧,铁哥们,铁姐们都行, 找一个能上网的机器,借一条通道,装一个小软件就可以解决 问题了,FLAT应该可以,有密钥,别人也上不了,而且可以自 己定义端口。。其他能够支持这种方式代 理的软件也可以。我进行了一下测试,情况如下:局域网环境 ,有一台代理上网的服务器,限定了一部分IP, 给予上网权限,而另一部分IP不能上网,在硬件防火墙或者是 代理服务器上做的限制。我想即使做MAC地址与IP绑定也没有用 了,照样可以突破这个限制。

在局域网内设置一台能上网的机器,然后把我机器的IP 设置为不能上网的,然后给那台能上网的机器装FLAT服务器端 程序,只有500多K, 本机通过FLAT客户端,用SOCKSCAP32加一些软件,如IE,测试 上网通过,速度很快,而且传输数据还是加密的,非常棒。

2、和网络管理员搞好关系,一切都能搞定,网络管理 员什么权限都有,可以单独给你的IP开无任何限制的,前提是 你不要给网络管理员带来麻烦,不要影响局域网的正常运转。 这可是最好的办法了。

另外,在局域网穿透防火墙,还有一个办法,就是用 HTTPTUNNEL,用这个软件需要服务端做配合,要运行 httptunnel的服务端,这种方法对局域网端口限制很有效。

隐通道技术就是借助一些软件,可以把防火墙不允许的协议 封装在已被授权的可行协议内,从而通过防火墙,端口转换技 术也是把不允许的端口转换成允许通过的端口,从而突破防火 墙的限制。这类技术现在有些软件可以做到,HACKER经常用到 这类技术。

HTTPTunnel,Tunnel这个英文单词的意思是隧道,通常 HTTPTunnel被称之为HTTP暗道,它的原理就是将数据伪装成 HTTP的数据形式来穿过防火墙,实际上是在HTTP请求中创建了 一个双向的虚拟数据连接来穿透防火墙。说得简单点, 就是说在防火墙两边都设立一个转换程序,将原来需要发送或 接受的数据包封装成HTTP请求的格式骗过防火墙,所以它不需 要别的代理服务器而直接穿透防火墙。HTTPTunnel刚开始时只 有Unix版本,现在已经有人把它移植到Window平台上了,它包 括两个程序,htc和hts,其中htc是客户端,而hts是服务器端 ,我们现在来看看我是如何用它们的。比如开了FTP的机器的IP 是192.168.1.231,我本地的机器的IP是192.168.1.226,现在 我本地因为防火墙的原因无法连接到 FTP上,现在用HTTPTunnel的过程如下:

{ad}第一步:在我的机器上(192.168.1.226)启动 HTTPTunnel客户端。启动MS-DOS的命令行方式,然后执行htc -F 8888 192.168.1.231:80命令,其中htc是客户端程序,-f参数表示将 来自192.168.1.231:80的数据全部转发到本机的8888端口,这 个端口可以随便选,只要本机没有占用就可以。

然后我们用Netstat看一下本机现在开放的端口,发现 8888端口已在侦听。

第二步:在对方机器上启动HTTPTunnel的服务器端,并 执行命令

“hts -f localhost:21 80”,这个命令的意思是说把本机21端口发出去的数据全部通 过80端口中转一下,并且开放80端口作为侦听端口,再用 Neststat看一下他的机器,就会发现80端口现在也在侦听状态 。

第三步:在我的机器上用FTP连接本机的8888端口,现 在已经连上对方的机器了。

可是,人家看到的怎么是127.0.0.1而不是 192.168.1.231的地址?因为我现在是连接本机的8888端口,防 火墙肯定不会有反应,因为我没往外发包,当然局域网的防火 墙不知道了。现在连接上本机的8888端口以后,FTP的数据包不 管是控 制信息还是数据信息,都被htc伪装成HTTP数据包然后发过去, 在防火墙看来,这都是正常数据,相当于欺骗了防火墙。

需要说明的是,这一招的使用需要其他机器的配合,就 是说要在他的机器上启动一个hts,把他所提供的服务,如FTP 等重定向到防火墙所允许的80端口上,这样才可以成功绕过防 火墙!肯定有人会问,如果对方的机器上本身就有WWW服务,也 就是说他的80端口 在侦听,这么做会不会冲突?HTTPTunnel的优点就在于,即使 他的机器以前80端口开着,现在这么用也不会出现什么问题, 正常的Web访问仍然走老路子,重定向的隧道服务也畅通无阻!

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑