在防火墙后禁用MSN
我曾在黑防上发表过关于如何在防火墙后禁用QQ的文章（见2004年第4期《黑客防线》），从最基本的原理上来说，禁止QQ通讯的方法也适合于禁止其它IM软件，但因为不同的IM软件使用的IM协议不同，所以在具体操作上又有很大的不同，在这里将说说另一款流行的IM软件MSN的禁用 。 与禁用QQ同理，禁用MSN我们也应该从客户端程序的登录方式入手，因为很简单的道理，如果无法登录MSN，那么也就无法使用MSN了 。 这里将以最新的MSN 7.0中文BETA版为例讲解 。
小知识：IM 是英文Instant Massaging的缩写，意思是即时通信 。 常见的IM软件有ICQ、QQ、MSN等 。
MSN登录方式大致有以下几种：
1． 通过MSN协议进行登录；
2．通过HTTP方式进行登录；
3．通过HTTP代理登录；
4．通过Socks4代理登录；
5．通过Socks5代理登录 。
下面将分别讲述各种登录方式的基本过程和特点，并给出相应的禁用措施 。
刘流：这里假设你创建的防火墙规则默认是允许所有外出访问的，以使得这篇文章更具通用性 。
MSN协议登录及禁用（TCP/1863端口）
客户端使用MSN协议登录的基本过程如图1所示，这个登录过程可以划分为四个阶段（图1中相应的连线），先来看第一阶段：与DS服务器交互（包括下面1-4步）：
图1
1) 首先客户端连接到Dispatch Server（DS）服务器的TCP 1863端口，这个DS服务器的DNS名为Messenger.hotmail.com 。 如果是通过只是一个负责“调度”任务的服务器；
2) 客户端与DS之间进行MSN协议的版本协商；
3) 客户端发送本地操作系统的一些系统信息给DS，DS返回推荐的MSN客户端版本；
4) 客户端初始化用户认证请求，但DS并不负责身份认证的相关事宜，于是它返回一个Notification Server（NS）服务器的地址给客户端，同时DS将主动断开与客户端的连接，也就是叫客户端去找NS进行身份认证，这个NS服务器的DNS名通常为*.msgr.hotmail.com的格式 。
第二阶段：与NS交互（下面5-6步）
5) 客户端连接到上面得到的NS的TCP 1863端口，由于DS与NS之间没有连接，所以客户端又需要再次向NS提供上面2，3步类似的操作 。
6) 客户端向NS服务器初始化认证请求，NS返回一串用于下面Passport认证的字符串；
第三阶段：与PassPort服务器进行认证交互
7) 客户端用户向微软的Passport服务进行身份认证（通过方式），认证成功后客户端将得到一个“凭证”；
刘流：真正对用户进行身份鉴定的是微软的Passport服务，这些服务器是*.Passport.com的形式，Passport认证服务并非MSN专用的，很多网站都使用它，比如Hotmail邮箱登录 。
第四阶段：再次与NS交互（下面第8步）
8) 客户端将上面获得的“凭证”给NS看，如果是“真”的NS就说OK，于是用户成功登录进NS，客户端下次登录时可能直接与这个NS通信，而不再与前面的DS联系了 。
上面登录的基本过程其实也适用于其它任何登录方式，即都要先与一台DS进行联系，然后与NS联系，中间还要到Passport服务器上进行身份认证 。 从上面的登录过程可以看出，要禁用这种登录方式是很容易的，最简单高效的方法就是直接禁止对207.46.104.20（Messenger.hotmail.com）的访问，也可以禁止外访TCP/1863端口，当然还可以禁止对*.msgr.hotmail.com域名集的访问，但不建议禁止对*.Passport.com的访问，因为其它的Passport验证服务还需要它，比如登录Hotmail.com邮箱 。
刘流：从上面的登录过程可以看出，登录用到了TCP/1863和TCP/443这两个端口，而不仅仅只有TCP/1863端口，这也是很多朋友在允许MSN通信时常犯的一个疑惑：为什么我打开了1863端口还是不能登录？现在应该明白了吧 。 其实如果你创建规则时是“允许需要的，拒绝所有（其它）的”，那么这里不进行上述禁用操作客户端也不能使用MSN协议进行登录 。

猜你喜欢

• 转载 [技术前沿]介绍防火墙的管理与安全级别
• 关于安全用电的知识，越多越好
• 用电安全知识或是须知哪里有资料?
• 用电用气安全知识精品范本
• 安全用电知识的宣传教育有什么意义？
• 煤矿井下安全用电知识
• 春季防火，安全提示
• 警惕！秋冬季天气干燥，快来Get√这些防火消防安全知识
• 春节消防安全科普∣全是干货 你确定不来？
• 黑加仑葡萄树苗长啥样，栽培技术