作了些測試後才發現 Skype 果然很會鑽洞出去
所以在各種網路環境都可以使用
難怪使用率會節節高昇
Skype 的 port 可以使用 port 80 也可以隨機使用
出去的對外連結 ip , 也是跳來跳去
你阻擋一個後會自動換連其他 IP
也有連 140(tanet) , 59 (hinet) 開頭的 IP
網路上找了些文章但都沒看到有可以阻擋的方法
有人有這方面的經驗嗎?
可列印頁面
作了些測試後才發現 Skype 果然很會鑽洞出去
所以在各種網路環境都可以使用
難怪使用率會節節高昇
Skype 的 port 可以使用 port 80 也可以隨機使用
出去的對外連結 ip , 也是跳來跳去
你阻擋一個後會自動換連其他 IP
也有連 140(tanet) , 59 (hinet) 開頭的 IP
網路上找了些文章但都沒看到有可以阻擋的方法
有人有這方面的經驗嗎?
[url]http://www.vlab.com.tw/vlabforums/viewtopic.php?t=6004&highlight=skype[/url]
找到一篇blog裡的回應...
[quote]Is it possible to block Skype by port only? My cheapo DSL router cannot block by IP but [b]it can block by URL[/b]. I appear to have no way to prevent unauthorised Skype usage on the LAN. [/quote]
來源:[url]http://64.233.179.104/search?q=cache:Bv-r6Sb_BcUJ:www.zefhemel.com/archives/2004/09/21/skype-and-firewalls+skype+block&hl=zh-TW[/url]
另一篇中文的...
[url]http://66.102.7.104/search?q=cache:XNY9rMXTqTgJ:www.isecutech.com.tw/qa/view.asp%3Fqid%3D38+skype+%E5%B0%81%E9%8E%96&hl=zh-TW&lr=lang_zh-TW[/url]
土大你參考看看...小弟沒用skype...(幫不上忙, 殘念)
[QUOTE=hpo14]找到一篇blog裡的回應...
來源:[url]http://64.233.179.104/search?q=cache:Bv-r6Sb_BcUJ:www.zefhemel.com/archives/2004/09/21/skype-and-firewalls+skype+block&hl=zh-TW[/url]
另一篇中文的...
[url]http://66.102.7.104/search?q=cache:XNY9rMXTqTgJ:www.isecutech.com.tw/qa/view.asp%3Fqid%3D38+skype+%E5%B0%81%E9%8E%96&hl=zh-TW&lr=lang_zh-TW[/url]
土大你參考看看...小弟沒用skype...(幫不上忙, 殘念)[/QUOTE]
Thanks , 參考看看
中文那篇我看過 , 裡面的結論沒什麼用處
[QUOTE=jerry11][url]http://www.vlab.com.tw/vlabforums/viewtopic.php?t=6004&highlight=skype[/url][/QUOTE]
Thanks , 很多有用資訊 , 來去試看看
以下資料來自於: [url]http://www.example.net.cn/archives/networkapp/index.html[/url]
Skype的主要組成部分-Skype通訊協議分析(1)
------------------------------------------------------------------------
晚上在看Salman A. Baset和Henning Schulzrinne寫的《An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol》。因為Skype的通訊協議是不公開的,而且通訊內容是加過密的,這兩位完全在實驗的基礎上對Skype的通訊機制進行分析,分析結果很有參考價值。
通過分析得出的結論主要有三個:
1、Skype的通話質量較MSN和Yahoo的即時通信工具要好;
2、可以無縫的在NATs和防火牆後使用;
3、安裝使用起來確實非常簡單。
[img]http://www.pczone.com.tw/upload/001/skype_network.gif[/img]
Skype與以往MSN等IM工具最大的不同在於基除了用戶登錄,其餘工作基本不依賴中央服務器,Skype在穿透防火牆通訊時完全使用了Peer to Peer,而沒用到中央服務器。上圖中的小黑點是客戶端,大黑點是超級節點(用於為其它客戶端提供登錄踏板及廣播服務),灰色的點是Skype的登錄服務器。
用戶下載安裝完Skype後,Skype客戶端會發送一段HTTP 1.1的請求到中央服務器,告訴它我裝完了一個什麼樣的版本:
[quote]
GET /ui/0/97/en/installed HTTP/1.1
User-Agent: Skype™ Beta 0.97
Host: ui.skype.com
Cache-Control: no-cache[/quote]
服務器會返回一個200 OK的信息:
[quote]HTTP/1.1 200 OK
Date: Tue, 20 Apr 2004 04:51:39 GMT
Server: Apache/2.0.47 (Debian GNU/Linux) PHP/4.3.5
mod_ssl/2.0.47 OpenSSL/0.9.7b
X-Powered-By: PHP/4.3.5
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Content-Length: 0
Content-Type: text/html; charset=utf-8
Content-Language: en[/quote]
客戶端會進行登錄初始化工作,這一步工作包含很多內容,針對三種不同類型的網絡情況有三種不同的登錄方式:
1、直接有公眾網的IP
2、在內部網,可以通過TCP訪問外部網絡
3、在內部網,但只能通過有限的幾個端口(例如80和443)訪問外部網絡
Skype在登錄的時候會先使用UDP請求HC中的IP,如果不行,就用TCP請求HC中的IP及端口,如果還不行,就用TCP請求HC中的IP及80端口,如果又不行,就再請求HC中的IP及443端口。如果這時候還不行,那就登錄不了了。整個過程中傳輸的數據量大概在8k-10k,持續的時間在3至35秒。
參考資料:
1、《An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol》.
Skype的主要組成部分-Skype通訊協議分析(2)
1、端口
在Skype的連接屬性對話框中可以設置監聽的端口號,在安裝的時候Skype會隨機的選擇一個端口作為監聽的端口,這一點與HTTP協議等不同,Skype沒有默認的服務端口。同時,它還會打開對80和443端口的監聽。80是常見的HTTP服務默認端口,而443則是HTTPS服務的默認端口。
2、主機列表(HC,Host Cache)
這裡的主機指的是可以提供踏板及廣播服務的Super Node(SN)。通常它被存儲在註冊表裡的:HKEY_CURRENT_USER / SOFTWARE / SKYPE / PHONE / LIB / CONNECTION / HOSTCACHE 中.一般情況下,運行兩天後,HC中會有約200個機器地址及對應的端口號。
3、編解碼器
要能語音通信,編解碼器當然少不了。Global IP Sound在他的網站上專用明它為Skype提供點對點語音通訊軟件:Global IP Sound provides voice processing software to Skype's peer-to-peer voice-communications software.Skype應該是使用了他們的編解碼器實現的語音通訊。
4、好友列表
當你換了一台計算機的時候可能會發現Skype上的好友列表沒了,不要奇怪,Skype的好友列表沒有保存在服務器上,而是保存在本地的註冊表中,當然,是加過密的。
5、加密
Skype使用AES加密標準。
6、NAT與防火牆
Skype應該是使用了STUN和TURN協議來檢測所處的NAT及防火牆環境。Skype定期的刷新這些信息,這些信息也是存儲在註冊表中的。與另外一個點對點文件共享系統Kazza不同,普通客戶端無法阻止自己成為Super Node(SN),就是說它隨時可能被徵用成為別人登錄服務和廣播服務的提供者,就是類似於BT中的種子提供者的角色。
Skype的主要功能-Skype通訊協議分析(3)
Skype的功能主要可以分為:初始化,登錄,用戶搜索,呼叫建立與終止,媒體傳輸和狀態消息。
1、初始化
第一次安裝後,Skype會發送一段HTTP 1.1的請求給中央服務器,包括關鍵字"installed"以及所裝Skype的版本號。以後的每次登錄Skype都會向中央服務器發送一小段包含關鍵字"getlatestversion"的HTTP 1.1請求,檢查是否有新版本的Skype。
2、登錄
登錄可能是Skype最重要的功能。在這個過程中,Skype終端到登錄服務器上驗證用戶名密碼,廣播他在上線給好友及其它的點,檢查NAT和防火牆的類型,發現擁有公網IP地址的在線Skype節點,這些新發現的節被用於在所在Super Node無法使用後繼續保持本機與Skype網絡的連接。
登錄的過程我們前面已經講過,先用UDP連,然後是TCP,然後TCP到80,然後TCP到443,行的話就連上了,不行的話就顯示無法登錄。連接的對象是保存在本機中Host Cache中的。
登錄服務器的IP是80.160.91.11,nslookup記錄顯示它的域名是:ns14.inet.tele.dk和ns15.inet.tele.dk,dk是丹麥的國家定級域名。
安裝完第一次登錄時,HC被初始化,裡面包含7對IP與端口,而且基本總是這7個IP和端口,即使包含超過7對,這7對也在其中。當用戶安裝後第一次登錄時,Skype通過其中的一對IP和端口建立TCP連接。
這7個IP-端口對,以及這些IP對應的主機名是:
IP address:port Reverse lookup result
66.235.180.9:33033 sls-cb10p6.dca2.superb.net
66.235.181.9:33033 ip9.181.susc.suscom.net
80.161.91.25:33033 0x50a15b19.boanxx15.adsl-dhcp.tele.dk
80.160.91.12:33033 0x50a15b0c.albnxx9.adsl-dhcp.tele.dk
64.246.49.60:33033 rs-64-246-49-60.ev1.net
64.246.49.61:33033 rs-64-246-49-61.ev1.net
64.246.48.23:33033 ns2.ev1.net
可以看到上述的主機分別屬於4個ISP,其中Superb , Suscom, ev1.net是美國的ISP。
聽說Skype有用STUN,這是滿利害軟體,這可讓語音封包可通過NAT
現最新消息,今年或明年將會有無線Skype phone出現......
如果以後到處都有AP的話,我想會對通訊業者會影響很大....
[QUOTE=gwochern]聽說Skype有用STUN,這是滿利害軟體,這可讓語音封包可通過NAT
現最新消息,今年或明年將會有無線Skype phone出現......
如果以後到處都有AP的話,我想會對通訊業者會影響很大....[/QUOTE]
Skype 是由 P2P 軟體 : Kazza 作者開發出來的
P2P 會被唱片/電影業者告 , 但 VOIP 卻可賺大錢 , 他真是轉對行了
沒主要的伺服器 , 所以很難擋
每一部上 Skype 的機器都有機會變成超級節點 (Super Node) 來幫忙其它客戶端提供登錄踏板及廣播服務
用有 Application Layer Filter 的防火牆吧!
[QUOTE=gwochern]
現最新消息,今年或明年將會有無線Skype phone出現......
如果以後到處都有AP的話,我想會對通訊業者會影響很大....[/QUOTE]
你放心,此問題已經解決了,交通部已宣佈此服務為非法服務
所以不會影響到花幾百億買執照的電信業者
[QUOTE=dmwc]你放心,此問題已經解決了,交通部已宣佈此服務為非法服務
所以不會影響到花幾百億買執照的電信業者[/QUOTE]
是這樣嗎......
土大所說的那張圖......Super node
不一定要放在台灣.......
他可以放在別的國家.....如香港,日本等......在利用ordinary host端直接連到Super node,這樣誰查的到呀......
這就是skype可怕的地方
[QUOTE=ADMIN]Skype 是由 P2P 軟體 : Kazza 作者開發出來的
P2P 會被唱片/電影業者告 , 但 VOIP 卻可賺大錢 , 他真是轉對行了
沒主要的伺服器 , 所以很難擋
每一部上 Skype 的機器都有機會變成超級節點 (Super Node) 來幫忙其它客戶端提供登錄踏板及廣播服務[/QUOTE]
抱歉.....土大....倒正你一些觀念......
所謂的Super Node是一個skype的主機,如同我們連MSN的主機一樣
不會每部Skype的機器都會變成 Super Node,而是ISP或企業等去架設.....
他可以架設在任一地方,讓ordinary host連
Skype 連外使用的三個 Port, 固定的 TCP 80 & 443, 另一個為 UDP port 自選
當 UDP Port 被檔時, 它會選擇以 TCP 80(443) 的 Port 連出
當然通話也就會開始斷斷續續的
封 UDP 所有 Port 與 TCP 80(443) 的 Port, 就可以阻止 Skype 連線
但相對的你也會有很多程式無法使用, 所以檔 Port 是無解
封 IP 的方式, 由於 SuperNode 太多, 且是亂數去搜尋
檔下 Skype 連線時它會出現錯誤訊息, 詳細內容裡面會顯示掃了多少個 Hosts
所以, 檔 IP 目前仍是無解
目前比較有效的作法是網友所敘的 Application Layer Filter 的防火牆
不過對於中小企業為了檔 VoIP 的程式而要開錢去買, 我想沒幾個老闆願意
雖說 Skype 是架構於 P2P, 但未在登入系統驗證前, 其實跟一般的 IM 是沒啥兩樣
找到驗證伺服器, 自然會有封他的方法, 只是網路上還沒有人有這類資料
我的作法是, 封 UDP port 強迫 Skype 走 TCP port, 當網路流量忽高忽低時
這樣通話品質就會很差, 一句話斷三句, 然後大家就開始喂 喂 喂~
user 用到最後就都不會想用了 :D
[COLOR=Navy]PS: SuperNode 是網路上每一台 Skype 的電腦都有機會, 並非要另外安裝軟體
有監看封包習慣的人, 就知道 skype 這個讓人又愛又恨的東西在搞啥花樣[/COLOR]
[COLOR=Navy]PS: SuperNode 是網路上每一台 Skype 的電腦都有機會, 並非要另外安裝軟體
有監看封包習慣的人, 就知道 skype 這個讓人又愛又恨的東西在搞啥花樣[/COLOR]
請問網路卡連線顯示 傳送封包一值都大於接收封包 , 經過重新安裝還是一樣,要如何檢查是哪裡有問題?
[QUOTE=all600][COLOR=Navy]請問網路卡連線顯示 傳送封包一值都大於接收封包 , 經過重新安裝還是一樣,要如何檢查是哪裡有問題?[/QUOTE]把該主機的運用程式與各類 Service 停掉
先釐清是病毒(後門)還是運用程式造成的
都停掉的話仍有封包流出, 這時你就得小心了, 好好檢查一下系統補漏洞
如果都 OK 的話, 再把程式一一開啟, 醬就可以抓出是那個軟體造成的
[QUOTE=gwochern]抱歉.....土大....倒正你一些觀念......
所謂的Super Node是一個skype的主機,如同我們連MSN的主機一樣
不會每部Skype的機器都會變成 Super Node,而是ISP或企業等去架設.....
他可以架設在任一地方,讓ordinary host連[/QUOTE]
不過我用防火牆跑 Skype , 每擋下一個 Skype 連線 , 它會自動嘗試連到其他 IP
會去連接的 IP 包括了 140 (學術網路) , 59 開頭的 Hinet 動態IP
我想那些 IP 可能就是所謂的 Super Node...不太向有人去刻意架設的 Skype 主機
這些 IP 可能是記錄在 shared.xml 中
該 shared.xml 沒去注意是否會自動更新
關於SKYPE的SUPER NODE 在去年網路追追追有些相關報導:
[url]http://www.ettoday.com/2004/12/17/517-1728388.htm[/url]
[url]http://www.ettoday.com/2004/12/17/517-1728533.htm[/url]
但是, SKYPE的確也是有漏洞, 之前有被人發現, 官網是沒反應, 但馬上有推出升級的版本, 因此, 之後是否還有漏洞沒修補好, 不得而知。
網路世界真是奇妙!有的程式被擋了就想盡辦法要鑽出去,而有人卻想辦法阻擋不讓他出去 , 結果如何就各憑本事了!
[QUOTE=gwochern]聽說Skype有用STUN,這是滿利害軟體,這可讓語音封包可通過NAT
現最新消息,今年或明年將會有無線Skype phone出現......
如果以後到處都有AP的話,我想會對通訊業者會影響很大....[/QUOTE]
stun沒你講的那麼利害! 他只是用來讓你可以判斷你的網路環境, 以及得到內部ip經過nat後所對應到的ip跟port.
想要可以在所有的nat環境下都可以work, 可能得搭配turn server, 其實skype的super node就有部分turn想達到的的功能, 所以他才可以在所有的網路環境下都可以work.
如果站長想的是要如何避免自己成為super node! 我想有一個方法就是不要用cone type的nat, 而是採用symmetric type的nat!
但這肯定有不良效應, 因為symmetric nat對p2p的應用是比較不友善, 這也是skype super node會存在的原因! 要測試自己的nat是哪種type可以去下載winstun這個小工具.
我來分享手上這份 Skype 的 PDF 原文資料, 其中對於連線方式有詳細解說
有需要研究的人趕快下載研讀, 免得又被刪檔
[URL=http://home.pchome.com.tw/sport/server/skype-039-04.pdf]SKYPE 原文資料[/URL]
另外 Skype 特殊阻擋小方法, 未避免遭人非議我就不貼上來了
有興趣的朋友可以來小弟的網站閱讀
呵呵 ,我已经成功实现了在linux的防火墙上封掉skype,见我的文章:
[url]http://www.routerclub.com/ipb/index.php?showtopic=6523&view=getnewpost[/url]
[URL="http://www.example.net.cn/archives/2005/01/skypeinoeoeioe.html"]Skype的主要組成部分-Skype通訊協議分析(1)[/URL]
[URL="http://www.example.net.cn/archives/2005/01/skypeaeoeoeeoes.html"]Skype的主要組成部分-Skype通訊協議分析(2)[/URL]
[URL="http://www.example.net.cn/archives/2005/01/skypeaeoeoaeues.html"]Skype的主要功能-Skype通訊協議分析(3)[/URL]
[URL="http://www1.cs.columbia.edu/~salman/publications/baset_schulzrinne_04_01.pdf"]An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol[/URL] (Skype v0.97)
[URL="http://www1.cs.columbia.edu/~salman/publications/skype1_4.pdf"]An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol[/URL] (Skype v1.4)
[URL="http://www1.cs.columbia.edu/~salman/skype"]General Skype Analysis[/URL]
[URL="http://shreks.blogchina.com"]史瑞克的沼澤地 (Shrek's Swamp)[/URL]
[URL="http://www.krainy.com/article.asp?id=42"]用了P2P終結者,讓他們鬱悶去吧。 - 金雨時紛(KRainy 's Blog)[/URL]
[URL="http://bbs.twftp.org/archive/index.php/t-7268.html"][轉貼]結束局域網流量驟增的惡夢-P2P終結者[/URL]
不知道[B]P2P終結者[/B]對於Skype 是否有用, 好玩的是, 既然有P2P終結者, 自然也就有[B][I]反[/I]P2P終結者[/B], 真是夠了
[URL="http://www.ithome.com.tw/plog/index.php?op=ViewArticle&articleId=7239&blogId=610"]IM側錄及網路行為稽核探討 | 封鎖Skype的方法?[/URL]
[URL="http://www.lynanda.com/products/software-for-corporations/traffic-filtering/how-to-use-our-traffic-analyzer"]How to use the Skype and P2P traffic blocker? — Lynanda Computing Services[/URL]
[URL="http://www.lynanda.com/products/software-for-corporations/traffic-filtering/skype-detection-whitepaper.pdf/view"]skype detection whitepaper — Lynanda Computing Services[/URL]
[URL="http://www.snort.org"]Snort - the de facto standard for intrusion detection/prevention[/URL]
[URL="http://www.activeworx.org"]Activeworx.org - Security Tools - Snort IDS Software[/URL]
[URL="http://www.cipherdyne.com/fwsnort"]CipherDyne -- fwsnort[/URL]
看來skype真是神奇的東西,實在很難去擋掉它....
layer7 的防火牆就可以擋了.
目前最有名的就是websense 吧
[URL="http://www.websense.com/"]http://www.websense.com/[/URL]
滴水不漏