【求助】有沒有可以阻擋 SKYPE 的方法?

作了些測試後才發現 Skype 果然很會鑽洞出去
所以在各種網路環境都可以使用
難怪使用率會節節高昇

Skype 的 port 可以使用 port 80 也可以隨機使用
出去的對外連結 ip , 也是跳來跳去
你阻擋一個後會自動換連其他 IP
也有連 140(tanet) , 59 (hinet) 開頭的 IP
網路上找了些文章但都沒看到有可以阻擋的方法
有人有這方面的經驗嗎?

[url]http://www.vlab.com.tw/vlabforums/viewtopic.php?t=6004&highlight=skype[/url]

找到一篇blog裡的回應...
[quote]Is it possible to block Skype by port only? My cheapo DSL router cannot block by IP but [b]it can block by URL[/b]. I appear to have no way to prevent unauthorised Skype usage on the LAN. [/quote]
來源:[url]http://64.233.179.104/search?q=cache:Bv-r6Sb_BcUJ:www.zefhemel.com/archives/2004/09/21/skype-and-firewalls+skype+block&hl=zh-TW[/url]

另一篇中文的...
[url]http://66.102.7.104/search?q=cache:XNY9rMXTqTgJ:www.isecutech.com.tw/qa/view.asp%3Fqid%3D38+skype+%E5%B0%81%E9%8E%96&hl=zh-TW&lr=lang_zh-TW[/url]
土大你參考看看...小弟沒用skype...(幫不上忙, 殘念)

[QUOTE=hpo14]找到一篇blog裡的回應...

來源:[url]http://64.233.179.104/search?q=cache:Bv-r6Sb_BcUJ:www.zefhemel.com/archives/2004/09/21/skype-and-firewalls+skype+block&hl=zh-TW[/url]

另一篇中文的...
[url]http://66.102.7.104/search?q=cache:XNY9rMXTqTgJ:www.isecutech.com.tw/qa/view.asp%3Fqid%3D38+skype+%E5%B0%81%E9%8E%96&hl=zh-TW&lr=lang_zh-TW[/url]
土大你參考看看...小弟沒用skype...(幫不上忙, 殘念)[/QUOTE]

Thanks , 參考看看
中文那篇我看過 , 裡面的結論沒什麼用處

[QUOTE=jerry11][url]http://www.vlab.com.tw/vlabforums/viewtopic.php?t=6004&highlight=skype[/url][/QUOTE]

Thanks , 很多有用資訊 , 來去試看看

以下資料來自於: [url]http://www.example.net.cn/archives/networkapp/index.html[/url]

Skype的主要組成部分-Skype通訊協議分析(1)
------------------------------------------------------------------------
晚上在看Salman A. Baset和Henning Schulzrinne寫的《An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol》。因為Skype的通訊協議是不公開的，而且通訊內容是加過密的，這兩位完全在實驗的基礎上對Skype的通訊機制進行分析，分析結果很有參考價值。
通過分析得出的結論主要有三個：
1、Skype的通話質量較MSN和Yahoo的即時通信工具要好；
2、可以無縫的在NATs和防火牆後使用；
3、安裝使用起來確實非常簡單。

[img]http://www.pczone.com.tw/upload/001/skype_network.gif[/img]

Skype與以往MSN等IM工具最大的不同在於基除了用戶登錄，其餘工作基本不依賴中央服務器，Skype在穿透防火牆通訊時完全使用了Peer to Peer，而沒用到中央服務器。上圖中的小黑點是客戶端，大黑點是超級節點（用於為其它客戶端提供登錄踏板及廣播服務），灰色的點是Skype的登錄服務器。
用戶下載安裝完Skype後，Skype客戶端會發送一段HTTP 1.1的請求到中央服務器，告訴它我裝完了一個什麼樣的版本：

[quote]
GET /ui/0/97/en/installed HTTP/1.1
User-Agent: Skype™ Beta 0.97
Host: ui.skype.com
Cache-Control: no-cache[/quote]

服務器會返回一個200 OK的信息：

[quote]HTTP/1.1 200 OK
Date: Tue, 20 Apr 2004 04:51:39 GMT
Server: Apache/2.0.47 (Debian GNU/Linux) PHP/4.3.5
mod_ssl/2.0.47 OpenSSL/0.9.7b
X-Powered-By: PHP/4.3.5
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Content-Length: 0
Content-Type: text/html; charset=utf-8
Content-Language: en[/quote]

客戶端會進行登錄初始化工作，這一步工作包含很多內容，針對三種不同類型的網絡情況有三種不同的登錄方式：
1、直接有公眾網的IP
2、在內部網，可以通過TCP訪問外部網絡
3、在內部網，但只能通過有限的幾個端口（例如80和443）訪問外部網絡

Skype在登錄的時候會先使用UDP請求HC中的IP，如果不行，就用TCP請求HC中的IP及端口，如果還不行，就用TCP請求HC中的IP及80端口，如果又不行，就再請求HC中的IP及443端口。如果這時候還不行，那就登錄不了了。整個過程中傳輸的數據量大概在8k-10k，持續的時間在3至35秒。

參考資料：
1、《An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol》.

Skype的主要組成部分-Skype通訊協議分析(2)

1、端口
在Skype的連接屬性對話框中可以設置監聽的端口號，在安裝的時候Skype會隨機的選擇一個端口作為監聽的端口，這一點與HTTP協議等不同，Skype沒有默認的服務端口。同時，它還會打開對80和443端口的監聽。80是常見的HTTP服務默認端口，而443則是HTTPS服務的默認端口。
2、主機列表(HC，Host Cache)
這裡的主機指的是可以提供踏板及廣播服務的Super Node(SN)。通常它被存儲在註冊表裡的：HKEY_CURRENT_USER / SOFTWARE / SKYPE / PHONE / LIB / CONNECTION / HOSTCACHE 中.一般情況下，運行兩天後，HC中會有約200個機器地址及對應的端口號。

3、編解碼器
要能語音通信，編解碼器當然少不了。Global IP Sound在他的網站上專用明它為Skype提供點對點語音通訊軟件:Global IP Sound provides voice processing software to Skype's peer-to-peer voice-communications software.Skype應該是使用了他們的編解碼器實現的語音通訊。

4、好友列表
當你換了一台計算機的時候可能會發現Skype上的好友列表沒了，不要奇怪，Skype的好友列表沒有保存在服務器上，而是保存在本地的註冊表中，當然，是加過密的。

5、加密
Skype使用AES加密標準。

6、NAT與防火牆
Skype應該是使用了STUN和TURN協議來檢測所處的NAT及防火牆環境。Skype定期的刷新這些信息，這些信息也是存儲在註冊表中的。與另外一個點對點文件共享系統Kazza不同，普通客戶端無法阻止自己成為Super Node(SN)，就是說它隨時可能被徵用成為別人登錄服務和廣播服務的提供者，就是類似於BT中的種子提供者的角色。

Skype的主要功能-Skype通訊協議分析(3)
Skype的功能主要可以分為：初始化，登錄，用戶搜索，呼叫建立與終止，媒體傳輸和狀態消息。

1、初始化
第一次安裝後，Skype會發送一段HTTP 1.1的請求給中央服務器，包括關鍵字"installed"以及所裝Skype的版本號。以後的每次登錄Skype都會向中央服務器發送一小段包含關鍵字"getlatestversion"的HTTP 1.1請求，檢查是否有新版本的Skype。

2、登錄
登錄可能是Skype最重要的功能。在這個過程中，Skype終端到登錄服務器上驗證用戶名密碼，廣播他在上線給好友及其它的點，檢查NAT和防火牆的類型，發現擁有公網IP地址的在線Skype節點，這些新發現的節被用於在所在Super Node無法使用後繼續保持本機與Skype網絡的連接。

登錄的過程我們前面已經講過，先用UDP連，然後是TCP，然後TCP到80，然後TCP到443，行的話就連上了，不行的話就顯示無法登錄。連接的對象是保存在本機中Host Cache中的。

登錄服務器的IP是80.160.91.11，nslookup記錄顯示它的域名是：ns14.inet.tele.dk和ns15.inet.tele.dk，dk是丹麥的國家定級域名。

安裝完第一次登錄時，HC被初始化，裡面包含7對IP與端口，而且基本總是這7個IP和端口，即使包含超過7對，這7對也在其中。當用戶安裝後第一次登錄時，Skype通過其中的一對IP和端口建立TCP連接。

這7個IP-端口對，以及這些IP對應的主機名是：
IP address:port Reverse lookup result
66.235.180.9:33033 sls-cb10p6.dca2.superb.net
66.235.181.9:33033 ip9.181.susc.suscom.net
80.161.91.25:33033 0x50a15b19.boanxx15.adsl-dhcp.tele.dk
80.160.91.12:33033 0x50a15b0c.albnxx9.adsl-dhcp.tele.dk
64.246.49.60:33033 rs-64-246-49-60.ev1.net
64.246.49.61:33033 rs-64-246-49-61.ev1.net
64.246.48.23:33033 ns2.ev1.net
可以看到上述的主機分別屬於4個ISP，其中Superb , Suscom, ev1.net是美國的ISP。

聽說Skype有用STUN,這是滿利害軟體,這可讓語音封包可通過NAT
現最新消息,今年或明年將會有無線Skype phone出現......
如果以後到處都有AP的話,我想會對通訊業者會影響很大....

[QUOTE=gwochern]聽說Skype有用STUN,這是滿利害軟體,這可讓語音封包可通過NAT
現最新消息,今年或明年將會有無線Skype phone出現......
如果以後到處都有AP的話,我想會對通訊業者會影響很大....[/QUOTE]

Skype 是由 P2P 軟體 : Kazza 作者開發出來的
P2P 會被唱片/電影業者告 , 但 VOIP 卻可賺大錢 , 他真是轉對行了

沒主要的伺服器 , 所以很難擋
每一部上 Skype 的機器都有機會變成超級節點 (Super Node) 來幫忙其它客戶端提供登錄踏板及廣播服務

　　用有 Application Layer Filter 的防火牆吧！

[QUOTE=gwochern]
現最新消息,今年或明年將會有無線Skype phone出現......
如果以後到處都有AP的話,我想會對通訊業者會影響很大....[/QUOTE]
你放心，此問題已經解決了，交通部已宣佈此服務為非法服務
所以不會影響到花幾百億買執照的電信業者

[QUOTE=dmwc]你放心，此問題已經解決了，交通部已宣佈此服務為非法服務
所以不會影響到花幾百億買執照的電信業者[/QUOTE]

是這樣嗎......
土大所說的那張圖......Super node
不一定要放在台灣.......
他可以放在別的國家.....如香港,日本等......在利用ordinary host端直接連到Super node,這樣誰查的到呀......
這就是skype可怕的地方

[QUOTE=ADMIN]Skype 是由 P2P 軟體 : Kazza 作者開發出來的
P2P 會被唱片/電影業者告 , 但 VOIP 卻可賺大錢 , 他真是轉對行了

沒主要的伺服器 , 所以很難擋
每一部上 Skype 的機器都有機會變成超級節點 (Super Node) 來幫忙其它客戶端提供登錄踏板及廣播服務[/QUOTE]

抱歉.....土大....倒正你一些觀念......
所謂的Super Node是一個skype的主機,如同我們連MSN的主機一樣
不會每部Skype的機器都會變成 Super Node,而是ISP或企業等去架設.....
他可以架設在任一地方,讓ordinary host連

Skype 連外使用的三個 Port, 固定的 TCP 80 & 443, 另一個為 UDP port 自選
當 UDP Port 被檔時, 它會選擇以 TCP 80(443) 的 Port 連出
當然通話也就會開始斷斷續續的

封 UDP 所有 Port 與 TCP 80(443) 的 Port, 就可以阻止 Skype 連線
但相對的你也會有很多程式無法使用, 所以檔 Port 是無解

封 IP 的方式, 由於 SuperNode 太多, 且是亂數去搜尋
檔下 Skype 連線時它會出現錯誤訊息, 詳細內容裡面會顯示掃了多少個 Hosts
所以, 檔 IP 目前仍是無解

目前比較有效的作法是網友所敘的 Application Layer Filter 的防火牆
不過對於中小企業為了檔 VoIP 的程式而要開錢去買, 我想沒幾個老闆願意
雖說 Skype 是架構於 P2P, 但未在登入系統驗證前, 其實跟一般的 IM 是沒啥兩樣
找到驗證伺服器, 自然會有封他的方法, 只是網路上還沒有人有這類資料


我的作法是, 封 UDP port 強迫 Skype 走 TCP port, 當網路流量忽高忽低時
這樣通話品質就會很差, 一句話斷三句, 然後大家就開始喂 喂 喂~
user 用到最後就都不會想用了 :D

[COLOR=Navy]PS: SuperNode 是網路上每一台 Skype 的電腦都有機會, 並非要另外安裝軟體
有監看封包習慣的人, 就知道 skype 這個讓人又愛又恨的東西在搞啥花樣[/COLOR]

[COLOR=Navy]PS: SuperNode 是網路上每一台 Skype 的電腦都有機會, 並非要另外安裝軟體
有監看封包習慣的人, 就知道 skype 這個讓人又愛又恨的東西在搞啥花樣[/COLOR]

請問網路卡連線顯示 傳送封包一值都大於接收封包 , 經過重新安裝還是一樣,要如何檢查是哪裡有問題?

[QUOTE=all600][COLOR=Navy]請問網路卡連線顯示 傳送封包一值都大於接收封包 , 經過重新安裝還是一樣,要如何檢查是哪裡有問題?[/QUOTE]把該主機的運用程式與各類 Service 停掉
先釐清是病毒(後門)還是運用程式造成的
都停掉的話仍有封包流出, 這時你就得小心了, 好好檢查一下系統補漏洞
如果都 OK 的話, 再把程式一一開啟, 醬就可以抓出是那個軟體造成的

[QUOTE=gwochern]抱歉.....土大....倒正你一些觀念......
所謂的Super Node是一個skype的主機,如同我們連MSN的主機一樣
不會每部Skype的機器都會變成 Super Node,而是ISP或企業等去架設.....
他可以架設在任一地方,讓ordinary host連[/QUOTE]

不過我用防火牆跑 Skype , 每擋下一個 Skype 連線 , 它會自動嘗試連到其他 IP
會去連接的 IP 包括了 140 (學術網路) , 59 開頭的 Hinet 動態IP
我想那些 IP 可能就是所謂的 Super Node...不太向有人去刻意架設的 Skype 主機

這些 IP 可能是記錄在 shared.xml 中
該 shared.xml 沒去注意是否會自動更新

關於SKYPE的SUPER NODE 在去年網路追追追有些相關報導:
[url]http://www.ettoday.com/2004/12/17/517-1728388.htm[/url]
[url]http://www.ettoday.com/2004/12/17/517-1728533.htm[/url]
但是, SKYPE的確也是有漏洞, 之前有被人發現, 官網是沒反應, 但馬上有推出升級的版本, 因此, 之後是否還有漏洞沒修補好, 不得而知。

網路世界真是奇妙!有的程式被擋了就想盡辦法要鑽出去,而有人卻想辦法阻擋不讓他出去 , 結果如何就各憑本事了!

[QUOTE=gwochern]聽說Skype有用STUN,這是滿利害軟體,這可讓語音封包可通過NAT
現最新消息,今年或明年將會有無線Skype phone出現......
如果以後到處都有AP的話,我想會對通訊業者會影響很大....[/QUOTE]

stun沒你講的那麼利害! 他只是用來讓你可以判斷你的網路環境, 以及得到內部ip經過nat後所對應到的ip跟port.

想要可以在所有的nat環境下都可以work, 可能得搭配turn server, 其實skype的super node就有部分turn想達到的的功能, 所以他才可以在所有的網路環境下都可以work.

如果站長想的是要如何避免自己成為super node! 我想有一個方法就是不要用cone type的nat, 而是採用symmetric type的nat!

但這肯定有不良效應, 因為symmetric nat對p2p的應用是比較不友善, 這也是skype super node會存在的原因! 要測試自己的nat是哪種type可以去下載winstun這個小工具.

我來分享手上這份 Skype 的 PDF 原文資料, 其中對於連線方式有詳細解說
有需要研究的人趕快下載研讀, 免得又被刪檔

[URL=http://home.pchome.com.tw/sport/server/skype-039-04.pdf]SKYPE 原文資料[/URL]


另外 Skype 特殊阻擋小方法, 未避免遭人非議我就不貼上來了
有興趣的朋友可以來小弟的網站閱讀

呵呵　，我已经成功实现了在linux的防火墙上封掉skype,见我的文章：
[url]http://www.routerclub.com/ipb/index.php?showtopic=6523&view=getnewpost[/url]

[URL="http://www.example.net.cn/archives/2005/01/skypeinoeoeioe.html"]Skype的主要組成部分-Skype通訊協議分析(1)[/URL]
[URL="http://www.example.net.cn/archives/2005/01/skypeaeoeoeeoes.html"]Skype的主要組成部分-Skype通訊協議分析(2)[/URL]
[URL="http://www.example.net.cn/archives/2005/01/skypeaeoeoaeues.html"]Skype的主要功能-Skype通訊協議分析(3)[/URL]
[URL="http://www1.cs.columbia.edu/~salman/publications/baset_schulzrinne_04_01.pdf"]An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol[/URL] (Skype v0.97)
[URL="http://www1.cs.columbia.edu/~salman/publications/skype1_4.pdf"]An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol[/URL] (Skype v1.4)

[URL="http://www1.cs.columbia.edu/~salman/skype"]General Skype Analysis[/URL]
[URL="http://shreks.blogchina.com"]史瑞克的沼澤地 (Shrek's Swamp)[/URL]

[URL="http://www.krainy.com/article.asp?id=42"]用了P2P終結者，讓他們鬱悶去吧。 - 金雨時紛（KRainy 's Blog）[/URL]
[URL="http://bbs.twftp.org/archive/index.php/t-7268.html"][轉貼]結束局域網流量驟增的惡夢－P2P終結者[/URL]
不知道[B]P2P終結者[/B]對於Skype 是否有用, 好玩的是, 既然有P2P終結者, 自然也就有[B][I]反[/I]P2P終結者[/B], 真是夠了

[URL="http://www.ithome.com.tw/plog/index.php?op=ViewArticle&articleId=7239&blogId=610"]IM側錄及網路行為稽核探討 | 封鎖Skype的方法?[/URL]
[URL="http://www.lynanda.com/products/software-for-corporations/traffic-filtering/how-to-use-our-traffic-analyzer"]How to use the Skype and P2P traffic blocker? — Lynanda Computing Services[/URL]
[URL="http://www.lynanda.com/products/software-for-corporations/traffic-filtering/skype-detection-whitepaper.pdf/view"]skype detection whitepaper — Lynanda Computing Services[/URL]
[URL="http://www.snort.org"]Snort - the de facto standard for intrusion detection/prevention[/URL]
[URL="http://www.activeworx.org"]Activeworx.org - Security Tools - Snort IDS Software[/URL]
[URL="http://www.cipherdyne.com/fwsnort"]CipherDyne -- fwsnort[/URL]

看來skype真是神奇的東西,實在很難去擋掉它....

layer7 的防火牆就可以擋了.

目前最有名的就是websense 吧

[URL="http://www.websense.com/"]http://www.websense.com/[/URL]

滴水不漏