Я пытаюсь заблокировать Skype, используя snort и iptables . Я прочитал много статей и заблокировал порт, ключевые слова и шаблоны, которые использует Skype. Но это все еще не заблокировано.
У меня вопрос: если Skype использует HTTP-порт 80 или https-порт 443, как компьютер распознает этот пакет как пакет Skype, а не как веб-пакет? Это может помочь мне в блокировке Skype.
Относительно "как компьютер распознает этот пакет как пакет Skype, а не как веб-пакет?Msgstr "Пакет отправляется любой программе, которая прослушивает порт. Если Skype решит использовать TCP/80 и случайно начнет общаться с веб-сервером, веб-сервер будет сбит с толку, выдаст ошибку (или откажется отвечать), и Skype сдастся. Если веб-клиент решит подключиться к Skype, Skype увидит запрос и обнаружит, что это не Skype.
Это означает, что вы не можете заблокировать Skype, используя только информацию об IP/ порте. Блокировка на основе содержимого со статическими правилами предполагает, что всегда существует фиксированная подпись. Поскольку Skype является частной собственностью, протокол может измениться в любое время, что делает старые правила бесполезными. Skype хорошо умеет обходить фильтры. Я не удивлюсь, если они сделают что-то вроде добавления случайного ключа в начале и шифрования остального трафика с помощью проприетарной версии Skype RC4, ни сейчас, ни в будущем. Это сделало бы невозможным отличить трафик от случайного шума.
С трафиком порта 443 они также могут просто запустить реальное соединение SSL. Это затруднит распознавание (если все сделано правильно), если вы не хотите проводить анализ трафика (как в "количестве и времени трафика"). Я не знаю, делают ли они это, но опять же, проприетарный протокол может измениться.
Самый надежный способ удержать пользователей от использования Skype - это сканирование исполняемых файлов на компьютерах и / или LARTing пользователей, которые нарушают политику, используя его.
Также проверьте трафик на других портах. 80 и (более вероятно, "или") 443, вероятно, просто минимум, который нужен Skype. Возможно, вас порадуют некоторые порты, которые вы пропустили, даже если 80/443 полностью заблокированы. Проверьте UDP-трафик!
Вот ссылка на статью, представляющую правило Snort для блокировки Skype:http://www.md3v.com/block-skype-with-snort
Подпись, которую мы ищем здесь, это "17 03 01 00", которая является ответом, полученным клиентом, вошедшим в систему.
Если вам интересно, загляните на эту страницу: http://www1.cs.columbia.edu/~salman/skype/
