本文转载自：【链接登录后可见】 （安全√） 由于计算机的普及以及上网成本的降低，现在上网已经成为了我们生活的一部分。可是我们的网络环境却是越来越恶劣，不仅有病毒和木马的侵扰，还有就是那令人生厌的铺天盖地的广告。使你我在网络间遨游时心情受到极大干扰。呵呵，现在连网络服务商都不遗余力的推销广告了，而且由于网络服务商的特殊性，使得我们没有办法或者缺乏一种有效的办法去应对这些令人生厌的广告。 内容导引： DNS和DNS劫持的概念，已经和本文相关的知识（一） 对于如何阻止网络服务商广告的原理阐释（二） 建立IP安全策略的详细方法（三） IP安全策略的模版（四）——请没有耐心看完1~3的童鞋这里一定要看哦，不然，呵呵。。。没有效果 一、1.、DNS是什么呢？DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。 2、DNS劫持是又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。 3.、 UDP 是User Datagram Protocol的简称， 中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。它是IETF RFC 768是UDP的正式规范。定的网络不能反应或访问的是假网址。 4、关于IP安全策略：IPSec 是安全联网的长期方向。它为防止专用网络和 Internet 攻击提供了主要防线。 IPSec 有两个目标： 保护 IP 数据包的内容。 通过数据包筛选及受信任通讯的实施来防御网络攻击。 5、如何启动IP安全策略 (1)从“本地计算机策略”访问“IP 安全策略管理”管理单元，请执行下列操作： a.依次单击“开始”和“运行”，再键入 MMC，然后单击“确定”。 b.单击“文件”，再单击“添加/删除管理单元”，然后单击“添加”。 c.单击“组策略对象编辑器”，然后单击“添加”。 d.单击“完成”，再单击“关闭”，然后单击“确定”。 e.在“组策略”控制台树中，单击“IP 安全策略，在本地计算机”。 (2)控制面板-管理工具-本地安全策略-IP安全策略（推荐） 6.为什么我无法使用IP安全策略 原因：因为服务被禁止了 解决方法：开启相关服务 在控制面板-管理工具-服务 如图： 二、其实说穿了，他们使用的手段就是DNS劫持。DNS域名系统用的是 53端口，UDP53是用来域名解析的，主要用来IP地址的转化。就是说UDP只是用起到一个翻译的作用，将计算机认识的0和1变成人们容易记住的符号。但是最后广告的话还是要建立TCP/IP连接，这就给我们一个解决服务商强制广告的一个方法。就是拦截这个最后连接80端口这个动作。 解决方法产生了就是绑定DNS对出站本地DNS的TCP80端口进行阻止。无论是采用IP安全策略还是防火墙等等，都是要做到这个要求， 这样就可以很干净的阻止服务商的广告了。 三、下面我就来讲下如何利用IP安全策略来阻止网络服务商的广告 1.、先运行CMD命令 然后查看自己的网络服务商的IP地址 知道了网络服务商的地址后我们就可以建立IP安全策略了 2、建立IP安全策略 第一步在控制面板中打开管理工具-本地安全策略 在本地计算机”，选择“创建IP安全策略”选项，进入“IP安全策略向导”，点击“下一步”，在“IP安全策略”名称对话框中输入该策略的名字，如“阻止广告”，点击“下一步”，下面弹出的对话框都选择默认值，最后点击“完成”按钮。 第二步：为该策略创建一个筛选器。右键点击“IP安全策略，在本地计算机”，在菜单中选择“管理IP筛选器表和筛选器操作”，切换到“管理IP筛选器列表”标签页，点击下方的“添加”，弹出的“IP筛选器列表”对话框，在“名称”输入框中输入“阻止我的网络服务商的广告”，点击“添加”，进入“IP筛选器向导”窗口，点击“下一步”，在“源地址”下拉列表框中选择“我的IP地址”，点击“下一步”后，在“目标地址”下拉列表框中选择“一个特定的IP地址”，在IP地址中填入我们刚才IPCONFIG/ALL得到的IP地址，如61.128.128.68。点击“下一步”，接着在“选择协议类型”中选择“TCP”协议，点击“下一步”，接着在协议端口中选择“从任意端口，到此端口”，在输入框中填入“80”，点击“下一步”后完成筛选器的创建。 2010-5-4 21:03 上传 第三步：新建一个阻止操作。切换到“筛选器操作”标签页，点击“添加”按钮，进入到“IP安全筛选器操作向导”，点击“下一步”，给这个操作起一个名字，如“阻止”，点击“下一步”，接着设置“筛选器操作的行为”，选择“阻止”单选项，点击“下一步”，就完成了“IP安全筛选器操作”的添加工作。 最后在IP安全策略主窗口中，双击第一步建立的“阻止广告”安全策略，点击“添加”按钮，进入“创建IP安全规则向导”，点击“下一步”，选择“此规则不指定隧道”，点击“下一步”，在网络类型对话框中选择“全部网络”，点击“下一步”，在接下来对话框中选择默认值，点击“下一步”，在IP筛选器列表中选择“阻止我的网络服务商的广告”选项，点击“下一步”，接着在筛选器操作列表中选择“阻止”，最后点击“完成”。 2010-5-4 21:03 上传 最后完成了创建IPSec安全策略后，还要进行指派，不然IP安全策略是不会生效的哦，(*^__^*) 嘻嘻……右键单击“阻止广告”，在弹出的菜单中选择“指派”，这样就启用了该IPSec安全策略。这样就完成了，简单吧！ 由于DNS有两个，一个是备用的，所以还要添加一个，可怜下偶滴手就不截图了。。。相信大家那么聪明一定没有问题滴！ 四、关于如何使用IP安全策略的模版的问题（请仔细看哦(*^__^*) 嘻嘻……） 1、获取自己的DNS的地址，CMD命令 然后输入ipconfig/all 2、在控制面板-管理工具-IP安全策略中右键-所有任务-导入策略 3.记得指派啊。。。O(∩_∩)O~ 模版，如果有问题提出来，最近比较忙(*^__^*) 嘻嘻…… 最后提醒有关使用的童鞋，一定要正确修改模版，不然没有效果，记得要改DNS的地址哦。。。不然只是我有效果O(∩_∩)O~ 【链接登录后可见】 修改版特性：1、对一些童鞋提出来的问题进行归纳总结 2、加入一些有关小知识 3、对IP安全策略进行了相关阐释 4、为了方便童鞋的方便，编写了模版 5、如果有错误之处，请大大们指出，十分感谢O(∩_∩)O~