网络数据包过滤的设计

要求：对于访问某一个网页进行过滤操作，例如对www.qq.com禁止访问

描述：我现在的处理是：当访问此页面时会有dns请求，这个时候分析获取的包，解析出其IP地址（可能有多个）保存起来。然后在发送例程中，判断如果是发往此IP的就阻断。
由于存在多个域名可能指向同一IP的情况，所以在判断出是指定IP后还要解析数据包获取其host是否是我指定的（这里是www.qq.com），都满足时就阻断此包。

问题：举www.qq.com为例，的确截获到了数据包，并阻止成功，但是，一段时间发送包失败后，我捕获到一条发往mat1.qq.com的包，这个时候没有阻止了，但是其IP地址与www.qq.com是相同的，结果就是www.qq.com访问成功了。

现在就是想问问这个流程如何设计好？有没有什么好的办法？
谢谢

引用楼主jiratao于2011-01-06 17:39发表的 网络数据包过滤的设计 :
要求：对于访问某一个网页进行过滤操作，例如对www.qq.com禁止访问

描述：我现在的处理是：当访问此页面时会有dns请求，这个时候分析获取的包，解析出其IP地址（可能有多个）保存起来。然后在发送例程中，判断如果是发往此IP的就阻断。
由于存在多个域名可能指向同一IP的情况，所以在判断出是指定IP后还要解析数据包获取其host是否是我指定的（这里是www.qq.com），都满足时就阻断此包。

.......

你可以使用DNS欺骗，自己返回一个回应包，这个里面带有假的IP地址。这样就可以不能访问啦

恐怕不行额，因为有的是针对URL，例如www.qq.com/a.jsp 还有www.qq.com/b.jsp，其中一个能访问，另一个禁止访问，但是dns返回的都是一样的域名IP。。。

只比较www.qq.com就好了。关于www.qq.com开始的都有效这样   。  很久之前已经拦截了www.baidu.com