- 发帖可能变空内容,邪门暂不知所以然
- 『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【原创】怎样在复杂情况下突破中国电讯的网络尖兵? -- 山寺桃花
家园 【原创】怎样在复杂情况下突破中国电讯的网络尖兵? 老婆这次回广州带了个路由器,准备准备装在我爸妈的家里。谁知道有两个问题:
首先是,广州电讯使用了网络尖兵防止你架设路由。再一个,家里的宽带是那种没有adsl modem, 有的是一个直接入户的一个网络插口,类似于我们在学校里用的Ethernet. 给了一个固定ip.
在这种情况下怎么架设路由呢?会不会出现双重NAT的问题呢?PC经过路由器NAT后到达的是另一个私有网络,然后要经小区的网关路由器再一次NAT才可以到公网上。会不会有个返回路由的问题?
电讯显然捆绑了ip 地址和mac . 对这一点,我打算让路由器克隆原计算机的mac 来实现欺骗。 路由器连上了以后会把包传送给不同的计算机
但网络尖兵会扫描发现检查同一IP地址的数据包中是否有不同的MAC地址。有人提议把所有的计算机的mac 该成一样。 那么上网后,数据的传送会不会乱套呢?我的理解是可能可行,在路由器下的计算机mac一样,ip 不一样,不会乱套。但前提是不是只能让路由设固定ip 给这些计算机?
请达者赐教,桃花拜谢了,大把桃花恭候。
本帖一共被 1 帖 引用 (帖内工具实现)家园 而且这个尖兵的硬件成本也是很高的 如果没有底层网络设备的支持它的很多功能根本就实现不了,就更谈不上什么精确打击了。就象我上面说的一样就是乱打击了。实际上最简单的对付办法就是在你的内网出口的地方把包都整一整,单机上网啥特征就是整成啥特征,它一点办法也没有,呵呵。
家园 hehe,你用的这种是小区宽带了 一般就是光纤到楼,然后5类线到家,给你一个网口和一个私有固定IP。你可以用路由器来架设内网的,如果给你的是192开头的IP,你内网就用172开头的或者10开头的就可以了,中间做个NAT就可以了。
家园 呵呵,NAT你做多少次都是没有关系的 路由器也可以使用MAC地址欺骗来达到冒充PC的效果。等你内部网的包出去的时候都用的你的网关,也就是路由器的MAC地址,所以你内部的机器MAC地址都是不用改的。实际上大雷克这个什么尖兵使用的多重检测方式,反正现在的宽带也不稳定,它觉得你有什么异常就断你一会,让你小不爽一下(呵呵,如果你真用了代理)。一般检测的有异常流量,同时打开的端口数,同时发生的连接数,当然还有上面兄弟说的TTL了,还有检测HTTP连接里面的HEADER(到第四层了),呵呵,你如果用什么ISA之类的代理服务器就死定了,这个HEADER里清清楚楚,他们发现一个就DROP一个,呵呵。所以说这个尖兵很不准的,用了就知道了,有的用户不是省油的灯,和你倔上了就完不了。
SNMP是ADSL路由器用的啦,上面给你配的猫开的有口子,所以就知道你内部网接了多少台机器了,这是个最苯的办法了。
实际上抓两个包分析一下就知道代理没有,只不过有的时候的确没有必要而已。我的意见,就是限流量,管你上几台呢,多用多掏钱不就行了。
家园 明白了,多谢不厌其烦的反复回复。 回答的正是我要问的。送桃花。
家园 关于NAT 几天没机会上网,刚看到你的发文。我没有机会试网络尖兵,所以解决方法没有针对性,只是根据你的发文泛泛而谈。
因为使用NAT,经过NAT转换,从NAT路由器出来的IP包不会有不同的MAC地址,他们全都用NAT路由对外端口的MAC地址。所以这一MAC地址要克隆你注册的MAC地址,但NAT以内内部网的机器都不要改。
单重或多重NAT没有本质区别。双重NAT对一般应用没有问题,不过可能对某些p2p,voip,和vpn应用会有问题,当然同样应用在单重NAT下也可能会出问题。具体情况比较复杂,不多说了。
一般检测共享无非是预设限制(流量,连接数等等)扫描和监听这三种手段。
预设限制的方法根本不在乎是共享还是单机,超过限制一律假设为共享,所以没什么好办法对付。不过一般这类限制额比较高,否则正常用户都没法使用,false positive太高。所以如果你家里不是使用量非常大,那应该还可以。当然如果太大,就要想其他办法了。没有办法对付流量限制,不过包月的不应该设流量限制。对连接数的限制只能从架代理的角度来想办法。
对付扫描的手段是有针对性地设好你的防火墙。
单纯的监听除了一种方法外对NAT一般没有用(当然还可以辅以各种行为分析手段来判断到底是一台还是几台机器,不过估计可能性不大)。这种这种办法就是看IP包头里的TTL值。一般TTL初始值都是2的指数,比如Linux和BSD都用64做初始值,windows用128等等。而NAT因为是路由器,在处理IP包的时候必定要把这个值减去1。所以尖兵如果发现向外走的IP包有非2的指数的TTL值,那就是说该IP包已经经过过路由器了,否则收到的IP包TTL值应该还是初始值。这样就可以断定有共享。解决办法就是去掉NAT递减TTL的效果。一般NAT路由没有这功能,我也不熟悉国内市场上有没有带此功能的NAT路由。如果是自己的linux机做NAT,那需要改kernel里IP处理部分的程序,再重造kernel。如果你对自己的终端机器熟悉,也可以改它的缺省TTL值,变成正常值加1,比如linux机用65,window机用129等等。
元宝推荐:四月一日,- 复 关于NAT
家园 又拜读了一遍 因为使用NAT,经过NAT转换,从NAT路由器出来的IP包不会有不同的MAC地址,他们全都用NAT路由对外端口的MAC地址。所以这一MAC地址要克隆你注册的MAC地址,但NAT以内内部网的机器都不要改。茅塞顿开啊.另,我又ZT了NetSniper网络尖兵工作原理, 可否您接着展开?
- 复 关于NAT
家园 谢谢:作者意外获得【西西河通宝】一枚 - 复 关于NAT
家园 非常好文。 好像网络尖兵监听的是SNMP,这样关闭161端口是否也就阻止它得到IP包头里的TTL值?顺便问一下您voip 的坑什么时候填?我正翘首以待。我虽然不是要自己架设voip server. 但也是voip的受益者。我就是买了一个VONAGE 的voip adaptor, unlock 以后就可以满世界用免费的voip 服务。 国际国内全是免费。呵呵。GO VOIP.
家园 买了一个磊科的路由器 据他说是可以对付网络尖兵的 不过还没遇到考验过
似乎网通有这个限制
铁通就没有 还是国营老大的习惯
家园 找到了NetSniper网络尖兵工作原理