ISP 可以用哪些手段检测到用户在使用路由器共享网络?用户可以规避吗?

2015-02-10 17:31:44 +08:00
 acess
背景:LZ大学生一枚,使用南京电信校园宽带
尝试过这个,但是碰到TCP连接重置,甚至短时间封号等问题,暂时没有看到过警告网页:
http://tieba.baidu.com/p/3300824382?pn=1
怀疑电信有共享检测,但不确定
所以现在来问一下众V友,用了路由可能会暴露什么特征。

LZ能想到的:
最明显的,经过路由,TTL-1,但这个可以用iptables改。
以前还有人弄过iptables ipid模块
这两个都对LZ无效
应用层,现在web明文登录的不少,cookies,user agent貌似都可能被分析,但这个不太好规避,电信大概也不会去检测吧。
还有可能暴露什么特征呢?用户又如何规避?
LZ试过一次猎豹wifi,至少它对TTL有处理,拨号的机器和wifi客户端ping里的TTL都是一样的。
11275 次点击
所在节点    问与答
33 条回复
my623
2015-02-10 17:59:07 +08:00
通过user-agent. 检测到两个不同的UA就会封锁 请搜索 网康科技
weisoo
2015-02-10 18:03:11 +08:00
@my623 如果是这样的话,我一台电脑装多个浏览器也不行了?
9hills
2015-02-10 18:03:46 +08:00
在阿里云/青云等做个shadowsocks,然后全局shadowsocks好了。。流量特征全部抹平
sandideas
2015-02-10 18:05:56 +08:00
用两个路由器可破。。
ScotGu
2015-02-10 18:22:03 +08:00
@sandideas +1 双路由的确挺好用,我在大学就这么干。
my623
2015-02-10 18:27:50 +08:00
@weisoo 根据类型来的,比如说同时出现桌面浏览器和移动浏览器,同时出现两个不同品牌手机的浏览器。 校园网不安全,如果不缺钱,最好不要用。别折腾了,得不偿失。
fchypzero
2015-02-10 18:54:46 +08:00
@sandideas 没想通,怎么破法?求教。
acess
2015-02-10 18:58:01 +08:00
@fchypzero 第一个路由拨上宽带,它的LAN口接第二个路由WAN口,第二个路由设置WAN口为DHCP,LAN口网段与第一个不同
这样就经过了2层NAT
很奇怪,这样真的有效么?
acess
2015-02-10 19:04:57 +08:00
@9hills 这两个网费都好贵啊
sandideas
2015-02-10 19:07:32 +08:00
@acess 可以试试。。
ccseven
2015-02-10 22:46:44 +08:00
@acess 华为SIG非法共享接入监控解决方案20051223

http://wenku.baidu.com/link?url=xU4GYye80AtlSIaU4BY5ixm5u2EC1-P4WhBYr87DoIgvS0TwyH62KIec8ZSuTw9Y01JXVvvXGQS0PO_kkIXzjKmlncAlw4h4n-EXQFpIYlG

某市某运营商该项目就是华为SIG方案!不要问我怎么知道的 ( ̄▽ ̄)"
ccseven
2015-02-10 22:47:30 +08:00
准确点说 整个省都是!
weisoo
2015-02-10 22:50:36 +08:00
@my623 对网站开发者来说,同时开几个类型的浏览器很常见,那不要活了?
extreme
2015-02-10 23:03:39 +08:00
@sandideas 路由器连接上网了,算一个上网终端,第二个路由使用前一个路由器上网,算第二个上网终端。
sandideas
2015-02-11 00:15:42 +08:00
@extreme 那你会不会用电脑连接路由器上网呢
extreme
2015-02-11 00:34:20 +08:00
@sandideas 你是不是没在自己的电脑上用过PPPOE?
电信肯定是想你们都用Modem,然后唯一与Modem连接的主机再通过PPPOE上网。
wohenyingyu01
2015-02-11 00:52:51 +08:00
以前我们学校是加密PPPOE的密码,即输入的密码与真实的密码不一致,要安装专用客户端才能解密拨号,于是路由器用不了,而且该客户端会禁用电脑上其他的网络适配器防止共享。于是一大堆算号器应欲而生,百度河南网通在线算号器有真相。
acess
2015-02-11 01:01:39 +08:00
@ccseven 感谢分享,虽然资料看起来有点老
这个PPT上说的传输层的检测有IPID和TCP时间戳,还有TTL(若理解有误请轻拍)
IPID和TTL都能用iptables改,但是IPID要费点事(编译模块)
TCP时间戳呢?有办法搞定这个么?

另外这个PPT似乎反映出一点:被封是不定时的,情况可能在一周内都会有很大变化,取决于电信那边操作者的心情。(扑朔迷离,用起来提心吊胆,威慑效果也更好)

另外,还有没有其他传输层可以做的检测?有没有办法规避?

@my623 我觉得电信不会BT到查User Agent,至少不会作为主要手段。
对于主要目标:多台电脑共享,检测结果又不准(也许大家都是一样的系统,一样的浏览器)
可以查到你的手机平板也跟着上网了,但封这个没多大意思啊,归根到底就一个人在用,流量又不会多大。就算逼人用数据流量,也未必用的是电信的。
但我记得有一次被封很像是被查User Agent了。只出现过一次,那时拿ChinaNet这个wifi热点来共享,身边人拿出手机连上使用,很快就连接被重置了。那次之后就没有这种现象了。

要是分析流量到如此地步,也许只有在外面搭一个VPN,使用加密连接才能绕过了。
acess
2015-02-11 01:16:08 +08:00
@wohenyingyu01 已经有人做了拨号器,帖子里说了,和算号器应该等效。
根据网上的分析,和自己的使用感觉,这个客户端的制作还是蛮低劣的,应该不会有太复杂的东西。
比如连上任何wifi,这个客户端都会提示你连了电信校园wifi,而且这时关掉客户端,wifi就会断线。
www.f-young.cn也是这样,正常点进去下载客户端,会发现下载页面就是连接出错的警告页面(请卸载猎豹云云)
但是网络明显受到人为干扰。照这样说,还是电信在通过分析流量来检测共享。
sandideas
2015-02-11 01:37:42 +08:00
@extreme 用无线路由器A拨号,然后在无线路由器A的Lan口和另外一个无线路由器B的wan口接起来。所有电脑都通过一个无线路由器B上,无线路由器B接在拨号的无线路由器A上面。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/169892

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX