设计一种方案,让连接者不认证即无法上网?

2015-03-13 10:09:49 +08:00
 xiaozhizhu1997
背景:常去某处,此地布有公共WLAN,但有认证页面,需要关注他们的微信公众号来通过认证。本人厌恶微信,不想安装。
直到有一天偶然发现跳到认证页面似乎是个HTTP劫持的原理,尝试HTTPS,能直接上。
从此,连上后开全局SS,跳过认证。
如果我是此WLAN的运营者,如何阻止用户以诸如此类的手段跳过认证?
3852 次点击
所在节点    路由器
12 条回复
learnshare
2015-03-13 10:23:23 +08:00
HTTP 可以劫持,HTTPS 暂时劫持不了。

认证页面能看到,其实已经可以联网了,只是把未认证的设备重定向到认证页面上。可以在此基础上考虑劫持 HTTPS(几乎为不可能?),或者从更底层上完成认证动作。
azuis
2015-03-13 10:32:06 +08:00
可以考虑通过防火墙策略来控制,默认仅能连接微信服务器IP。 认证成功后开放其他IP连接。
winterx
2015-03-13 10:32:21 +08:00
这种完全是最基本的WLAN认证

市场上有更深入的认证,是基于协议控制+端口控制
我见过的一款,就是在端口跟协议做手脚,连上去禁止部份协议,只开放认证域名与80端口,并且把所有域名重定向+白名单

楼主可以看一下wifidog,还有CMCC
honeycomb
2015-03-13 10:50:04 +08:00
如果压根就不用WiFi呢?
111111111111
2015-03-13 11:49:46 +08:00
用过机场的公共wifi,验证的时候系统记录了MAC
111111111111
2015-03-13 11:53:09 +08:00
顺便吐个槽,现在很多企业路由器都有这个功能啊
gamexg
2015-03-13 12:10:49 +08:00
Cmcc

实际上Cmcc也可以走 DNS VPN 来免费上网,就是速度太慢。
lshero
2015-03-13 13:07:50 +08:00
不重定向HTTPS主要是懒得区分微信的服务器地址
真想弄严格点微信的服务器的IP加个白名单行了
另外做公共WIFI 没认证之前 DNS的53端口也一定要重定向可信的DNS上
frankzeng
2015-03-13 13:41:28 +08:00
cmcc难道可以吗,它应该堵上了吧
gamexg
2015-03-13 19:55:03 +08:00
@lshero 有正规的域名+自己的dns服务器即使是将53端口流量定向到可信dns上面也可以用 dns vpn 的。

为了防止客户端缓存错误的dns记录,cmcc 不会对dns响应进行劫持,只对http之类的流量劫持到登陆界面。网上就出现了利用dns解析来上网的vpn方法... 听说速度只有几k ...
gamexg
2015-03-13 20:04:48 +08:00
lshero
2015-03-14 00:45:44 +08:00
@gamexg
DNS VPN是因为为了保证获取解析正确,计费认证之前没有把UDP 53端口的请求过滤,所以可以用OPENVPN 的53端口建立VPN

但是如果认证之前把端口重定向到指定可信的DNS的话,所有DNS请求都被劫持到了DNS服务器,连VPN服务器都没法到达自然没法建立隧道

至少重庆移动12年前就把我们学校的这个漏洞封堵住了,以前确实可用一段时间而且速度没有特意限制速度

看一下移动研究院13年的文章 中早就提及了这种方法所以运营商该做防范措施的早就做过防范措施,还没做防范措施的是压根就不重视这块的业务
http://labs.chinamobile.com/news/99098_p1

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/176548

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX