开贴说说如何免费使用基于 DOCSIS 协议的宽带

2017-01-22 16:37:18 +08:00
 JackyBao

以前那种接有线电视线,然后给你一个 cable modem ,路由器设成 DHCP 就能上网的宽带,不知是否还有人记得?一般这种宽带都是当地的有线电视运营商来运营的,比如上海的东方有线。

现在这种上网方式在上海已经基本绝迹, NGB 改造后,都变成 PPPOE 了,其他城市不是很清楚,欢迎大家补充。

下面就和大家说说这种老式的基于 DOCSIS 协议的宽带认证过程存在的一个很愚蠢的 bug ,让用户可以不付费就能使用。

以下提到的内容技术上可能并不十分准确,因为 LZ 既没有在相关运营商内工作过,也没有正统的学习过相关知识。一切全靠个人理解,以及 google 。各位感兴趣的,想进一步了解的,欢迎自己 google 。

先抛砖引玉一下,什么是 DOCSIS 。想了解的点我: https://en.wikipedia.org/wiki/DOCSIS

以下所有内容都是 LZ 十几年前研究的,比如 DOCSIS 协议, LZ 只研究到 2.0 ,后面的版本据说修复了这个漏洞,不过后面的事情 LZ 就不知道。

先去撒泡尿,回来慢慢写。各位若要喷,请轻喷。

10471 次点击
所在节点    宽带症候群
73 条回复
ovear
2017-01-22 16:45:09 +08:00
目测大新闻。。先支持一波
millson
2017-01-22 16:47:51 +08:00
前几年用过广电的宽带,貌似符合描述
JackyBao
2017-01-22 16:50:23 +08:00
先简单说一下 DOCSIS 协议的宽带,他的认证过程是怎么样的。
1. 上电自检
2. 搜索下行和上行的工作频率。
3. 向局端发送一个 DHCP 请求。
4. 局端收到后,回复一个内网 IP , DHCP option 里面会包含一个配置文件下载地址。
5. 下载配置文件,然后就连线成功,可以正常上网了。

整个初始化完成以后,你接在 cable modem 后的路由器就能 DHCP 到公网的 IP 了。 cable modem 现在起对用户来说就是一个透明网桥。

聪明的你有没有想到整个认证过程的 bug 在哪里?
c0878
2017-01-22 16:59:37 +08:00
十年前广电有线通宽带就是这样的 闭路线接一个猫 现在应该没人用了吧
azuis
2017-01-22 17:07:10 +08:00
美国用这种的还很多…
vibbow
2017-01-22 17:10:35 +08:00
欧洲用 DOCSIS 的还不少吧,现在是 3.0 了。

认证过程好像不是这样的,好像是证书认证的。

然后我把猫设为桥接口,猫后面的每个设备都可以获取到一个外网 IP...
yawen263
2017-01-22 17:13:03 +08:00
dalao 要出大新闻了,先去买点瓜子,坐下观摩
yexm0
2017-01-22 17:13:59 +08:00
是的,要证书认证和绑定 mac,弄得想换个猫都不行.
fengyuwujian
2017-01-22 17:16:09 +08:00
@JackyBao 可以自行修改配置文件?
JackyBao
2017-01-22 17:18:25 +08:00
@vibbow 没错, 3.0 的证书就是为了封堵这个漏洞,但是我肯定国内很多运营商还在用 1.1 。
lekai63
2017-01-22 17:28:32 +08:00
所以这个方案可能适用于广电系统的宽带??
杭州的比如 华数?
可是现在宽带都是光纤接入了。不是以前有线电视的同轴电缆了。会继续使用老的协议?
121121121
2017-01-22 17:44:35 +08:00
北京的有线宽带就是 docsis 3.0 上 50M 轻松
sudo1453
2017-01-22 18:26:28 +08:00
有些运营商虽然上了 3.x ,但用了不厂商同的设备,做证书什么的非常混乱,所以索性就没做 BPI

顺便说一句, docsis 就是玩 dhcp , snmp 和 vlan 的游戏

如果 modem 可以成功 online ,可以试试发送一个 vendor class 为 docsis3.0:的 dhcp 请求,有很大几率进入猫网(准确来说应该是猫的专属 vlan),这里面很多机子开放 80/22/23/8080 之类的端口,而且口令几乎都是默认的(有些可以在运营商下发的配置文件中找到);然后可以记下这些机子的 mac ,序列号,如果开放 22/23 甚至可以拿到 bpi 证书。

稍微看看下发配置文件内的 snmp 组和来源 ip 段,如果条件允许,用 snmp 可以轻轻松松轮循一个段
redsonic
2017-01-22 18:58:42 +08:00
目测要拆机,上 jtag ....... 和光猫的玩法一样。 不过一般这种盒子都有外置串口(东方有线的就有),能直接打通这个串口 玩的门槛会降低不少。
liyvhg
2017-01-22 18:59:43 +08:00
作为一个给广电做过 cable modem 的人看不下去了。
1. cable modem 局端设备 cmts 一般是基于 Mac 地址认证 cable modem ,只有在白名单(开户)内的设备才能上线,否则协商过程中直接拒绝上线(在楼主的第 2 步和第 3 步之间)
2. 确实也有像楼主说的部分运营商不做 Mac 地址认证,因为要沿用其他的网管计费系统,这种一般用 PPPoE 做计费认证,不通过 PPPoE 的设备取决于具体 cmts 的 ACL ,一般是访问不了任何地址的(包括 cm 内网)。
3. 国内目前最低用到 docsis2.0 协议, docsis2.0 同样支持 bpi 认证,证书的 cn 字段是设备的 Mac 地址,设备和证书都分为欧标和美标,欧美的 docsis 控制了设备的唯二两个根证书,所有厂商的设备证书都要向他们买。买来之后设备的证书链是设备提供商生产的时候直接写入 cable modem 里面,普通的 SNMP 节点是读不出(私钥)来的。
4. 华数、天威、歌华、其他几乎各个省市的 cable 运营商(广电)都有我们的设备在出货,漏洞是有一些,但是不会有这么大范围的
5. cable modem 里面也是有防火墙的,防火墙的配置一般根据配置文件里面写的来处理,源地址、目的地址、协议号、源端口号、目的端口号、数据包的任何字段和特征都可以检测并做相应处理。能精确到给每一个 cable modem 的 Mac 地址分配一个不同的配置文件。
liyvhg
2017-01-22 19:09:31 +08:00
话说楼主这个 docsis 的基础知识自学得非常不错,不知道有没有兴趣从事这方面的具体工作,坐标深圳~急需
windfarer
2017-01-22 19:30:59 +08:00
大新闻帖硬生生被歪成了挖人帖↑
JackyBao
2017-01-22 21:18:05 +08:00
@liyvhg 我就说一点, mac 地址是可以伪造的。
然后局端发回的配置文件,谁规定 cable modem 就一定应用你的配置文件呢?

具体我后面会讲,请听我慢慢分析。
legendt
2017-01-22 21:19:09 +08:00
听说过 Forceware 吗?
cquzc
2017-01-22 21:19:36 +08:00
我就关心深圳天威能用不

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/336250

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX