在公司通过共享 wifi 上网会被提示“移动终端访问被拒绝”,怎么破?

2017-07-17 10:35:35 +08:00
 tr0uble

公司有上网行为管理的东西,一些网站上不了,平时还能通过 ss 绕过去。

4G 流量快要用光了,办公又要用微信,而且不提供 wifi,自己买了个无线网卡,试了各种软件发现用不了,有没有晓得怎么绕过这个行为管理的老哥?

10507 次点击
所在节点    程序员
48 条回复
mrhuiyu
2017-07-17 14:10:07 +08:00
@tr0uble
大概就是这个。
[Imgur]( )
tr0uble
2017-07-17 14:12:25 +08:00
@Famio 但是我用 vbox 虚拟机做 nat 上网,就不会识别为两个设备吗
tr0uble
2017-07-17 14:15:21 +08:00
@akrf 假如我本地连接 ip 是 172.30.1.2,手机共享 wifi dhcp 获得地址是 192.168.1.2,手机代理设置哪个 172.30.1.2:1080 还是 192.168.1.1:1080.
Famio
2017-07-17 14:19:11 +08:00
@tr0uble 不,能识别到,只是后台有一个配置来控制终端数量,这个阀值由 IT 控制的。如果超过这个阀值,那就会被封,假如 IT 允许你有两台终端,那你物理机+一台 VM 做了 nat,是不会被封锁的。
torbrowserbridge
2017-07-17 14:20:37 +08:00
原来你们公司也有类似的玩意儿
diydry
2017-07-17 14:44:30 +08:00
这东西。跟管网络的商量下吧
yan5990853
2017-07-17 14:45:02 +08:00
找 IT 帮忙开个洞是最省事的,真心不建议自己折腾。
行为管理设备的共享检测能力决定了绕过难度,如果是大厂想绕过就很难了。
说说我用过的行为管理设备的共享检测方式给你参考下。

1.时钟漂移 这个有点高端,与物理时钟有关;
2.TTL 不同系统 TTL 不同;
3.IP 轨迹 主要是针对 windows 系统;
4.应用特征 识别协议,比如 http 头。
goodan
2017-07-17 15:01:46 +08:00
喜欢 v2 这样的氛围。。在其他平台发布帖子肯定几百年都没任何结果。
ovear
2017-07-17 15:13:09 +08:00
深信服很简单绕啊
绕这个不是作为各大高校生存必备技能么。。
他的 IDS 主要分为两部分
UA 检测,HTTP 劫持
UA 检测就是检测 Windows 里面的版本,还有移动设备的版本。超过的话就给你断断网
HTTP 劫持,就是首次访问单 HOST 会被劫持到一个 1.1.1.2 的 IP (我校是设置的这个),就是针对于 PC 做一个指纹,我之前反编译了他的代码。
发现就是通过 JavaScript 判断下系统版本,然后调入一个 flash,然后进行像是字体啥的分析,然后提交上去。
这个更简单了,屏蔽 TTL=127 的包,同时这个也可以绕过,深信服的旁路截断,只要网速够快,是可以绕过断网策略的。
)至于怎么彻底绕过断网策略就不在这说了,请到 github 上搜索。
深信服对于 TTL 的检测不是很严格,路由开不开都没事

所以破解方法出来了
如果深信服设置了,允许 2 台设备的话,你理论上可以使用任意一个类型的手机(Android/iOS)+所有电脑
如果允许 3 台设备的话,你可以使用两种类型的手机+所有电脑
如果只允许 1 台
请选择在主机上面做 HTTP 代理,强制修改 HTTP HEADER,或者用 SS 代理出去。这两种方法各有利弊。

联动
https://www.v2ex.com/t/302993#reply2
https://www.v2ex.com/t/315149#reply1

顺便
@Famio
Famio
2017-07-17 15:17:54 +08:00
@ovear 666
akrf
2017-07-17 16:18:10 +08:00
@tr0uble 目测都行,可以在手机上试试。另外如果是 pac 的话,服务器地址是 127 本地地址,需要手动改成 172 的内网地址。
dianxin
2017-07-17 18:18:44 +08:00
好像是可以 静态 IP 上网。挂个 360wifi ?
tr0uble
2017-07-17 19:18:14 +08:00
@ovear 我在 iphone 连接 wifi 时设置 http 代理为 ss 的代理,但我这个服务器国外的,有什么办法加速吗
ovear
2017-07-17 19:21:05 +08:00
@tr0uble 换国内的。。搭个 SS 在家之类的。。
tr0uble
2017-07-17 19:22:00 +08:00
@akrf 我在 iphone 连接 wifi 时设置 http 代理为台式电脑的 ss 代理,但我这个服务器国外的,有什么办法加速吗
tr0uble
2017-07-17 19:25:43 +08:00
@ovear 请选择在主机上面做 HTTP 代理,强制修改 HTTP HEADER,这个 http 代理的软件有什么推荐的吗?
tr0uble
2017-07-17 19:30:28 +08:00
现在的情况是:
公司台式 ip:172.30.1.2,上面有我的 ss 代理,在 1080 端口
windows7 建立 ap,ip 是 192.168.175.1

iphone 连接上这个 ap,分配到 192.168.175.2,然后把 http 代理手动设置为 172.30.1.2:1080

可以绕过,就是很慢
ovear
2017-07-17 21:13:37 +08:00
@tr0uble SQUID 可以
akrf
2017-07-17 21:27:36 +08:00
@tr0uble 换一台国内的服务器当 ss 代理呗
pynix
2017-07-17 21:30:07 +08:00
离职

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/375845

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX