1
my623 2015-02-10 17:59:07 +08:00
通过user-agent. 检测到两个不同的UA就会封锁 请搜索 网康科技
|
3
9hills 2015-02-10 18:03:46 +08:00
在阿里云/青云等做个shadowsocks,然后全局shadowsocks好了。。流量特征全部抹平
|
4
sandideas 2015-02-10 18:05:56 +08:00 via Android
用两个路由器可破。。
|
6
my623 2015-02-10 18:27:50 +08:00
@weisoo 根据类型来的,比如说同时出现桌面浏览器和移动浏览器,同时出现两个不同品牌手机的浏览器。 校园网不安全,如果不缺钱,最好不要用。别折腾了,得不偿失。
|
8
acess OP |
11
ccseven 2015-02-10 22:46:44 +08:00 1
@acess 华为SIG非法共享接入监控解决方案20051223
http://wenku.baidu.com/link?url=xU4GYye80AtlSIaU4BY5ixm5u2EC1-P4WhBYr87DoIgvS0TwyH62KIec8ZSuTw9Y01JXVvvXGQS0PO_kkIXzjKmlncAlw4h4n-EXQFpIYlG 某市某运营商该项目就是华为SIG方案!不要问我怎么知道的 ( ̄▽ ̄)" |
12
ccseven 2015-02-10 22:47:30 +08:00
准确点说 整个省都是!
|
16
extreme 2015-02-11 00:34:20 +08:00
@sandideas 你是不是没在自己的电脑上用过PPPOE?
电信肯定是想你们都用Modem,然后唯一与Modem连接的主机再通过PPPOE上网。 |
17
wohenyingyu01 2015-02-11 00:52:51 +08:00
以前我们学校是加密PPPOE的密码,即输入的密码与真实的密码不一致,要安装专用客户端才能解密拨号,于是路由器用不了,而且该客户端会禁用电脑上其他的网络适配器防止共享。于是一大堆算号器应欲而生,百度河南网通在线算号器有真相。
|
18
acess OP @ccseven 感谢分享,虽然资料看起来有点老
这个PPT上说的传输层的检测有IPID和TCP时间戳,还有TTL(若理解有误请轻拍) IPID和TTL都能用iptables改,但是IPID要费点事(编译模块) TCP时间戳呢?有办法搞定这个么? 另外这个PPT似乎反映出一点:被封是不定时的,情况可能在一周内都会有很大变化,取决于电信那边操作者的心情。(扑朔迷离,用起来提心吊胆,威慑效果也更好) 另外,还有没有其他传输层可以做的检测?有没有办法规避? @my623 我觉得电信不会BT到查User Agent,至少不会作为主要手段。 对于主要目标:多台电脑共享,检测结果又不准(也许大家都是一样的系统,一样的浏览器) 可以查到你的手机平板也跟着上网了,但封这个没多大意思啊,归根到底就一个人在用,流量又不会多大。就算逼人用数据流量,也未必用的是电信的。 但我记得有一次被封很像是被查User Agent了。只出现过一次,那时拿ChinaNet这个wifi热点来共享,身边人拿出手机连上使用,很快就连接被重置了。那次之后就没有这种现象了。 要是分析流量到如此地步,也许只有在外面搭一个VPN,使用加密连接才能绕过了。 |
19
acess OP @wohenyingyu01 已经有人做了拨号器,帖子里说了,和算号器应该等效。
根据网上的分析,和自己的使用感觉,这个客户端的制作还是蛮低劣的,应该不会有太复杂的东西。 比如连上任何wifi,这个客户端都会提示你连了电信校园wifi,而且这时关掉客户端,wifi就会断线。 www.f-young.cn也是这样,正常点进去下载客户端,会发现下载页面就是连接出错的警告页面(请卸载猎豹云云) 但是网络明显受到人为干扰。照这样说,还是电信在通过分析流量来检测共享。 |
20
sandideas 2015-02-11 01:37:42 +08:00 via Android
@extreme 用无线路由器A拨号,然后在无线路由器A的Lan口和另外一个无线路由器B的wan口接起来。所有电脑都通过一个无线路由器B上,无线路由器B接在拨号的无线路由器A上面。
|
21
sandideas 2015-02-11 01:38:30 +08:00 via Android
好像检测的东西叫做网络尖兵。。楼主可以去了解下
|
23
sandideas 2015-02-11 02:08:51 +08:00 via Android
@extreme 真奇怪你这人,我这种方法是我实打实试出来的。什么叫我无法理解。
我在学校的时候用的是联通的网,可以用无线路由器拨号,但是如果两台电脑同时连一个无线路由器,就会提示多个用户使用。所以必须是一个无线路由器外面再套一个无线路由器,这样随便怎么连联通都检测不出来。 不知道你扯那么多什么意思,你试过么。。 好好说话,有谁是无法理解的。真的是。 无线路由器就不能通过猫来拨号了?还是什么的?我电脑可以通过无线路由器来连接上网,路由器连接路由器就算第二个终端从而不能上网了? |
25
extreme 2015-02-11 02:18:03 +08:00
@sandideas 按照你说的,你ISP限制的终端数是二(为什么是二,恐怕是检测方法的原因),达到三就执行相应的措施。
如果限制的是二,你这方法理论上根本不可行。 |
26
extreme 2015-02-11 02:20:59 +08:00
|
27
acess OP @extreme 这里讨论的是电信是如何得知这个终端数的,还有用户能采取什么方法规避
一般路由NAT出去,就像是一台机在上网,除非抓包仔细分析 如果两层路由都没有搞定流量的特征,那么两层NAT和一层NAT我觉得效果没啥区别,所以我怀疑双路由的效果(如果有效,我觉得可能是其中一个的固件有反制措施,掩盖了一些流量特征) 另外ISP貌似也可能采取主动探测(SNMP之类),但这个我觉得就是利用埋设好的后门,这肯定需要电信强制用户使用自己的设备,比如校园无线盒子、光猫之类的。但这意义不大,因为可以在这个设备后面再接路由。 |
29
acess OP 找到一个貌似是去掉TCP Timestamp的办法:
http://blog.csdn.net/dog250/article/details/18959401 看起来还得稍加折腾,和ipid一样需要编译模块 但好处是编译一次应该就可以共享出来,大家一起用了。 另外这样即使有效也不是长久之计——如果大家都有timestamp,就你没有,这也算特征吧。最好能伪造一个 如果理解有误请轻喷。 |
30
sandideas 2015-02-11 08:21:58 +08:00 via Android
|
32
sadpencil 2017-08-27 23:20:50 +08:00
IPID 和 timestamp 确实是比较难防,但是,ISP 如果根据这种手段检测的话,会误伤虚拟机
有了虚拟机这个借口,似乎就不用担心 NAT 封锁了 |
33
Benson1212 2018-10-31 18:13:55 +08:00
@my623 我们学校的就是网康科技的设备,有什么办法防封吗?
|