V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ifwangs
V2EX  ›  问与答

锐捷 web 认证是如何检测代理上网的

  •  
  •   ifwangs · 2017-08-22 08:19:33 +08:00 via Android · 11710 次点击
    这是一个创建于 2649 天前的主题,其中的信息可能已经有所发展或是发生改变。
    假期校园网升级了,全部换成了 web 认证,带无感认证的那种,现在用路由器,手机连路由器无线认证后路由器下其他设备也能上网,但是过一段时间就会被检测到代理上网行为,还有,开 vpn 啥的也会被封。。。这是如何检测的,有没有方法避免呢
    第 1 条附言  ·  2017-08-22 09:08:35 +08:00
    更新之后太贵了,一年四百五,还不能两个终端同时在线,太黑了
    28 条回复    2018-09-23 14:03:37 +08:00
    fcka
        1
    fcka  
       2017-08-22 09:19:59 +08:00 via Android
    标准答案:换学校😂😂
    dea7f1f
        2
    dea7f1f  
       2017-08-22 09:22:32 +08:00 via Android
    锐捷的认证似乎是没办法的,除非你不用。
    ysoserious
        3
    ysoserious  
       2017-08-22 09:38:20 +08:00
    去年我们学校也是强制用了锐捷并开启共享检测,后来我两台电脑全部流量走$$就没被检测到了。

    手机的话,我们学校很诡异的检测方法,用苹果手机连 wifi 就没事,用安卓就会被检测出来。

    现在没在学校住了,不清楚。
    yankebupt
        4
    yankebupt  
       2017-08-22 09:40:42 +08:00
    手机用流量...别规避了,太麻烦
    这种如果是简单的还好说规避,比如克隆 mac,关 snmp,防 nat 解包二次封包什么的就解决了...
    如果是基于行为的检测,比如统计访问者浏览器行为模式猜测终端类型(含移动端 app 专属通信模式检测),统计同版本浏览器非 https 插入的 cookie 差异,检测手机端非自觉信标服务器心跳访问行为(含检测通知中心 http 长连接),基于 tcp 握手 round trip 延迟的辅助检测判断.....之类,一个一个伪装下去能累死.
    nieyujiang
        5
    nieyujiang  
       2017-08-22 10:10:29 +08:00
    试试在学校不断网不认证的地方(比如老师办公室啥的)搭建个为皮恩,然后在宿舍连你搭建的 server 不知是否可行
    ifwangs
        6
    ifwangs  
    OP
       2017-08-22 10:15:48 +08:00 via Android
    @nieyujiang 理论上可行的,53 端口就可完美跨越校园网。办公室有我装的一台路由器,padavn 系统,但是好久没去了
    nieyujiang
        7
    nieyujiang  
       2017-08-22 10:18:12 +08:00
    @ifwangs #6 之前在学校就是这么绕过 drcom 的。
    paradoxs
        8
    paradoxs  
       2017-08-22 10:21:13 +08:00
    合资在附近拉几条 100M 的网, 用 AP 不断中转进学校, 出租给有需求的人 ,卖钱
    tscat
        9
    tscat  
       2017-08-22 10:22:33 +08:00
    买个 vps,ssr 混淆。全局代理,应该检测不出来把。
    fcka
        10
    fcka  
       2017-08-22 10:32:50 +08:00 via Android
    @paradoxs 不断中转……一个的延迟都高的吓人了…
    hzw758
        11
    hzw758  
       2017-08-22 10:34:49 +08:00
    学校刚装无线的时候,通过 53 端口不认证也可以搭 VPN 连外网,后来被封了,必须要认证,认证之后通过 53 端口代理不会被检测到,供参考
    alect
        12
    alect  
       2017-08-22 10:36:59 +08:00
    在学校对面搞个出租房,租用光纤,使用大功率超远距离 WIFI 定向天线指向宿舍楼……

    我编不下去了
    chinvo
        13
    chinvo  
       2017-08-22 10:47:53 +08:00
    用 53 的想多了,现在都是封 53,特定 IP 白名单,不认证内网都不许上
    Patrik
        14
    Patrik  
       2017-08-22 10:49:31 +08:00
    我们学校是客户端验证来着……我路由器上用了 mentohust 开 SS 没什么问题
    web 端认证没见过诶……新版本?
    panda1001
        15
    panda1001  
       2017-08-22 11:19:04 +08:00 via Android
    工信部走起
    ovear
        16
    ovear  
       2017-08-22 11:28:18 +08:00 via Android
    lz 可以参考下之前深信服的。不过推荐行政手段
    rssf
        17
    rssf  
       2017-08-22 11:29:49 +08:00 via iPhone
    买个无限流量手机卡不就行了
    xfspace
        18
    xfspace  
       2017-08-22 12:28:39 +08:00
    @borlee2567 iPhone/iPad 和 Macbook 的 MAC 地址 OUI 都是使用 Apple INC. ,禁了就不能用了。安卓的 比如蓝绿大厂不生产电脑网卡,直接禁掉 OUI 了
    ysoserious
        19
    ysoserious  
       2017-08-22 12:36:52 +08:00
    @panda1001 #12 这个问题工信部也没用。
    iAcn
        20
    iAcn  
       2017-08-22 12:44:10 +08:00 via Android
    跟你们学校管网络的人混的熟一点比啥伪装都好使,学校这种属于承包出去的,工信部管不了
    整个检测流程的话一般也是运营商招标去找公司来装具体的检测设备
    willhunger
        21
    willhunger  
       2017-08-22 13:30:53 +08:00
    Mentohust 需要更新了
    Cavolo
        22
    Cavolo  
       2017-08-22 14:03:51 +08:00 via iPhone
    无限流量卡 iPhone+Mac 解决
    dr3am
        23
    dr3am  
       2017-08-22 16:40:48 +08:00   ❤️ 2
    这种 1 拖 N 的(也叫防私接)检测方式有很多:
    1、应用特征,如果一个 ip 下有两个应用比如安卓和苹果的 360 卫士,认为这个 ip 就是私接,阻断
    2、http 包头会有 UA 的字段,里面包含客户端的系统类型
    3、IP 域检测(检测时间比较长,技术比较老)
    4、TTL 检测、根据检测到有多个 ttl 值来断定有多少台主机
    5、时钟漂移 不同主机物理时钟偏移量不同,通过一些复杂的计算方法可以准确判断出共享上网的主机
    以上为大概的检测方式,检测还是比较准确的。
    如果非要用校园网,建议走加密协议的方式比如说用 S|S,通过代理的方式上网,因为上网行为管理对 ssl 解密方面技术还是有些缺陷。
    mario85
        24
    mario85  
       2017-08-22 17:06:50 +08:00 via Android
    这种情况最好就是不要用学校的网络,转用手机上网。现在都有无限流量套餐,嫌贵就用大王卡,性价比比学校网络高。
    我上大学那时候没有这么给力的套餐,只好老老实实逆向那个认证客户端把检测共享 wifi 的代码去掉,然后用 ssh 代理上网。
    skadi
        25
    skadi  
       2017-08-22 21:32:35 +08:00 via Android
    重写客户端呗,我这辣鸡学校自己的认证客户端就被我们重写了。
    zingl
        26
    zingl  
       2017-08-22 22:08:25 +08:00
    无限电话卡也常有那么一条不准开热点啊
    cladg123
        27
    cladg123  
       2017-09-06 18:43:02 +08:00
    @dr3am 我们学校现在改成 pppoe 直接拨号上网,然后用路由器拨号,电脑连接没事,只要手机连上打开网页就变成警告不让共享网络的提示了
    locoz
        28
    locoz  
       2018-09-23 14:03:37 +08:00 via Android
    以前在学校的时候干过从宿舍楼对面的居民楼飞一条网线到宿舍这种事。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1192 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:13 · PVG 02:13 · LAX 10:13 · JFK 13:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.