【请教】如何解决封路由
我在广州。ADSL接了路由器,接的设备一多,就自动跳转到那个万恶的页面。网上转了一圈,大多数人都是用双路由串联。
我也试过了,结果还是不行。
感觉是电信是通过抓包分析数据,所以改MAC和双路由都不行。
请问有什么好使的方法呢?
http://cache.amobbs.com/bbs_upload782111/files_44/ourdev_668047GJOTJU.jpg
(原文件名:7079681_1300794877441_1024x1024.jpg) 我在广州也是在用路由啊,电信的人来帮我修网络时,也没说不能用路由啊。 回复【1楼】hero245
我在广州也是在用路由啊,电信的人来帮我修网络时,也没说不能用路由啊。
-----------------------------------------------------------------------
我朋友家的设备也比较多,但他就没有试过跳到跳到那个页面。
之前我的也有线路故障,电信的人没上门,电话沟通是也说最近在封。
既然人家都说出口了,自己只能找办法。 正在使用双路由,之前出现过一次LZ楼主位的图片,现在没出现了,不知是否真有效果。 今天下班时,10000号还打电话来,问要不要开通绿色上网,回答说不用开通,怕开通后双路由都不顶用了。 趁晚上人多,顶一下。
在这个帖子里,37楼的事主说“现在用交换机分了,不用路由了,再也没弹出哪个恶心的广告了”。靠谱么?
http://itbbs.pconline.com.cn/diy/13564095_4.html 试试 MAC地址克隆 电信现在好象是劫持HTTP通讯时在浏览器种cookie,还会用js取屏幕分辨率这些参数,估计通过这个来判断上网电脑数量的,比较难搞了。 回复【6楼】huayuliang 花生
-----------------------------------------------------------------------
MAC地址克隆没用的,局域网的MAC地址根本过不了路由,电信不可能根据MAC来判断有多少台电脑上网。
这个功能原本的用途是有些小区LAN会在三层交换机上做MAC绑定,装的时候绑的电脑MAC,换路由就不认了,克隆是用来骗上层交换机的。 回复【6楼】huayuliang花生
试试 mac地址克隆
-----------------------------------------------------------------------
好像没作用。
回复【7楼】gzhuli咕唧霖
电信现在好象是劫持http通讯时在浏览器种cookie,还会用js取屏幕分辨率这些参数,估计通过这个来判断上网电脑数量的,比较难搞了。
-----------------------------------------------------------------------
如果你都说难搞那真的难了。
有什么插件或者设置之类过滤某些站点发出的cookie和js吗? 回复【9楼】kalo
-----------------------------------------------------------------------
gzhuli咕唧霖
电信是分析你的流量和连接数,一些常用软件的方式来确定你有没有使用多台电脑。
一般人不会24小连续几个星期都有流量吧,呵呵。你不会挂10几个QQ吧,不会一直保持保持连接数超过800吧,ADLS的连接数一般就给我开800-1200之间。你两三个人用可能刚刚好够,稍不注意就一直超 回复【10楼】19001579 蓝色
-----------------------------------------------------------------------
这些也是手段之一,但不是很可靠的办法,也不是唯一的。很多人就两台电脑看看网站也被发现了。
我的MSS2盒子上就是utorrent + mldonkey 7x24跑的,下行流量就看我丢多少任务进去,上行一天至少2~3G吧。
我的路由后面白天都至少带4个设备,家里电脑就4台,还有两部手机和MSS2,白天WIFI还经常有其他人上(还老爱开酷狗 pptv之流),最多的时候有十几个设备吧,还没见过那个页面。 找到另外一个技术贴:
http://blog.jixin.ntxz.net/?p=1556
=================================
详解电信封路由打开网页显示检测到多台电脑页面,及解决方法
网上很多人说的电信检测路由的方法都是胡乱猜测,下面的方法是比较正确的。
从某些渠道获知,电信采取对ADSL用户内网主机个数的检测,根本不是通过什么SNMP协议等方法,而通过修改MAC地址的方法来防止检测也是一个很荒谬的流言,而采取cookie的方法目前来说网页劫持比较多,这样做的同时除了可以获取到主机的个数,而且可以像广州有线电视无耻的插广告的方式,来插入垃圾网页强制要求用户浏览。
接下来就开始说明一下广州电信是如何拦截用户的网页浏览的。
测试的环境: 浏览器ie 6.0
抓包工具: sniffer pro 4.7 adsl路由上网
测试步骤:重新拨号,用浏览器打开www.google.com网页,同时运行抓包工具分析整个访问流程。
如果是正常的网页访问想必大家都知道就2个步骤:
步骤1:客户端向服务器发出访问请求
步骤2:服务器向客户端发回网页数据
但是在这次抓包过程中,却发现整个访问的步骤多了很多大体步骤如下:
步骤1:客户端向google服务器发访问请求(google服务器的IP为64.233.189.104)
步骤2:怪事来了!
google服务器竟然发过来一个命令要求客户端带着某种参数去访问IP地址为59.42.71.199的服务器。
步骤3:于是客户端向IP 为59.42.71.199的服务器发出带参数的访问请求。
步骤4:IP为59.42.71.199的服务器返回数据给客户端(返回的数据包含2个功能,一个是在客户端设置了一个cookie文件,一个是让客户端重新访问www.google.com)
步骤5:于是客户端又傻忽忽的去访问google服务器;
步骤6:google服务器给客户端返回正常的网页数据。
经过查询59.42.71.199的IP是广州电信的ip,而且该主机我也扫描过了,是一台windows2003+II6的服务器,服务器名是gz-web(我想一般人是不会用这个机器名的吧。),而且本人的主机到该服务器只需要10跳,和202.96.128.68广州的域名服务器的跳数一样,那么是不是电信的搞的服务器,呵呵。。。。。我就不多说了。
以上不难看出我们在访问google的时候,出现了异常,其中关键在那里呢,就在步骤2!
当我们正常的去访问某个网站的时候(比如google),这时候,电信拦截了这个客户端的访问请求,并伪造出了这个网站给客户端的返回数据,欺骗客户端去访问电信指定的一个垃圾或恶意的网站,在客户端访问网站的同时给在客户端上生成相当于验证码的cookie,从而获取用户信息或其他不可告人的目的,当他们目的达到后,又欺骗客户去重新访问正常的网站并不再搞拦截欺骗。
那么通过cookie来获取内网主机个数的原理是什么的,这个就我个人看法是,要求通过对内网所有的用户的网页劫持,强制要求所有用户去访问某个恶意的网站,并生成cookie种到用户的主机内。而每个cookie的内容在每台主机都是不一样的,这样如果在某个时间段内,有相同的ip,但是有5个不同的cookie来访问过这个恶的网站,那么马上就可以分析出该ip内至少有5台主机。
但是这里我们需要注意的几个方面是:
一,电信不会拦截所有的网站,主要对大家经常使用的网站进行拦截欺骗。
二,电信也不会一直对某个用户进行拦截,一般是用户拨号上网后,第一次访问网页时进行拦截,以后不定期的或周期性的对客户进行拦截。
三,个人信息隐私问题,再在这里用户访问网页所有的动作,电信全部可以记录下来。
想必我们都记得索尼就曾经在光盘中加入防止盗版的信息,遭遇了巨额赔款。中国电信的此举显然也是严重侵犯了用户的隐私,若遭遇网民的集体诉讼…………………………. 反正我是不太看好!。
这个就是关键的第二步
******************内容*************************
<HTML>
<head>
<title>
</title>
<META HTTP-EQUIV=”Pragma” CONTENT=”no-cache”>
<META http-equiv=”Content-Type” content=”text/html;charset=gb2312″>
</head>
<body>
<iframe width=0 height=0 style=”display:none; width:0px;height:0px;”src=”http://59.42.71.199/ndatin.aspx?1479443740&m=4¶m=ABZFhOb………tdVdVkyOXRMdz09″>
</iframe>
</body>
</html>
********************************************************
大家请注意“ width=0 height=0 style=”display:none; width:0px; height:0px” 这个东西,也就是说大家访问新的网站打开的新窗口的长宽都是 0! 也就是是说新打开的窗口 我们是看不到的!
http://cache.amobbs.com/bbs_upload782111/files_44/ourdev_668341WDWLCO.jpg
(原文件名:封路由1.jpg)
这是第4步骤:目的是设置cookie,并让客户端重新访问原网站。
******************内容*****************
HTTP/1.1 200 OK
Date: Tue, 18 Jul 2006 12:38:14 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Set-Cookie: ASP.NET_SessionId=bz1XXXXXXXXX; path=/
Set-Cookie: ExpCookieTicket2005=K6XXX…XXXXkg==;
****在这里给客户设置cookie****
expires=Fri, 28-Jul-2006 12:38:14 GMT; path=/
Cache-Control: private
Expires: Mon, 17 Jul 2006 12:38:14 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 246
<HTML>
<HEAD>
<META HTTP-EQUIV=”Pragma” CONTENT=”no-cache”>
<script>
try
{
window.setTimeout(“top.location.href = ‘http://www.google.com/’;”, 800);
****用这个指令让用户重新访问正常网站****
}
catch (e)
{
}
</script>
<title></title>
</HEAD>
<body>
</body>
</HTML>
***************************************
http://cache.amobbs.com/bbs_upload782111/files_44/ourdev_668342RKEW2G.jpg
(原文件名:封路由2.jpg)
这是别人分析出的IPID检测共享上网的方法:
因自己专业原因,家里有4台电脑,结果就收到电信强制发来的页面,称什么“我公司检测到您使用了多台机器共享上网,超出您申请的宽带接入使用许可。因此暂时终止您的上网服务,请尽快致电10000与我公司联系恢复服务”。
上网先搜索看有没有办法破_解,果然,TP-LINK针对这个问题提供了TL- R402M V2版本路由器升级软件 http://www.tp-link.cn/download/list.asp?id=489 ,可惜我不是用的这款路由器,看来得自己动手破_解了。
于是我借了一台路由器, 升级后来分析他们之间差异,这样就可以着手破_解了。
大家共享上网,一般都是用路由器作NAT、NAPT方式的IP地址转换,把多个内网地址转换成一个公网IP地址。
路由器或者代理只是对IP地址作了转换,从外部来看是看不出来与普通的IP包有什么不同的,那么是如何检测到的呢,用IP协议构建的互联网,一共有5层结构,电信能获取得只能是第三层到第五层,至于网上有TX说的什么伪造MAC地址的办法肯定不行,MAC地址出了路由器就被重新封装了,电信根本拿不到。至于应用层分析,狗的这层千差万别的应用,他们也更本没这个技术能力来确定我们机器的数量。看来只有分析IP和TCP包头了,仔细分析IP报头看看到底有那些信息可能泄漏我们内网机器得数量。看一下IP报文的结构:
0 4 8 16 31
版本 首部长 服务类型 总长度
标识 标志 片偏移量
寿命 协议 首部校验和
源端IP地址
目的端IP地址
长度可变的任选字段 填充
数据
…
版本:IP协议的版本,大家都是4。
首部长度:报头首部的长度,4字节的整倍数。
服务类型(TOS):每个机器都一样,用来表示优先级。
总长度:整个报文首部和数据的长度。
标识(identification):数据报的标识,用来标识出数据长度超过MTU分片时,进行重新组装数据的位置标识。这部分可以用来分析共享上网的特征。
标志:有MF和DF分别标志分片结束和不能分片。
片偏移: 长报文分片后,在原报文中的位置。
生存时间(TTL):数据报在网络中的寿命。
协议: 携带数据使用的协议。
首部校验和:报文首部的校验信息。
源地址:4字节源IP地址。
目的地址:4字节目的地址。
从IP报头的组成来看,只有可能携带内网信息的就是“标识(IPID)”,在每一台内网机器作地址转换时,IPID的序号是没变化的,而每台机器又是随机从一个数开始,有规律单调增加,看来根据这个ID的不连续来判断机器的数量。 回复【9楼】kalo
有什么插件或者设置之类过滤某些站点发出的cookie和js吗?
-----------------------------------------------------------------------
这个你最好有个强劲的linux路由器,做好自己写l7-filter pattern的准备。 抓包看看,果然:
12:19:41.000000 10.10.49.204.61993 > 10.199.201.37.http: . ack 4292552168 win 64240 (DF) (ttl 127, id 40255, len 40)
12:20:23.000000 10.10.49.204.62017 > 10.199.201.37.http: . ack 1 win 64240 (DF) (ttl 127, id 40756, len 40)
12:21:37.000000 10.10.49.204.62216 > 10.54.226.252.http: S 1820371619:1820371619(0) win 16384 (DF) (ttl 127, id 57601, len48)
12:21:40.000000 10.10.49.204.61993 > 10.199.201.37.http: . ack 4293696808 win 64240 (DF) (ttl 127, id 41427, len 40)
12:22:06.000000 10.10.49.204.61993 > 10.199.201.37.http: . ack 4293946004 win 64240 (DF) (ttl 127, id 41671, len 40)
12: 23:10.000000 10.10.49.204.62017 > 10.199.201.37.http: . ack 1633741 win 64240 (DF) (ttl 127, id 42293, len 40)
12:24: 00.000000 10.10.49.204.61993 > 10.199.201.37.http: . ack 4294795172 win 64240 (DF) (ttl 127, id 42632, len 40)
12:24: 24.000000 10.10.49.204.61993 > 10.199.201.37.http: SFRPW 2115643160:2115643180(20) ack 972685314 win 46144urg 3585 (DF) (ttl 125, id 42893, len 40)
12:25:05.000000 10.10.49.204.62259 > 10.200.222.45.http: P ack 1 win 19652 (DF) (ttl 127, id 1673, len 40)
12:25:53.000000 10.10.49.204.61993 > 10.199.201.37.http: . ack 940080 win 64240 (DF) (ttl 127, id 43799, len 40)
12:25:56.000000 10.10.49.204.61993 > 10.199.201.37.http: . ack 1019539 win 17520 (DF) (ttl 125, id 43846, len 40)
12:25: 56.000000 10.10.49.204.62017 > 10.199.201.37.http: E 2120652494:2120652506(12) win 11414 urg 5633 (DF) (ttl125, id 43859, len 40)
12:26:05.000000 10.10.49.204.62259 > 10.200.222.45.http: R 3206002624:3206002624(0) win 0 (DF) (ttl 127, id 1731, len 40)
有三个变化范围的IPID序号,彩色标记出来的IPID序列号的变化很有规律,一定范围内变化的报文就是由一台机器发出的,嘿嘿,根据这个因此可以判断有三台机器共享上网。
再看看TCP头里面有什么东西可以看看,抓包来看,居然Windows将每个TCP的包头中的可选扩展段用来打标每台机器的时间戳,想必我们每台机器的时间不会都调得如此精准,每个机器发出的时间戳的误差不会完全相同,看来利用这个时间戳也可以大致判断内网的机器数量。
很多人说打开网页出现了下面这个页面:
亲爱的用户: 您好!我公司检测到您使用了多台机器共享上网,根据公_安部门对互联网信息安全管理的相关规定,不允许宽带私自串接。为了做好网络安全管理工作,切实保证您的上网质量及合法权益,请您切断非正式注_册用户接入(切断非正式注_册用户后您将能正常上网)。如有其他疑问,请咨询电信客服热线10000。感谢您对我公司的支持! 2008年1月
这个页面是怎么来的呢?
下面这个方法是我和一群做小区宽带的山寨ISP长期研究的结果,电信显示上面页面就是这个方法,不过我们是用来给快到期的用户下发继费通知的!(相比之下山寨寨主们比电信要厚道多了)
其实在检测到用户有用路由器带多个用户之后,要让用户显示这个页面就很简单了。
电信现在基本上是pppoe认证,认证过程是:用户向网络广播一个pppoe server(BRAS) 发现包,当服务器(BRAS)收到这个包后马上回复,用户向收到的反应最快的一台服务器(BRAS)发出认证请求,然后把用户名密码发给服务器(BRAS),服务器(BRAS)再把用户名密码发给radius服务器来验证用户的合法性,验证成功radius 把用户的属性(Profile)下发给pppoe server(BRAS).
如果确定用户用路由器带了多机,就在radius 里面修改用户的属性(Profile),标记为用路由用户。
然后用户在下一次来验证时,radius下发用户属性时,下发一个特定段的IP给用户,这个ip也是公网ip可以正常访问公网。
只不过在访问web服务时,打开所有的请求都被重定向到上面那个提示页面上。
方法得简单只要在路由上加一条规则:
chain=dst-nat src-address-list=(radius下发的特定ip 段) protocol=tcp dst-port= 80 action=dst-nat dst-address=提醒服务器ip dst-port= 80
意思是:把所有ip地址是特定段的目的端口为80协议为tcp的请求重定向到提醒服务器上。这样打开任何网站都会显示上面的内容。
要解决这个很简单,使用代理服务器就行了,不过使用代理服务器打开网站比较慢,而且不稳定。
当然如果自己在另外一个地方有带宽资源的话可以在那里架一个代理。
还可以用其它的自动代理的软件,不过有很多软件现在都不太好使,好使的又基本上都是那些打开反动网站的工具。当然还可以用vpn等来访问网站。
关于怎么样解决防止电信通过cookies 来检测内网机器数量暂时还没想到办法,网上的山寨主们正在想办法。
我暂时提供一个防止cookies检测的方法,不过要像前面说的那样用sinnfer抓包,找出检测的那个服务器的IP.
找到ip后 设置一条这样的防火墙规则:chain=forward dst-address=检测服务器ip protocol= tcp dst-port=80 content=cookies acction=drop
在一般稍好一点的带内容滤的防火墙上设置为,禁止访问外网的ip检测ip服务器的ip的数据包里面带有cookies的包通过。有这个功能的路由器可以试试。
现阶段最有效的办法就是多打10000号反应网速慢,上不了也打电话,死活不承认共享上网,据说电信之所以没有完全封路由不是因为技术上做不到,而是因为:电话被打爆,设备不敢开。
页:
[1]