lvqier 发表于 2010-7-27 23:55:50

调查网络尖兵,欢迎大家来发言

事情原委是这样的:
一MM在深圳,准备办电信宽带。但据说深圳电信有网络尖兵,所以不能和室友3人共享上网。本人在浙江,准备帮忙解决此问题。
但是我之前没有碰到过网络尖兵,所到之处都是可以自由上网的,所以对网络尖兵这个东西并不太了解。因此召集大家讨论一下对策。

经 baidu 和 google 以后总结网络尖兵检测的方法:
1. 检测一条 ADSL 线路的 MAC 地址是否有多个。
    这个方法从理论上可行,因为每个电脑的网卡的 MAC 地址都不一样,所以同时有几个不同 MAC 就可以猜测有几台电脑在上网。
    但这里有好几种情况:
    a. 猫以桥接模式工作,用交换机接几个电脑同时拨号。这种除了 E8 套餐以外并不常见,如果可以就肯定能检测。而且电信一般不会允许同时多个机器登录,故排除。
    b. 猫以桥接模式工作,一个电脑负责拨号同时充当代理服务器。其余电脑要访问外网都由服务器负责转发,那里理论上来说电信只能看到服务器 MAC,理论上可行,但电费成本太高。
    c. 猫以桥接模式工作,后面接个路由器负责拨号。这种理论上和 b 方案是一样的,路由器上做了一层 nat ,外面也只能看到路由器的 mac 才对。但是我看到好像有些路由器可以,但有些不可以。所以在这里猜测有些路由器的 OS 做得太精简,连 mac 地址都没有换去?
    d. 猫以路由模式工作,由猫负责拨号,用交换机接多个电脑。这种方式和 c 相比就是将拨号任务由路由器转移到了猫上,视为与 c 同等,因为有可能猫的 OS 不负责没有将 mac 地址替换掉。
    e. 猫以路由模式工作,由猫负责拨号,后面接路由器再做 nat,和 cd 相比,多了一层路由器做 nat,那么只要其中有一个将 mac 地址替换掉就可以了。相比安全一点。如果是我的话我会采用这种方式来共享上网。

2. 通过 snmp 协议探测网络结构。
    snmp 是简单网管协议,用它可以获得网络上的很多信息,其中就包含网络结构的发现。
    要防止这种扫描理论上只要禁用 snmp 协议就可以了,但这样也会有问题,有可能 ISP 给的设备是开启 snmp 协议的,一旦网络尖兵发现没有开启 snmp 协议就将你视为不正常。这里有个方法就是用上面的 e 方案,但是要将路由器上的 snmp 协议关掉。这样的话网络尖兵通过猫只能看到一台路由器在上网。而路由器是一台小型的电脑,它完全无法判断路由器的内部网络信息。
    此外类似于 snmp 的还有可能网络尖兵会通过 netbios 判断路由器的操作系统信息,如果发现属于路由器特有的 OS 就完全有理由封杀了。通过 netbios ,我们可以发现网络上主机的基本信息,比如使用的是 windows xp 或者是 debian lenny 等,当然路由器也有它特有的 OS 版本信息。因此在 c 的基础上如果同时禁用 netbios 和 snmp 的效果不知道会怎样。

3. 网络并发访问连接数。
    虽然这种方式听起来很荒唐,但是也不失为一个有效的方法。可以考虑这么一个情况,一个人用 http 协议游览网页不可能同时而且持续地同时打开超过 15 个网页吧,但是3个机器同时上网的话就完全有可能了。但这样看情况,如果是别的协议就不好判断了。有些网友说共享时同时上 QQ 没有问题,但网页却打不开就有可能是这种强况。因为 http 协议的数据包很好监测,但是 QQ 的数据包是加密的,而且一个人开 2-3 个 QQ 是完全有可能的。
    但如果抛开应用层的协议不看,网络尖兵要检测还是很困难的。并发连接数很多的程序比比皆是。比如迅雷,PPS,电驴等这些 P2P 协议的软件每次工作时有上百个连接是很正常的事情。
    这种监测方法虽然最不靠谱,但也是最不好对付的。因为 http 协议是明文传输的,它在 isp 的角度上可以看到任何他想看的信息。虽然可以通过外部加密代理来解决这个问题,但是代价太大,成本太高,不划算。

    经以上总结,我自己得出的方案是:
    用带路由功能的猫进行拨号,同时做一层 nat 转换,后面几个好一点的,起码OS是 linux 的无线路由器再做一层 nat,然后关闭路由器上的 snmp 协议和 netbios 等协议。

    但是我又还一个大胆的方案美发尝试。就是采用无线猫来代替猫和无线路由器。虽然一个无线猫只能做一层 nat ,但是它本身是基于 linux 的,OS 比较正规而且可控行比较强,定制一下应该可以达到上面方案的目的。现在缺的就是没有网络环境可以实践一下。

   大家都说说你们采用什么洋的方式来对付网络尖兵之类的监测呢?

lyy2008 发表于 2010-7-28 00:36:07

目前深圳电信一直在升级,非常难防,用的技术也是全国领先的
加上网监,防不了

dlm1100 发表于 2010-7-28 07:38:29

我用磊科2.4.46   也被封了   用2.3.91 可以用 就是开网页要几次

ahy1 发表于 2010-7-28 08:26:45

lz分析的很多,了解了.

Salvisian 发表于 2010-7-28 09:11:03

很早的分析了,除了snmp可以算是,其他两条都不成立,现在看来是运营商主动放出来混淆视听的。

hnwlmm 发表于 2010-7-28 10:44:53

我用双路由器解决了这个问题,不过是汕头联通的宽带,只要不下载东西,不看在线电影,4M的可以八个人玩游戏,还不掉线。

lvqier 发表于 2010-7-28 11:56:48

回复 6# hnwlmm


    是指一个猫后面接路由器 A,A 再接路由器 B,然后电脑都接在路由器 B 上吗?
    是不是 由 A 路由器负责拨号的呢?

iview0520 发表于 2010-7-28 12:32:36

建议换一家运营商,就不要用深圳电信的了,早听说那边技术先进。

makewood 发表于 2010-7-28 14:20:30

难搞的,,,,他们的方法多的是...不一定用很高技术,用些社会工程学等各种结合起来就搞掂你了.

我有朋友带几十台机的都被搞掉了.

你先打电话问问可以带多少台机吧.

他们随便抓个包,一解开啥都看见了. 最好还是换其他宽带吧.

逸飞2008 发表于 2010-7-28 15:28:00

深圳这边还是不要想那么多了,两三台机一般没事的。封那些一般都是带机量大的。而且如果电信真想搞你,目前基本是一点办法都没有。
页: [1] 2 3
查看完整版本: 调查网络尖兵,欢迎大家来发言