网络尖兵 限制用户共享上网的临时解决方案

YES东

最近电信局试探着用“网络尖兵”限制共享上网，并且技术很不成熟，造成用户机打开网页很慢，严重影响用户权利。
经过监测，我们发现中国电信存在以下侵害用户权利行为：
1、其设备“网络尖兵”非法扫描用户路由器SNMP161端口数据；
2、其设备“网络尖兵”非法扫描与监测用户并发的端口数据；
3、其它未知有可能探测到用户敏感信息的措施；
4、其设备“网络尖兵”技术运用很不成熟，直接影响用户的使用权利；
5、不尊重用户权利，单方面更改服务措施，而未给予用户利益应有的关照，并且未有任何令人信服的解释；
1.端口映射破解网络尖兵
求助:speed home plus 511不能设成路由
原来本地的SPEED HOME PLUS 511设自动拔号路由一直正常，一个星期前，有些用户反映设完路由后不到两分钟就断线，MODEM重启，如果设为初始状态，用ETHERNET300等拔号正常。
听说是电信局做了手脚，防止用户设为路由共享上网，不知这种问题有没有应付方法？请高手赐教！
另：我在网上查的说有网络尖兵一类的设备用在电信局，专门阻止用户设路由，对应方法要屏掉snmp端口，但我在FIREWALL里不知该怎么添加防火墙列表？希望知道的说一下。
端口映射【snmp（端口161）】破解网络尖兵
snmp端口就是161吧，做个端口映射把该端口映射到内网不存在的ip试试，这主意好像是hiker出的？
我也用511，试着做了这样的两个（tcp和udp各一）端口映射（映射到10.0.0.88），发现在user.ini中显示为：
create protocol=tcp inside_addr=10.0.0.88:snmp outside_addr=0.0.0.0:snmp foreign_addr=0.0.0.0:0
create protocol=udp inside_addr=10.0.0.88:snmp outside_addr=0.0.0.0:snmp foreign_addr=0.0.0.0:0
2. 破解“网络尖兵”
      受病毒攻击时ADSL MODEM一般要重启才能用，而受“网络尖兵”影响的等上几分钟就可以继续上网了，而且打开一个网页要经常刷新好几次才能打得开。
　　上网查了一下关于网络尖兵的资料，只提到了实现的功能，没有提到实现原理，要想解决不能共享上网必须摸清它的工作原理，ADSL共享上网有两种方式，一种是代理，一种是地址翻译（NAT），大家常说的路由方式其实就是NAT方式，其实路由和NAT的原理还是有区别的，这里不作讨论，现在的ADSL猫一般都有NAT的功能，用它本身的功能实现共享上网是比经济方便，本文主要讨论这种方式。
　　要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台，NAT的工作原理如图一所示，经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址，也就是说，从原理上讲，直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。那是如何发现的呢？经过研究发现它是采用多种方法探测用户是否用共享方式上网，从而进行限制，下面我分别进行破解：
在此之前还是先看看图解：

　　用NetSniper-I阻止“私拉专线”
　　在中上图中可以看到，我们的设备同时监听多至8台HUB。产品安装简便，在HUB上只需要一个网口即可。作为一种检测设备，NetSniper以数据接收为主，基本不发送数据，所以对带宽几乎是零占用，对传输效率没有任何影响。
　　此时， NetSniper监控非法出口上网的用户并拦截所有非法用户的IP包，使其处于“离线”状态（由于申请另外专线的用户，其申请和使用行为是合法的，所以我们不对该用户采取任何监视与干扰措施，我们的工作目的是阻止非法的运营行为）。
　　完成以上捕捉的同时，我们的设备并不对这些用户应有的权利造成任何伤害，不降低网络的传输效率，不侵害用户的隐私权益，甚至小区内用户内部的局域网信息文件传递也分辨的清楚明白，实现只对非法使用现象的精确打击。
　　2、用NetSniper-II控制共享上网、盗用MAC地址上网和Modem回拨上网
　　使用NetSniper-II可以有效的控制共享上网、盗用MAC地址上网和Modem回拨上网的情况。
　　八、与现有方案比较
　　正是种种偷逃网费情况的出现，运营商投入大量财力物力铺设的网络连接设备被非法使用，无法按时回收投资。从长远的观点来看，这种现象也阻碍了运营商同大量潜在用户的密切交流，无力推进更新的增值服务。从而影响了宽带行业的发展。
　　根据市场调查，目前类似的这三种情况在宽带住宅区内已有抬头的趋势，尤其在校园网内更是如火如荼，让网管人员束手无策，运营商头痛不已。通常说来，校园网是Internet的实验应用基地，那里的任何“新发现”很快就会在整个互联网用户中普及。
　　然而，目前市场上尚未出现任何简单有效的针对性的解决办法。所以，有的运营商为防止这种可怕现象的蔓延，被迫采取划分VLAN的方式把所有用户分隔开来，使其不能相互通信。
　　我们只要了解一下VLAN技术，便知道其中运营商不得已的苦衷。
　　VLAN，又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。
　　因此，运营商被迫采用VLAN的根本原因只是利用VLAN的网间隔离特征。
　　正是这个原因，VLAN技术的设计目的应用根本就不是针对目前所发现的非法用户的私自应用现象。用VLAN方式来解决这种问题，就象利用一副药的副疗效来治疗病症，得不偿失还将有其他无法估量的副作用。
　　我们仅仅分析几种弊端：
　　1、VLAN划分需要能够支持VLAN的专用交换机，价格高出普通交换机很多，直接增加了建设成本。
　　2、更重要的是用于网管的人力资源空前浩大。因为，如果根据交换机端口定义VLAN，通常很容易用某种拖放软件把一个或多个用户分配到特定的VLAN。在非交换环境里，移动、添加或更改操作很麻烦，有可能要改动接线板上的跳线从一个集线器端口移动到另一个端口。基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。但为了用户的计算机可以连接交换网络的任何一个端口，所有通信量均能正确无误的到达目的地，管理员仍要要进行VLAN初始手工分配，需要接入商投入大量的劳动。事实上为了完全避免非法使用网段，需要将全部的用户都隔离开，使用VLAN划分网段的数量和用户数量相等，这种网管的工作量将让人难以接受。
　　3、即使采用VLAN分割完毕后，所有的用户分隔后又成为了信息孤岛状态，除了简单的上网浏览服务，再难享受运营商提供的增值服务和园区内充分的局域网带宽了。
　　4、采用VLAN隔离以后，虽然可以避免一部分利用现有网络资源非法使用情况，但仍然无法避免利用一个包月接口串接若干计算机或开网吧等最恶劣的情况发生。
　　5、作为一种检测设备，NetSniper以数据接收为主，基本不发送数据，所以对带宽几乎是零占用，对传输效率没有任何影响。
　　6、NetSniper检测网络上的IP包，并可以选择拦截所有非法用户的IP包，使其处于“离线”状态（由于申请另外专线的用户，其申请和使用行为是合法的，所以我们不对该用户采取任何监视与干扰措施，我们的工作目的是阻止非法的运营行为）。
　　7、我们的设备并不对这些用户应有的权利造成任何伤害，不降低网络的传输效率，不侵害用户的隐私权益，甚至小区内用户内部的局域网信息文件传递也分辨的清楚明白，实现只对非法使用现象的精确打击。
　　NetSniper网络尖兵系列产品的工作专一，安装、配置简单，免维护。我们提供的标准配置就可以满足绝大多数网络监控的需求；系统的性能可以根据硬件进行优化，可靠性高, 是宽带网络运营商与系统集成商的最佳选择。

hsb9527

再顶一顶.

yzzj

YES东真乃高人也啊！

longzhizi

好文章，呵呵。

gzshy

广州的电信会用网络尖兵吗？

shaolyh

下面引用由yzzj在 2005/11/27 00:41pm 发表的内容：
YES东真乃高人也啊！

应该是专业人士

gzhgh

大亚DB102C Moden什么样禁用SNMP协议的161端口