[04.19] [分享]有关双层路由破解电信(网络尖兵)新检查系统资料

hzl88688 · 发表于 2006-5-3 23:00:18

二级路由是没有用的！从WINDOWS出去的包转两级路由转发只是TTL的值递减了两个值！其中的IP包头的IPID没有改变，TCP SYN的握手信息没有剥离，只在局端进行被动式检测，抓包分析就能看出你有几台机来。每台机出去的指纹是不同的。
最好的办法是刷路由器固件，使经过路由转发后的指纹全一样就可以欺骗ISP.
第二个好办法是装LINUX或UNIX做自已动手做一台路由进行改包，使用LINUX改包现在还比较困难，用UNIX可以用PF防火墙改IPID为随机的。
目前我已经做出了LINUX下的路由软件，可以改数据包了，使用NAMP也探测不出来了
如果有谁需要测试的话可以留下EMAIL.

new · 发表于 2006-5-3 23:54:46

同意楼上观点,2605能行应该就是重写了IPID,使用IPID随机或有序递增,只不过没有测试环境(我没有2605,我们这没封共享:))

hzl88688 · 发表于 2006-5-4 08:26:47

楼上的IPID有序递增也不行，WINDOWS出去的包的IPID就是有序递增的，很容易被探测出来，只能用随机的或把所有的IPID设为同一数值，如 0

new · 发表于 2006-5-4 09:07:18

WINDOWS出去的包的IPID是有序递增，但各机之间的ipid没有关联性。呵呵,我的有序递增是指:如果pc1出去的是1025、1026、1027，而pc2出去的是3301、3302、3303，到了路由器则改为1000、1001、1002、1003、1004、1005，这样ISP是没法检测到的。[br][br]-=-=-=-=- 以下内容由 new 在 2006年05月04日 09:09am 时添加 -=-=-=-=-
但这样做比改为随机或0的难度大很多：）[br][br]-=-=-=-=- 以下内容由 new 在 2006年05月04日 09:32am 时添加 -=-=-=-=-
另外,如果将ipid改为随机或0,可能会给一些存在ip分片的情况带来麻烦.当然这种情况出现机率很低.

hzl88688 · 发表于 2006-5-4 12:07:12

同意你的看法，但实现起来的难度确实较大，等待高人出现吧！

BOYMZJ · 发表于 2006-5-4 19:11:05

[这个贴子最后由BOYMZJ在 2006/05/04 07:14pm 第 1 次编辑]

请问new和 hzl88688
是否作NAT转换的时候只是改变源端口,源IP.而IP包的标识字段不会改变呢(你们说的IPID是指的是IP包的16Bit长度的标识字段--identificication吗?)
谢谢!

hzl88688 · 发表于 2006-5-4 19:46:11

是的

new · 发表于 2006-5-4 22:13:05

默认情况下还会改TTL、MAC。[br][br]-=-=-=-=- 以下内容由 new 在 2006年05月04日 10:14pm 时添加 -=-=-=-=-
准确说应该是TTL减1

BOYMZJ · 发表于 2006-5-4 23:13:34

[这个贴子最后由BOYMZJ在 2006/05/04 11:27pm 第 1 次编辑]

谢谢二位的回答．．
那是否是这样:NAT转换TCP包头要重新封装,因为改变了源端口,但TCP包头的其他字段都不改变(包括确认号,序号等等).
路由转发时TCP包头不会重新封装.
而IP包头都要重新封装,除了源IP地址改变,TTL-1,IP包头的其他字段都不改变(不考虑分段的话)
当然帧头也会重新封装．．．．．．．．．．
谢谢！

new · 发表于 2006-5-4 23:33:10

如果只是纯路由，源ip不会改变。如果我没理解错：你把重新封装理解成修改了对吗？准确来说一个数据包经过一个路由器的时候，无论tcp包头或ip包头是否被修改，都要经过一个解封装和封装的过程。

账号		自动登录	找回密码
密码			注册