如何解决呀,网络尖兵问题........

xxzjk

帮顶..........

opent4

刚回到家,MDOEN没事了.
但关SNMP遇到问题.

使用telnet登陆MODEM，执行：
$modify snmp trap disable
$delete snmp comm community private
$delete snmp comm community public
$commit

在输入这两个命令时会提示:错误,无此口令!
$delete snmp comm community private
$delete snmp comm community public

szfyg

呵呵,你先用superscan扫描一下猫的IP看161端口开了没?可能SNMP本来就关了的!软路由很简单,留你的Q,我们在线聊.

opent4

13# szfyg
这位朋友,真谢谢你的热心.,昨天见到你答复就马上想打电话找你拉,只是没有联系方法.
今天忍不住了,只好买多个东哥的205+防网尖兵的路由.明天可能到吧.
另外想问问你,什么现象才是正确的网络尖兵现像,搞到我分不清是路由问题还是尖兵现象,因为前天买的新路由磊科NETCORE NR235（NR265内核),单用ADSL猫,开网页非常快,不会出现开不了网页.一用路由开始还行后来就开网页非常慢或开不了要刷新N次或图片出现X.搞到烦死了,希望明天收到的路由能解决问题拉..

szfyg

呵呵,不用那么客气,大家都在一座城市.又遇到了同样的问题.大家一起合力解决嘛!众人拾材火焰高嘛.
你先看看下面这篇文章,也许有帮助:
最近经常发现，在打开某个新网站的时候，IE立即显示该页无法显示，然后刷新一次网页，就可以正常显示了。
通常如果网站无法连接，IE建立tcp连接会超时，要过一会儿才能看到该页无法显示的提示。

这是怎么回事呢？
开始怀疑是我的SPI过滤广告的程序出错，导致SOCKET阻塞，没有返回。后来排查了源码，发现没有问题，卸载了之后情况依旧，不是这里。
再看网上的介绍，我怀疑是自己的TCP协议出问题了，于是执行命令，重载了TCP协议。重启后，发现还是没有解决。不对。

所以鄙人决定抓包分析。（Sinffer Pro 4.7）
开始抓包，随便访问了一个出现过这种情况的网站，果然出现了该页无法显示的提示。

ok，下面我们看看抓包的结果吧。（图1）

这是标准的建立TCP三次握手的过程，有什么错误么？没有吧。。。不过，等等！！！
第二次握手，从服务器返回的数据报，里面的ISN（服务器的初始序列号），怎么这么奇怪呢？
为什么是1？正常的服务器的初始序列号一般来说不会是1的，这种情况基本是千载难逢的。
先不管，总之我们的TCP协议栈发了一个ACK＝2的应答给服务器，TCP三次握手成功。

再看图2，怎么回事呢？在我们发送了GET后，怎么又来了一个代表TCP第二次握手的数据报？

我们这次就明白了，原来刚才收到的第二次握手的数据报，是伪造的。它给出了错误的ISN，导致我们用错误的ISN跟服务器建立了TCP连接。
当然了，真正的服务器是不能接收一个错误的序列号的，所以后面，你的连接就被服务器复位了。


至于电信是怎么判断我在使用路由的，我也说不太好。
估计是用了几个联合的特征来判断的。
我一台机器用路由上网，有时候也会被封杀。当然2台机器上网，情况更严重了。

如果说第二步的[SYN,ACK]是伪造的话，那么3-way handshake的最后一步[ACK]是无法完成的，因为ack的seq不对，直接就被server给reset了。从cap上看，显然这个连接是已经建立了。而且最后server发出的RST的seq=2.

有一个时间差异问题需要注意。
你可以通过TTL来看看。(ping)
baidu的TTL应该是49吧，伪造的TTL是115。

那么看起来通过3-ways handshake建立起的连接只是同某个中间设备建立起来的，也就是说SYN被hijack了。然后client发出get，直接就被这个中间设备回复以RST。

看来client其实始终都没有和baidu建立起真正的连接
客户端和baidu没有建立真正的连接，因为数据报的SEQ从第二次握手开始就是错误的。

但是客户端不知道有所谓的“中间设备”，更没有和中间设备建立一个TCP连接。（中间设备只是发送一个伪造的二次握手数据报，来阻止客户和服务器完成连接。注入式会话劫持）

最后，复位客户会话的是服务器。因为其收到了一个非预期的数据报（ACK＝2）。服务器对这个数据报作出响应，按这个数据报的ACK给客户发送一个SEQ＝2（上一个ACK）的RST。

应该是这样。
电信中间设备利用时间优势,抢先发了个假的第二次握手,一招就把与真正服务器的TCP连接破坏掉了

另外，《Improving TCP's Robustness to Blind In-Window Attacks》这一篇draft对这种blind attack做了讨论。
draft-ietf-tcpm-tcpsecure-07.txt

TCP has historically been considered protected against spoofed packet injection attacks by relying on the fact that it is difficult to guess the 4-tuple (the source and destination IP addresses and the source and destination ports) in combination with the 32 bit sequence number(s). A combination of increasing window sizes and applications using a longer term connections (e.g. H-323 or Border Gateway Protocol [RFC4271]) have left modern TCP implementation more vulnerable to these types of spoofed packet injection attacks. Many of these long term TCP applications tend to have predictable IP addresses and ports which makes it far easier for the 4-tuple to be guessed. Having guessed the 4-tuple correctly, an attacker can inject a RST, SYN or DATA segment into a TCP connection by carefully crafting the sequence number of the spoofed segment to be in the current receive window. This can cause the connection to either abort or possibly cause data corruption. This document specifies small modifications to the way TCP handles inbound segments that can reduce the chances of a successful attack.

opent4

15# szfyg
谢谢你给的文章,虽然好多专业述语,但大至上都明白所表达的意思,这种情况就是反影出我开网页时存在连接中但非常慢,或打不开.<我一台机器用路由上网，有时候也会被封杀。当然2台机器上网，情况更严重了>这句话很贴我情况,像他说的如果电信能判断我在使用路由而干忧的话,那我怕明天收那个路由行不行了....
电信也太离谱了,两台机就限制了,现在好多家底有三四台了吧,难道真要迫人装个企业宽带,叼巨老尾........

szfyg

你可以打开猫的路由功能(NAT)试验一下连接情况.然后再用一台路由器进行二次NAT.如果仍然是链接不好.那可能就是你的路由器有问题了.我这边到目前为止没有再出现打不开网页的故障了.

wuyecoffee

在今年1月初，我家网络也出现类似问题，网页经常打不开，但QQ很正常。后来得知是网络尖兵搞得鬼。
我直接打电话投诉，投诉了几次，投诉要找客户经理，不然也没多大用。
我的是3M包年，最后威胁他们说要退钱，我们争吵了很久，最后客户经理也没办法，只好答应退钱，叫我这个月底去退钱，挂了电话之后我的网络就一直没问题了，带了好几台电脑都没问题。
去年也限制过，我也是用这招的。

opent4

szfyg 你QQ多少呀,我是21977017,有事请教

qlshxjc

好多地方用双路由也不行。谁能解释一下一台机器用路由上网，有时候也会被封杀，电信是如何做到的？还有用双路由的原理？既然一台机器用路由上网，有时候也会被封杀，那么用几个路由都会被查到。