中国网管论坛's Archiver

sl790829ok 发表于 2007-12-18 15:23

电信封共享的原理及症状!!!

[table=96%][tr][td=1,1,59%]最近电信、长宽、网通、铁通纷纷开始在山东烟台、江苏省宿迁市、湖北省荆州市、湖北省仙桃市、湖北省武汉市、云南省曲靖市、云南省会泽县、山东省青岛等地使用一种类似于当年网络尖兵的共享上网检测系统,用来检测使用一个帐号多台机器共享上网的用户,用户使用路由器上网以后往往出现以下提示图片:
[/td][/tr][tr][td][align=center]
[img=398,317]http://www.router.net.cn/softrouter/UploadFiles/200712/20071218094203876.jpg[/img][/align]
[/td][/tr][tr][td][align=center][img=610,331]http://www.router.net.cn/softrouter/UploadFiles/200712/20071218094205435.jpg[/img][/align][/td][/tr][align=center]
[/td][/tr][tr][td][align=center][img=556,403]http://www.router.net.cn/softrouter/UploadFiles/200712/20071218094205517.jpg[/img][/align][/td][/tr][tr][td]       同时运营商还采用旁路断包系统限制了用户的BT速度和BT连接数。
[/td][/tr][/align][/table]
共享上网通常使用代理或路由的方式,现在宽带路由器很便宜,大家都是用的路由器共享上网,路由器作NAT、NAPT方式的IP地址转换,把多个内网地址转换成一个公网IP地址。

  路由器或者代理只是对IP地址作了转换,从外部来看是看不出来与普通的IP包有什么不同的,那么是如何检测到的呢,我们需要看看在IP报头里就有那些细节会有共享的信息。让我们复习一下IP报文的结构:

[table=98%][tr][td][img=398,201]http://www.router.net.cn/softrouter/UploadFiles/200712/20071218094358180.gif[/img][/td][/tr][/table][table=98%][tr][td]
版本:IP协议的版本,当前是4。
首部长度:报头首部的长度,4字节的整倍数。
服务类型(TOS):用来表示优先级。
总长度:整个报文首部和数据的长度。
标识(identification):数据报的标识,用来标识出数据长度超过MTU分片时,进行重新组装数据的位置标识。这部分可以用来分析共享上网的特征。
标志:有MF和DF分别标志分片结束和不能分片。
片偏移: 长报文分片后,在原报文中的位置。
生存时间(TTL):数据报在网络中的寿命。
协议: 携带数据使用的协议。
首部校验和:报文首部的校验信息。
源地址:4字节源IP地址。
目的地址:4字节目的地址。

    从IP报头的组成来看,最有可能携带内网信息的就是“标识(IPID)”,在每一台内网机器作地址转换时,IPID的序号有规律单调增加是不变的,
12:19:41.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4292552168 win 64240 (DF) (ttl 127, [color=red]id 40255[/color], len 40)
12:20:23.000000 10.10.49.204.62017 > 10.199.201.37.http: . [tcp sum ok] ack 1 win 64240 (DF) (ttl 127, [color=red]id 40756[/color], len 40)
12:21:37.000000 10.10.49.204.62216 > 10.54.226.252.http: S [tcp sum ok] 1820371619:1820371619(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 127, [color=gray]id 57601[/color], len 48)
12:21:40.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4293696808 win 64240 (DF) (ttl 127, [color=red]id 41427[/color], len 40)
12:22:06.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4293946004 win 64240 (DF) (ttl 127, [color=red]id 41671[/color], len 40)
12:23:10.000000 10.10.49.204.62017 > 10.199.201.37.http: . [tcp sum ok] ack 1633741 win 64240 (DF) (ttl 127, [color=red]id 42293[/color], len 40)
12:24:00.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4294795172 win 64240 (DF) (ttl 127, [color=red]id 42632[/color], len 40)
12:24:24.000000 10.10.49.204.61993 > 10.199.201.37.http: SFRPW [bad tcp cksum 1748!] 2115643160:2115643180(20) ack 972685314 win 46144 urg 3585 (DF) (ttl 125, [color=red]id 42893[/color], len 40)
12:25:05.000000 10.10.49.204.62259 > 10.200.222.45.http: P [bad tcp cksum 6be7!] ack 1 win 19652 (DF) (ttl 127, [color=blue]id 1673[/color], len 40)
12:25:53.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 940080 win 64240 (DF) (ttl 127, [color=red]id 43799[/color], len 40)
12:25:56.000000 10.10.49.204.61993 > 10.199.201.37.http: . [bad tcp cksum 579d!] ack 1019539 win 17520 (DF) (ttl 125, [color=red]id 43846[/color], len 40)
12:25:56.000000 10.10.49.204.62017 > 10.199.201.37.http: E [bad tcp cksum 8380!] 2120652494:2120652506(12) win 11414 urg 5633 (DF) (ttl 125, [color=red]id 43859[/color], len 40)
12:26:05.000000 10.10.49.204.62259 > 10.200.222.45.http: R [tcp sum ok] 3206002624:3206002624(0) win 0 (DF) (ttl 127, [color=blue]id 1731[/color], len 40)
        有彩色标记出来的IPID序列号的变化很有规律,一定范围内变化的报文就是由一台机器发出的,因此可以判断有三台机器共享上网。

        至于网上提到其它的检测方式,如网络尖兵的SNMP方式、TTL方式、操作系统版本的方式都有很大的误差,而且和用户的电脑配置有很大关系,只有这种检测IPID的方法很准确,破解方法,根据原理分析,只要打乱IPID的发包规律,或者顺序或者分散IPID就能使电信的检测系统失效。监测系统失效后的方法删除,详细原理请参见文档:

        另外一种检测方法,利用TCP的报文首部中的可选项,资料上称为时间戳(timestamp),在接收方,用于简单的回应发送方的时间数据,发送方据此来调整发送窗口的大小。不同电脑的时间通常都会不同步,检测系统根据这个选项来判断共享的电脑数量。这种方式破解很简单,把所有电脑的时间尽可能设置一样,或者干脆所有的电脑启用windows XP的时间同步。方法双击时间显示,选Internet时间,启用时间同步即可。[/td][/tr][/table]

[[i] 本帖最后由 sl790829ok 于 2007-12-18 15:24 编辑 [/i]]

baobao33 发表于 2007-12-18 15:35

谢谢LZ给大家分享:(:
可千万不要封我的啊:Q:

sl790829ok 发表于 2007-12-18 16:57

现在不知道用共享神盾2.1版
可以不可以突破电信的封锁?

hnsygz313 发表于 2008-1-4 11:44

垄断的结果,让人恶心!

a3865571 发表于 2008-1-4 13:03

电信实在太坏了啊。

king45814706 发表于 2008-1-4 23:01

垄断的结果,让人恶心!:@:

jinmy 发表于 2008-1-5 14:54

没事做就攻击他们好了

绿蚂蚱 发表于 2008-1-5 16:30

前段时间就听说了,没想到来得这么快!
估计,很快就要普及到全国了。
兄弟们,不能坐以待毙了,大家连起手来,突破电信的封锁!

lishan2008 发表于 2008-1-7 14:15

哎,电信啊!

哎,电信啊,垃圾啊!垄断啊,想怎么搞就怎么搞啊!我靠啊,我郁闷啊F!:'(

zhaoann 发表于 2008-1-7 16:31

电信啊,垃圾啊!垄断啊,想怎么搞就怎么搞啊

qwe128b83 发表于 2008-1-8 14:57

谢谢楼主~在研究~

m1001m 发表于 2008-1-9 08:31

大家有没有好的解决方法?

大妈会武术 发表于 2008-1-12 18:52

我这遇到类似的问题,谢谢分享!

xlcwxl 发表于 2008-1-14 11:21

最近电信、长宽、网通、铁通纷纷开始在山东烟台、江苏省宿迁市、湖北省荆州市、湖北省仙桃市、湖北省武汉市、云南省曲靖市、云南省会泽县、山东省青岛等地使用一种类似于当年网络尖兵的共享上网检测系统,用来检测使用一个帐号多台机器共享上网的用户,用户使用路由器上网以后往往出现以下提示图片:

本文来自: 中国网管论坛(bbs.bitsCN.com) 详细出处参考:[url]http://bbs.bitscn.com/148533[/url]

海魂 发表于 2008-1-16 21:49

封我这里的时候用这个方法来试试

markoking 发表于 2008-1-18 11:53

怎么能这样子的呢。。。

lxh365 发表于 2008-1-18 14:18

:lol :lol :lol

kasjin 发表于 2008-1-20 13:45

*** 作者被禁止或删除 内容自动屏蔽 ***

ziying85 发表于 2008-1-24 19:25

绝对要支持下了,谢谢楼主
本文来自: 中国网管论坛(bbs.bitsCN.com) 详细出处参考:[url]http://bbs.bitscn.com/43528[/url]

dxdn 发表于 2008-1-25 10:33

我们上海这边目前还没有封,到时有得惨啦

页: [1] 2 3

Powered by Discuz! Archiver 6.1.0  © 1999-2008 bbs.bitsCN.com