千家论坛_智能建筑与智能家居技术交流社区

标题: 通过宽带路由器 电信账号被封 [打印本页]
作者: huangjunjoy    时间: 2006-7-19 14:30
标题: 通过宽带路由器 电信账号被封
<p>我们的上网方式是通过电信的ADSL拔号上网,以后为了省钱,找几个朋友共用了这条线路,通过宽带路由器,以前一直用得很好,但现在听说电信的新购进了设备,可以检测得出我们是通过路由器了的,就封了我们的账号</p><p>请问哪位大侠知道他们是通过什么方式检测的,又怎么才能避免咧???先谢谢了!!!</p>
作者: eastfish    时间: 2006-7-20 09:41
<p>网络尖兵</p><p>具体避免的话,因为不是很清楚他的工作原理所以不好乱说</p><p>但是好像如果你们地区的电信真的购买了这个设备后,就算你做代理服务器</p><p>也不行, 以前看网上说,他监测出站的端口,如果超过了一定数量,则认为</p><p>主机做了NAT封了这个账号,但这个说法也没怎么确认。</p>
作者: huangjunjoy    时间: 2006-7-20 16:31
<p>谢谢2楼的朋友</p><p>每次封号之后电信的打电话过来,好像他们都知道路由器上有几台机器,不知道他们是通过什么设备实现的,请高手请教!!!!</p>
作者: 为了学习    时间: 2006-7-21 10:10
<p>MAC绑定,除此之外,应该没别的办法了~!</p><p>可以在单机上换个网卡来证明一下,换了就上不了,那肯定就是MAC被绑定了.</p><p>&nbsp;</p>
作者: kame    时间: 2006-7-22 22:46
<p><span style="COLOR: limegreen;"><span style="FONT-SIZE: 11pt; LINE-HEIGHT: 120%;">一般由网络尖兵,cisco的专用设备等</span></span></p><p><span style="COLOR: limegreen;"><span style="FONT-SIZE: 11pt; LINE-HEIGHT: 120%;">判断条件:<br/>一.检查同一IP地址的数据包中是否有不同的MAC地址</span></span></p><p><span style="COLOR: limegreen;"><span style="FONT-SIZE: 11pt; LINE-HEIGHT: 120%;">二、通过SNMP(简单网络管理协议)来发现多机共享上网</span></span></p><p><span style="COLOR: limegreen;"><span style="FONT-SIZE: 11pt; LINE-HEIGHT: 120%;">三、监测并发的端口数,并发端口多于设定数判定为共享</span></span></p><span style="COLOR: limegreen;"><span style="FONT-SIZE: 11pt; LINE-HEIGHT: 120%;"><p><br/>还有,判断TTL也可以,也就是所谓的生存时间.<br/>在网络中,数据包每 routing 一次,TTL 就会 -1,当 TTL 最后 =0 时,数据包在网络中不再继续传输<br/>一般的 OS 自己大的 TTL 基数都是 64(Linux、FreeBSD)、128(Windows)、255(Solaris、早期 Linux) 之类的</p><p>&nbsp;</p><p>网络尖兵,用的也是国外的技术,是指纹识别技术</p><p>网络尖兵的设置界面</p><p></p><p>通用的被动式操作系统指纹扫描工具p0f,可以去这里看:<a href="http://lcamtuf.coredump.cx/p0f.shtml">http://lcamtuf.coredump.cx/p0f.shtml</a></p><p>P0f v2是一个通用的被动式操作系统指纹扫描工具。p0f可以确认以下机器的操作系统:<br/>- 连接到你机器的机器(SYN模式),<br/>- 你要连接的机器(SYN+ACK模式),<br/>- 你连不上的机器(RST+模式),<br/>- 你可以监听通讯的那些机器 </p><p>P0f还有其他手段来检测或测量下面的东西:<br/>- 防火墙的存在或伪装(对策略强制有用),<br/>- 到远端系统的距离以及它启动的时间,<br/>- 其他网络连接(DSL, OC3, avian carriers)以及他的ISP. </p><p>所有这些甚至在扫描的设备位于一个主动包过滤防火墙后,这时候我们常用的扫描器束手无策的时候都可以完成。P0f不产生任何其他的网络流量:直接的或者间接的。没有name lookups、没有神秘的嗅探、没有ARIN查询,什么都没有!怎么做到的?很简单:魔法。在这儿你可以找到答案。</p><p>我在哪儿可以得到它?</p><p>点击这儿你可以得到p0f v2 (2.0.4)。如果你觉得自己够幸运,你可以试试最近的开发快照(2.0.5-b1)(如果你需要报告一个Bug或者提交一个新的特性请下载它试试)。如果你喜欢p0f,希望跟踪这个产品,建议你订阅位于Freshmeat的该项目。</p><p>Windows用户可以下载这个Kirby Kuehl制作的预编译的二进制版本。想在移动设备上使用的人可以在Kevin Currie的主页上下载ARM的移植版本。 </p><p>p0f的一些功能已经内建于OpenBSD中,谢谢Mike Frantzen(他的工作实际上启发了p0f V2的重写)。netfilter的Linux补丁在这儿。P0f可以允许在Linux、FreeBSD、NetBSD、OpenBSD、MacOS X、Solaris、AIX和Windows(已经其他一些有pcap或者pcap移植库的系统)上。</p><p>第三方的项目如p0f_db或p0f-stats提供了p0f输出更容易的存储和分析。</p><p><br/>这里是cisco的NAT检测</p><p><a href="http://www.cisco.com/en/US/products/sw/iosswrel/ps1839/products_feature_guide09186a0080110ae9.html">http://www.cisco.com/en/US/products/sw/iosswrel/ps1839/products_feature_guide09186a0080110ae9.html</a></p></span></span><p></p><p></p><p></p><p>这里还有其他详细的资料,<a href="http://www.sflow.org/detectNAT/">http://www.sflow.org/detectNAT/</a></p><p></p><p>破戒方法:</p><p><br/>1.所有的tcp包通过iptables重新把TTL写为128<br/>2.清除IP头的信息和抽取掉不需要的TCP标记<br/>3.剥离破碎的syn包的标记,设置IP的ID为“0”,使它无法计算出在NAT后面的主机有多少台。 <br/></p><p>比较简单的办法:用一台机器做socks5代理出去,但是不是所有的连接都可以用socks 的</p>
[此贴子已经被作者于2006-7-22 22:47:41编辑过]

作者: huangjunjoy    时间: 2006-7-23 13:11
<p>谢谢5楼的朋友,非常专业!!!!!只可惜咱对这些专业的东西不是太懂~~~~~~~~~~~~~~唉~~~~~~~~~~~~~~~</p><p></p>
作者: yiker    时间: 2006-7-23 23:28
<p>看看这个你就知道怎么回事了。</p><p><a href="http://219.133.33.39:7000/">http://219.133.33.39:7000/</a></p>
作者: 必胜    时间: 2006-7-24 16:11
5楼朋友说得非常具体,顶!大家想想看有没有更好的办法来对付这种情况。



欢迎光临 千家论坛_智能建筑与智能家居技术交流社区 (http://bbs.qianjia.com/) Powered by Discuz! X3.2