- 论坛徽章:
- 0
|
今天上午ADSL线路终于被电信封了,现像如下:
1.adsl连接建立正常,可以ping 202.96.134.134(电信的DNS为202.96.134.133,小气得很,不给ping,提供了一个检测网络连通性的地址)正常;
2.QQ登陆正常
3.网页无法显示,显示连接被重置
4.网址能正常域名解析,能ping通
以上是标准的被封现像,如有雷同,很不幸,你被电信QJ了
目前已知的电信探测ADSL终端数量的技术:
一、检查同一IP地址的数据包中是否有不同的MAC地址,如果是则判定用户共享上网。
二、通过SNMP(简单网络管理协议)来发现多机共享上网。
三、监测并发的端口数,并发端口多于设定数判定为共享。
四、检测TTL值,通过路由器后IP分组的TTL会减1
五、对端口进行检测:所有的内部网络的连接经过转换到router后,全部变为高端口,即60000以上的高端口,因为它为了避免同常规的服务端口相冲突。这一点通过包检测很容易探测出来。
六、IP分组的ID:内部网络产生的IP包通过router后,有一个固定在某一段的ID值,而这个值在内部网络中每一台电脑所产生的都不一样。而router 在默认状态下是不会改变这个值的。
想与CU的高手们集思广益,想出对策,小弟我的想法如下:
关于第一点:
数据包中是否有不同的MAC地址
答:这一点可忽略,经过NAT转换的包头中SRC MAC都是路由器的MAC地址了
通过SNMP(简单网络管理协议)来发现多机共享上网。
答:检查系统中是否开有161/162端口,停掉相关服务
检测TTL值,通过路由器后IP分组的TTL会减1
答:通过iptables,将发用从ppp0口出的包头TTL值定义为128,在电信看起来,哇,这是一台xp呢
?监测并发的端口数,并发端口多于设定数判定为共享
答:这一点,好像很难做到,但是电信也不好掌据多少个并发示为多台机器,请教DX们有什么好的办法
对端口进行检测:所有的内部网络的连接经过转换到router后,全部变为高端口,即60000以上的高端口,因为它为了避免同常规的服务端口相冲突。这一点通过包检测很容易探测出来
答:通过iptables的SNAT,应该不难将终端连接的端口SNAT为路由器端口
IP分组的ID:内部网络产生的IP包通过router后,有一个固定在某一段的ID值,而这个值在内部网络中每一台电脑所产生的都不一样。而router 在默认状态下是不会改变这个值的。
答:这一点,得向活跃于CU的linux-网络区的高手ssffzz1兄致敬,他写的模块很好用,将所有从ppp0端口出的包分组ID值递增2就可以了,实验了一台,不mangle的情况下,单台机对分组ID的修改是递增2的
不知还有其他的矛和盾没有,由于小弟知识浅薄,请精通的大牛们不涩赐教!!!谢过先了
[ 本帖最后由 kevin.tan 于 2007-3-31 14:33 编辑 ] |
|