如何应对中国电信运营商封杀路由的方法,请高手赐教
发布网友
发布时间:2022-05-12 13:47
共3个回答
热心网友
时间:2023-10-09 21:29
大家共享上网,一般都是用路由器作NAT、NAPT方式的IP地址转换,把多个内网地址转换成一个公网IP地址。
路由器或者代理只是对IP地址作了转换,从外部来看是看不出来与普通的IP包有什么不同的,那么是如何检测到的呢,用IP协议构建的互联网,一共有5层结构,电信能获取得只能是第三层到第五层,至于网上有TX说的什么伪造MAC地址的办法肯定不行,MAC地址出了路由器就被重新封装了,电信根本拿不到。 至于应用层分析,狗的这层千差万别的应用,他们也更本没这个技术能力来确定我们机器的数量。看来只有分析IP和TCP包头了,仔细分析IP报头看看到底有那些信息可能泄漏我们内网机器得数量。看一下IP报文的结构:
0 4 8 16 31
版本 首* 服务类型 总长度
标识 标志 片偏移量
寿命 协议 首部校验和
源端IP地址
目的端IP地址
长度可变的任选字段 填充
数据
…
版本:IP协议的版本,大家都是4。
首*度:报头首部的长度,4字节的整倍数。
服务类型(TOS):每个机器都一样,用来表示优先级。
总长度:整个报文首部和数据的长度。
标识(identification):数据报的标识,用来标识出数据长度超过MTU分片时,进行重新组装数据的位置标识。这部分可以用来分析共享上网的特征。
标志:有MF和DF分别标志分片结束和不能分片。
片偏移: 长报文分片后,在原报文中的位置。
生存时间(TTL):数据报在网络中的寿命。
协议: 携带数据使用的协议。
首部校验和:报文首部的校验信息。
源地址:4字节源IP地址。
目的地址:4字节目的地址。
从IP报头的组成来看,只有可能携带内*息的就是“标识(IPID)”,在每一台内网机器作地址转换时,IPID的序号是没变化的,而每台机器又是随机从一个数开始,有规律单调增加,看来根据这个ID的不连续来判断机器的数量。 抓包看看,果然:
12:19:41.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4292552168 win 64240 (DF) (ttl 127, id 40255, len 40)
12:20:23.000000 10.10.49.204.62017 > 10.199.201.37.http: . [tcp sum ok] ack 1 win 64240 (DF) (ttl 127, id 40756, len 40)
12:21:37.000000 10.10.49.204.62216 > 10.54.226.252.http: S [tcp sum ok] 1820371619:1820371619(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 127, id 57601, len 48)
12:21:40.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4293696808 win 64240 (DF) (ttl 127, id 41427, len 40)
12:22:06.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4293946004 win 64240 (DF) (ttl 127, id 41671, len 40)
12:23:10.000000 10.10.49.204.62017 > 10.199.201.37.http: . [tcp sum ok] ack 1633741 win 64240 (DF) (ttl 127, id 42293, len 40)
12:24:00.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4294795172 win 64240 (DF) (ttl 127, id 42632, len 40)
12:24:24.000000 10.10.49.204.61993 > 10.199.201.37.http: SFRPW [bad tcp cksum 1748!] 2115643160:2115643180(20) ack 972685314 win 46144 urg 3585 (DF) (ttl 125, id 42893, len 40)
12:25:05.000000 10.10.49.204.62259 > 10.200.222.45.http: P [bad tcp cksum 6be7!] ack 1 win 19652 (DF) (ttl 127, id 1673, len 40)
12:25:53.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 940080 win 64240 (DF) (ttl 127, id 43799, len 40)
12:25:56.000000 10.10.49.204.61993 > 10.199.201.37.http: . [bad tcp cksum 579d!] ack 1019539 win 17520 (DF) (ttl 125, id 43846, len 40)
12:25:56.000000 10.10.49.204.62017 > 10.199.201.37.http: E [bad tcp cksum 8380!] 2120652494:2120652506(12) win 11414 urg 5633 (DF) (ttl 125, id 43859, len 40)
12:26:05.000000 10.10.49.204.62259 > 10.200.222.45.http: R [tcp sum ok] 3206002624:3206002624(0) win 0 (DF) (ttl 127, id 1731, len 40)
有三个变化范围的IPID序号,彩色标记出来的IPID序列号的变化很有规律,一定范围内变化的报文就是由一台机器发出的,嘿嘿,根据这个因此可以判断有三台机器共享上网。
再看看TCP头里面有什么东西可以看看,抓包来看,居然Windows将每个TCP的包头中的可选扩展段用来打标每台机器的时间戳,想必我们每台机器的时间不会都调得如此精准,每个机器发出的时间戳的误差不会完全相同,看来利用这个时间戳也可以大致判断内网的机器数量。
好了,有了上述这些分析,你大概知道怎么破解了吧,打乱IPID的发包规律,或者顺序或者分散IPID就能使电信的检测系统失效,将机器的时间戳没掉或者用Internet时间同步。哥们编了一个小程序,只要安装到共享的全部计算机上,必须全部!
安装后会在Windows的System32下生成DrvFltIpRan.sys,ShareIP.EXE和ShareIPCrack.EXE等几个程序,其中ShareIP是Windows服务程序,可以在控制面板的服务中看到,停止服务后只有重新启动服务才有效果。
对于一般用户最明显的是,你把系统时钟随便改,启动服务后时间就会自动同步为北京时间了。另外IPID效果可以通过任何抓包软件看到,启动服务后IPID会被改变,否则是连续的。
注意:只有被共享主机全部安装才有效果。
在安装前,你的系统确定是否是XP,2000的!软件我已打包,大家用固定模试.
如果你的路由器是TP402的这里还给你提供了一个官方补丁!
好了,大家有什么问题可以访问:www.0565cn.com
BY:宇宙骑士
QQ:27005965
热心网友
时间:2023-10-09 21:29
热心网友
时间:2023-10-09 21:29
2、保证你多户共享的MAC地址不要超出你登记的终端数(掩盖MAC地址是颇为困难的,不超过合法登记的数目还要多户共享干嘛?)
3、避免“假接入、真互联”的举动。(可是这样,我真想不出来你多户共享是为了什么?)
最后说一句——广东电信动作太慢了,江苏早就整治了。
