电信如何检测多台电脑上网

注意:本文最后更新于 2646 天前,有关的内容可能已经发生变化,请参考使用。

鉴于这次回家帮好友对抗电信成功反被动探测实现多用户共享宽带上网,体会颇多,故作此文,本文主要简单分析下电信如何检测用户端多台电脑共享网络,但平常经常见到的通过强制在客户端安装互联星空软件等软件来限制单用户上网的形式及其破解方法不在本文的讨论范围之内。或许将来会有其他的文章来专题讲解。

大家共享上网,一般都是用路由器作NAT或者NAPT方式的IP地址转换,把多个内网地址翻译成一个公网IP地址.路由器或者代理只是对IP地址作了转换,单从外部上看是看不出来与普通的IP包有什么不同的,那么共享上网是如何被检测到的呢?

现在就我的一些经验和理解做一些推断(通过实战+套10000号的接话员的话+在电信技术部刺探)。

电信检测一般分两大类方法:第一种是主动检测,第二种是被动探测。现在基本上都在向被动探测靠拢,主动探测作为辅助手段。

所谓主动探测就是电信的机房对其分配给你的IP进行扫描,简单地说就是你到网上随便去下个什么扫描器,对这一段IP进行乱扫,看看他是不是开了80端口,是不是有161端口等,初步踩点以及获取一些信息,如果你的路由或者小猫没有修改默认口令的话就顺便登陆一下。以前一些弱智的小猫小路由开放了简单网络管理服务,为电信部门敞开了161端口的大门,使得当时是共享一次杀一次。当然现在的路由固件都基本修复了这些弱智的行为。

被动探测才是真正的杀手锏,被动探测就是电信有一套完整的机制系统(例如网络尖兵)来检测从你电脑或者路由中发出来的数据包,通过分析数据包的内容来判断你是否用一个帐号上了多台计算机(无论你是通过路由或者是一台电脑充当代理!)。

首先我想告诉大家的就是其实电信部门并不是自己去做检测多用户共享上网的事,一般他们都是购买专业的公司或者组织的服务并建立长期合作关系的,电信只管他的运营,这种检测的技术和差事一般都是由这些相应的公司去做的。这其中得原由我们不得而知。电信经常使用的产品包括网络尖兵、星空极速和南京信风等,其中在被动检测中网络尖兵最为常见,星空极速我们听得比较多。

网友曾经分析过网络尖兵使用的所有技术,并将一些结论放在网上,我看过一些,感觉其的确很强大,而且很BT,只是深究下去太过冗长,现在我们就单从数据包来看看网络尖兵是怎么来判断多用户共享上网的:

我们知道用IP协议构建的互联网,一共有5层结构,电信能获取的只有从第三层到第五层的东西,至于网上盛传的伪造MAC地址的方法