|
- UID
- 1413
- 帖子
- 2918
- 积分
- 3442
- 威望
- 3237
- 金币
- 509
- 贡献
- 135
- 职业
-
- 来自
- 湖南长沙
- 注册时间
- 2004-3-31
- 最后登录
- 2010-9-3
|
2#
发表于 2009-1-9 20:15
| 只看该作者
有了路由器为何还要交换机(路由一般带几个交换口)。
也没听过路由交换机的说法啊。
转个贴:
??本人是不赞同ISP限制个人用户共享上网的,用户花钱买了一条链路来使用就有权利想怎么用就怎么用,只要不做出违法的事情,ISP就没权利加以限制。
希望本篇提供的几种方法能够帮助大家摆脱ISP的共享限制:
要限制用户自架NAT服务器和代理服务器,一般有下面几种原理(注意是原理,很多软件可以通过这些原理来实现):
一、ISP绑定了网卡MAC地址接入。
破解方法:破解这个太简单了,常见的宽带路由器都有一种叫做“MAC地址克隆”的功能。只要把能上网的网卡MAC地址“克隆”到路由器的WAN口就行了。此方法网上流传太广,不多说。
二、ISP限制了IP数据包的TTL值。
封锁原理:懂网络原理的朋友应该知道,IP数据包在传输过程中每经过一跳TTL值就会减1,所以如果有人在下面私开NAT的话,ip包经过NAT服务器或者代理服务器出去之后的TTL值一定为:31、63、127或者254。所以ISP只需要在局端抓取拥有这些TTL值的数据,直接drop掉,就可以禁止大部份用户自架NAT服务器上网了
常见操作系统的默认TTL值:
Windows 9x/Me:TTL 字段值默认为 32
Linux: TTL 字段值默认为 64
WinNT/2K/XP/2003操作系统:TTL 字段默认为 128
Unix: TTL 字段值默认为 255
破解方法:既然我们明白了封锁原理,即数据包每经过一跳路由出去后ttl值就会减1,那么我们只要人为的在操作系统中将TTL默认值增大一跳,譬如在winxp系统中通过修改注册表,将TTL值改为129,减1出之后正好是128,就可以逃避检查了。注意某些地方ISP可能只允许有限的几个默认的TTL出去。
三、ISP修改了DNS查询应答包的TTL值
封锁原理:ISP也有可能会将UDP 53端口(也就是DNS请求)返回包的TTL值设置为1.这样的话,DNS应答的包只能到达下一级主机。如果使用了代理或者NAT,再下一级的TTL值将为0,这个包就丢掉了。从而实现无法解析DNS,大部份用户也就没法上网。但用户自行修改HOSTS文件手动解析网站或直接通过IP地址访问Internet是可以的。
破解方法:最好的办法是使用DNS代理,这个DNS代理服务也只能在NAT服务器(路由器)上跑,让DNS代理帮内网用户传递DNS请求。还有一种办法就是把TTL给它值改回来!我们可以在路由器上抓取回来的DNS应答包,然后人为的增加TTL值,DNS就可以继续传递给内网了,这个方法也适用于前面那个限制TTL值出去的案例。只要对出去的所有数据包统一修改TTL值即可,但此方法对破解者的技术要求颇高。
四、ISP检查同一IP地址的数据包中是否有不同的MAC地址。
封锁原理:据说“网络尖兵”软件在用此方法,但我怀疑这种方法根本没用,因为经过NAT转换之后的IP包文中MAC地址应该也只有一个而非多个,应此不能通过此方法查到用户是否开启NAT服务。
破解方法:网上流传的方法是把“LAN内所有网卡的MAC改成一致”,貌似也不是一个好的解决办法,改成一致后LAN内的PC间怎么通讯?还是应该想办法让NAT/代理出去的数据包中含有的MAC地址始终如一才是王道。
五、ISP通过检查HTTP包头来封锁代理服务器(不是NAT)
封锁原理:一般代理服务软件都是伪造http包头来代理内网PC上网,ISP就通过设备检查http包头中是否含有某些代理的特征字符串
破解方法:因为是从应用层来分析特征,要破解比较难了,建议还是换成NAT的方式出去。
六、其它一些手段如:限制TCP连接数、限制P2P、强迫用户安装星空极速、通过SNMP协议检查ADSL猫是否开启路由等手段并不是真正从局端来封锁NAT和代理,在此不复述了。
[ 本帖最后由 潇洒哥 于 2009-1-9 20:20 编辑 ] |
|
