找回密码
 注册
搜索
查看: 14291|回复: 10

电信封共享的原理分析(待验证)

[复制链接]
发表于 2006-9-23 19:33:36 | 显示全部楼层 |阅读模式
也不知道对不对,根据实际发现的情况和打听到的情况进行分析。( ?& _. V: A5 [3 Y7 R

1 P5 ^: [( G2 \! H5 `5 w一、; w& {0 |: Z$ i5 s0 {& K
电信劫持了如下IP:192.168.0.1、192.168.1.1、192.168.2.1、192.168.3.1、192.168.4.1、192.168.5.1、192.168.6.1、192.168.7.1、192.168.8.1、192.168.9.1、192.168.10.1、192.168.11.1、192.168.131.1……,够可怕的,都可以PING得通。它劫持这些IP做什么用?
5 t+ O1 w  I& y1 U; i+ f1 n
1 \5 J% H2 T+ p0 I7 r二、
7 |6 m2 ~" h( f& O1、听说不用安装ADSL时电信赠送的猫有可能有效防止被监控到共享。) R4 B/ Y5 \1 z# R" [/ R
2、再联系到PPPoE协议:有可能普通的ADSL猫、宽带路由器的PPPoE都有一些问题——后门或是PPP协议的漏洞——就象无线局域网现在也有许多漏洞一样——或者通过桥接电脑或宽带路由器的猫上有猫腻),
* p! ?' T8 ]) U2 s5 x( q3、再联系到上面的IP居然都可以PING通,有可能我们被VPN了。) z+ D+ T5 C9 F3 _' W
——我们网内的电脑变成监控系统的“网上邻居”了(所以电信连网内使用了交换机都能知道)。
0 y1 u  Z; p: b2 }——网上有些资料说把防火墙的等级调到最高可以防,估计也就是这个道理。
- f" p. s) O- G4 N——再有网上有些资料说通过2层路由器也可以防(ADSL --> 第一层路由器 --> 第二层路由器 --> 接所有电脑),估计也是这个道理。% N# ?* [+ c3 x! o  `7 X

, M0 k2 b+ U1 e! C; k三、' r9 P8 @* y6 i% @) q# {5 z
分析HTTP头的可能性,我个人认为不太可能,这个流量太大。但也不排除电信采用随机抽取分析的可能。
 楼主| 发表于 2006-9-24 21:06:05 | 显示全部楼层
俺这里好象从周五开始,电脑开始跳出电信的警告图片,说我串联了多台计算机上网,存在安全隐患,云云。刚开始还只停几个毫秒吧,后来就昨天开始停几秒钟。0 ^2 m6 [( W3 [% t
好吧,电信ISP们,你们够狠,俺们不是刚学习了楼主的东东吗,来试试吧。4 S0 u$ X9 Q9 H3 _0 W1 ^! {
打开长期未用的网络分析软件commview评估版,开始监控本地网的情况。盯着commview显示的数据,把每个IP地址和端口号记下来,再开一个MS-DOS窗口,以便用命令测试。- y( f% i% \: c
排除掉正常的ISP服务地址,DNS服务器地址,网页主机地址,广告及插件主机地址,便找到了可疑的监视主机地址xxx.136.208.123;  ]5 d2 L, O# F6 a( {, H
排除掉正常的访问端口80,21,23,可疑的端口就是137(netbios-ns,tcp和udp用),138(netbios-dgm,udp),139(netbios-ssn,tcp),有人说还有161(snmp,udp),162(snmptrap,udp),甚至有人说445(microsoft-ds,udp,tcp),最扎眼的还是8899端口。* J5 z0 [  ^, F2 n' B& W3 b  H* ?
好吧,打开tp-link r460,将防火墙打开,同时启用IP过滤和端口过滤,存档,重新启动R460,嘿嘿,搞掂。. x& q/ J/ ~  \$ O1 r# h. ^$ b! g7 W
再次对楼主表示感谢。
. J& {4 A6 s) |不过俺还有问题要请教:$ I. z" x0 e0 Z  ?
1 在以太网中不能屏蔽所有的137,138,139,161,162端口,尤其是138,否则访问不了外网,
8 f" X3 R% H8 o" j! g4 z' ]/ O2 在R460类的产品的规则条数有限(因为内存原因)的情况下,好象R460执行规则不是太好,虽然能挡住ISP的监控主机,& O# t: F) d7 p% m5 L! g; p4 N
怎么解决这些问题呢?
回复

使用道具 举报

 楼主| 发表于 2006-9-24 22:28:49 | 显示全部楼层
http://vod.sjtu.edu.cn/help/Article_Show.asp?ArticleID=1095
% W1 o/ |1 o3 Q4 O7 K; O$ x% w7 g0 Z% m0 ^! s9 S& x
电信劫持192.168.X难道是为了通过静态路由的方式来进入局域网内?
回复

使用道具 举报

 楼主| 发表于 2006-9-25 12:09:10 | 显示全部楼层
数据包大小= 92 字节/ Y5 E" E! ]' i7 I; d+ g* J% M

/ F' \& ^4 Z" a1 ]& b- \- - - - - - 以太网数据头 - - - - - -1 {8 Q! m0 k- `) A5 [1 q
! }% _. ~5 m4 R" N7 X
目标:   FF-FF-FF-FF-FF-FF (广播)
, ]$ Z" Y  N( h, o1 R: K3 J# E来源:        00-12-F0-6F-15-90
$ K2 ?* h) w& q/ D协议类型: 08-00 (IP)! N) d+ \+ {- R
  K, k- s* ^$ J3 ^
- - - - - - IP 数据头 - - - - - -
9 u1 V' F2 E* H# U* P! \- x1 C: p1 U9 V; \2 S
数据头版本:   4
( b. X" n( W0 ?: G数据头长度:    20
9 ~6 e  n5 D1 P) \服务类型:  00
7 |4 q2 p. U* s        ......0. = Min. Cost
* [1 \/ Y, D6 x% \' @6 J        .....0.. = Reliability
7 x2 M* A' `# _0 s6 ^9 E: E8 B: a, X        ....0... = Throughput% [' r: K* A$ y2 T2 q& }3 ?4 a
       ...0.... = Low Delay; \2 Y; j0 Q( Y1 P( K' R
       000..... = Routine! N; M, [; Q# F' m! S9 \4 {  e

- w* F$ r. A, ~3 r$ K" I* {IP 数据包长度: 78
! G% v) w% J8 y3 J% _6 a- O9 T0 y: T标识:   8170
- B8 k+ S1 ~# s2 y) O存储数据碎片:    00008 c$ w1 }, p: i
数据碎片偏移:  0& ~5 C. c; j7 A. L) [  \- I
       ..0..... = More Fragments  |( G7 v/ P: t
       .0...... = Don't Fragment
2 u" C& b; Q# ?; h0 z活动时间: 1287 ^7 M/ I# U. D# A+ {# Z
协议:         17: UDP: 用户寻址信息协议
1 E2 ]* @; _7 @/ ^* F数据头校验和:  36356 (正确)0 P' r; O; Q% O, g. r9 [9 I6 x4 A7 c
来源:           10.10.11.24, J( M* m7 v) E- w! _+ k$ k
目标:      10.10.11.2553 U7 i  W2 t6 J- _

$ l- k% E3 t  ]- z: F; _- - - - - - UDP 数据头 - - - - - -% R1 F6 `) T7 e4 J
1 e+ R! p) `, D: i; e% c
来源端口:      137 (NetBIOS)
7 e9 `7 P" P4 u! r% W& U% J目标端口: 137 (NetBIOS)
3 M, h, e' V& d长度:           58
* s1 E7 q) |) M! l2 W6 v$ P数据头校验和:  64271 (正确)1 S9 N; H. i- q8 s; r9 M
0 d' N0 p& U) U# \: e& D
数据包内容:   50 字节
回复

使用道具 举报

 楼主| 发表于 2006-9-27 20:35:03 | 显示全部楼层
当使用NAT时,会将内部的IP-ID原样发出。这样会有几个连续号码段,可以很准确地判断出使用了多少台电脑。4 L$ s' R$ Z. a7 X1 ]
当使用代理时,因为代理机要与内部网通讯,所以IP-ID会有一部分数字没有发到外网,造成断号。这样电信估计也会判断为使用了代理(至少判断为有局域网)。
回复

使用道具 举报

 楼主| 发表于 2006-9-29 13:09:20 | 显示全部楼层
如果是一台机器,访问(解析)过的域名,一般在短时间内就不会再申请DNS解析。- k1 M, O* [/ Y: X
而代理(PROXY、有启用DNS转发)或路由(NAT)时,会转发每台电脑的DNS请求。
回复

使用道具 举报

 楼主| 发表于 2006-10-15 20:26:31 | 显示全部楼层
ADSL -> ROS(10.10.11.X,相当于电信局设备) -> 路由器(PPPoE拨号到ROS)->局域网电脑(10.10.13.X)" }, o' `/ |1 Y8 V, O

6 Z& R& l6 n; v在ROS上,居然看见有 10.10.13.X 的IP连接情况。
回复

使用道具 举报

发表于 2006-10-18 13:19:23 | 显示全部楼层
[s:3]
回复

使用道具 举报

发表于 2006-11-28 12:43:06 | 显示全部楼层
1、听说不用安装ADSL时电信赠送的猫有可能有效防止被监控到共享。这个不真 不过有人说过可能跟客户端有关!
回复

使用道具 举报

发表于 2007-2-23 14:40:13 | 显示全部楼层
经过查证,ADSL共享检测的成功率不高!我现在就在使用11台电脑!我们一个楼上的很多人都在使用我的网络!呵呵!每人收取40大元哦!: _5 n% k. g' c  ^4 {9 O$ m& d

7 Y8 j2 ~+ O+ Z+ w[ 本帖最后由 dede 于 2007-2-23 14:43 编辑 ]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|宁德市腾云网络科技有限公司 ( 闽ICP备2022007940号-5|闽公网安备 35092202000206号 )

GMT+8, 2026-6-18 08:01 , Processed in 0.021057 second(s), 15 queries .

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表