电信封共享的原理分析（待验证）

天云上人 · 发表于 2006-9-23 19:33:36

也不知道对不对，根据实际发现的情况和打听到的情况进行分析。

一、
电信劫持了如下IP：192.168.0.1、192.168.1.1、192.168.2.1、192.168.3.1、192.168.4.1、192.168.5.1、192.168.6.1、192.168.7.1、192.168.8.1、192.168.9.1、192.168.10.1、192.168.11.1、192.168.131.1……，够可怕的，都可以PING得通。它劫持这些IP做什么用？

二、
1、听说不用安装ADSL时电信赠送的猫有可能有效防止被监控到共享。
2、再联系到PPPoE协议：有可能普通的ADSL猫、宽带路由器的PPPoE都有一些问题——后门或是PPP协议的漏洞——就象无线局域网现在也有许多漏洞一样——或者通过桥接电脑或宽带路由器的猫上有猫腻），
3、再联系到上面的IP居然都可以PING通，有可能我们被VPN了。
——我们网内的电脑变成监控系统的“网上邻居”了（所以电信连网内使用了交换机都能知道）。
——网上有些资料说把防火墙的等级调到最高可以防，估计也就是这个道理。
——再有网上有些资料说通过2层路由器也可以防（ADSL --> 第一层路由器 --> 第二层路由器 --> 接所有电脑），估计也是这个道理。

三、
分析HTTP头的可能性，我个人认为不太可能，这个流量太大。但也不排除电信采用随机抽取分析的可能。

天云上人 · 发表于 2006-9-24 21:06:05

俺这里好象从周五开始，电脑开始跳出电信的警告图片，说我串联了多台计算机上网，存在安全隐患，云云。刚开始还只停几个毫秒吧，后来就昨天开始停几秒钟。
好吧，电信ISP们，你们够狠，俺们不是刚学习了楼主的东东吗，来试试吧。
打开长期未用的网络分析软件commview评估版，开始监控本地网的情况。盯着commview显示的数据，把每个IP地址和端口号记下来，再开一个MS-DOS窗口，以便用命令测试。
排除掉正常的ISP服务地址，DNS服务器地址，网页主机地址，广告及插件主机地址，便找到了可疑的监视主机地址xxx.136.208.123；
排除掉正常的访问端口80,21,23,可疑的端口就是137(netbios-ns,tcp和udp用),138(netbios-dgm,udp),139(netbios-ssn,tcp),有人说还有161(snmp,udp),162(snmptrap,udp),甚至有人说445(microsoft-ds,udp,tcp),最扎眼的还是8899端口。
好吧，打开tp-link r460，将防火墙打开，同时启用IP过滤和端口过滤，存档，重新启动R460,嘿嘿，搞掂。
再次对楼主表示感谢。
不过俺还有问题要请教：
1 在以太网中不能屏蔽所有的137,138,139，161,162端口，尤其是138，否则访问不了外网，
2 在R460类的产品的规则条数有限(因为内存原因)的情况下，好象R460执行规则不是太好，虽然能挡住ISP的监控主机，
怎么解决这些问题呢？

天云上人 · 发表于 2006-9-24 22:28:49

http://vod.sjtu.edu.cn/help/Article_Show.asp?ArticleID=1095

电信劫持192.168.X难道是为了通过静态路由的方式来进入局域网内？

天云上人 · 发表于 2006-9-25 12:09:10

数据包大小= 92 字节
9 N, P# G% G  a8 b3 D; k8 j: i& [9 S3 r+ i2 I8 H* ~1 @! F( w$ b0 F
- - - - - - 以太网数据头 - - - - - -
( W6 w: f  s; T: O
$ ?8 Q9 [3 V3 n- l* F& \目标:   FF-FF-FF-FF-FF-FF (广播)
来源:      00-12-F0-6F-15-90
/ Z9 t9 ^# P- d0 `  ^1 J4 ?- |协议类型: 08-00 (IP)
0 l5 n& G9 E2 A/ M; v# C; z: G; K# A3 m2 S# k4 ^/ n
- - - - - - IP 数据头 - - - - - -9 _! _* l  j+ W3 p& F8 J$ g2 v
# x1 ~" x+ V  a* K& H
数据头版本:   4
; s$ a5 {5 T  E/ ]  C' w/ Q6 H数据头长度:    20
) V6 g4 k6 I+ m* u: f/ f% b( T- h+ h服务类型:  00
! D! h6 @' o0 E  d      ......0. = Min. Cost5 N- f* c: n( O8 |# @
     .....0.. = Reliability
& G8 q/ @7 y- ~9 C7 w- y      ....0... = Throughput( d  y, L9 }1 v8 S' M! \
     ...0.... = Low Delay
7 Y( i0 h9 a5 Q, [- M5 G3 E      000..... = Routine
- ?; t% L9 G4 |) B; ?; h+ \
2 i/ @' t3 o2 [; ]3 O+ {IP 数据包长度: 78
; Y5 `- K% l6 ]9 ~标识:   8170
" R( F5 Y2 W! y: o+ ~! I存储数据碎片:    0000
* z  a* T! j0 \$ r: L8 Z( W数据碎片偏移:  0
# F3 t$ E# I: w      ..0..... = More Fragments7 j5 x' K8 r: m$ X, h2 ]2 |, |8 p
     .0...... = Don't Fragment5 P9 K6 O4 m, a+ p, E/ ]  L5 I
活动时间: 128
) b3 E* ]0 H8 ~% G, _! D协议:         17: UDP: 用户寻址信息协议7 R1 u1 V: C; Y0 ?+ D
数据头校验和:  36356 (正确)
8 o! o; t9 ?8 g9 P" s来源:         10.10.11.24
* Z9 i) [) `9 a- m, ^. I3 S- _目标:      10.10.11.255
" t# k) B: w' j0 M8 C4 s1 A. M4 ]5 B) v) v
- - - - - - UDP 数据头 - - - - - -1 y0 W9 S# u# O0 }/ L' s

  z) `9 v' o' V来源端口:      137 (NetBIOS)
* l3 t) b+ Y. N. D. P目标端口: 137 (NetBIOS)6 P" g) F$ Z! K; J- M1 T, `' G, J4 d
长度:         58
3 i: C8 y, P& {2 D5 k数据头校验和:  64271 (正确)
9 q, n% w* N5 Y0 V2 N
, N2 i* b+ j7 U# |& S9 V数据包内容:   50 字节

天云上人 · 发表于 2006-9-27 20:35:03

当使用NAT时，会将内部的IP-ID原样发出。这样会有几个连续号码段，可以很准确地判断出使用了多少台电脑。
当使用代理时，因为代理机要与内部网通讯，所以IP-ID会有一部分数字没有发到外网，造成断号。这样电信估计也会判断为使用了代理（至少判断为有局域网）。

天云上人 · 发表于 2006-9-29 13:09:20

如果是一台机器，访问（解析）过的域名，一般在短时间内就不会再申请DNS解析。
而代理（PROXY、有启用DNS转发）或路由（NAT）时，会转发每台电脑的DNS请求。

天云上人 · 发表于 2006-10-15 20:26:31

ADSL -> ROS(10.10.11.X，相当于电信局设备) -> 路由器（PPPoE拨号到ROS）->局域网电脑（10.10.13.X）

在ROS上，居然看见有 10.10.13.X 的IP连接情况。

一剑 · 发表于 2006-10-18 13:19:23

[s:3]

goodd · 发表于 2006-11-28 12:43:06

1、听说不用安装ADSL时电信赠送的猫有可能有效防止被监控到共享。这个不真　不过有人说过可能跟客户端有关！

dede · 发表于 2007-2-23 14:40:13

经过查证，ADSL共享检测的成功率不高！我现在就在使用11台电脑！我们一个楼上的很多人都在使用我的网络！呵呵！每人收取40大元哦！

[ 本帖最后由 dede 于 2007-2-23 14:43 编辑 ]

		自动登录	找回密码
密码			注册

电信封共享的原理分析（待验证）

浏览过的版块