ISP 可以用哪些手段检测到用户在使用路由器共享网络？用户可以规避吗？

This topic created in 4127 days ago, the information mentioned may be changed or developed.

背景：LZ大学生一枚，使用南京电信校园宽带
尝试过这个，但是碰到TCP连接重置，甚至短时间封号等问题，暂时没有看到过警告网页：
http://tieba.baidu.com/p/3300824382?pn=1
怀疑电信有共享检测，但不确定
所以现在来问一下众V友，用了路由可能会暴露什么特征。

LZ能想到的：
最明显的，经过路由，TTL-1，但这个可以用iptables改。
以前还有人弄过iptables ipid模块
这两个都对LZ无效
应用层，现在web明文登录的不少，cookies，user agent貌似都可能被分析，但这个不太好规避，电信大概也不会去检测吧。
还有可能暴露什么特征呢？用户又如何规避？
LZ试过一次猎豹wifi，至少它对TTL有处理，拨号的机器和wifi客户端ping里的TTL都是一样的。

Supplement 1 · Feb 12, 2015

有位朋友说，拿一台linux的机器让电信客服倒腾，居然拿到了免客户端的账号……好强大……

LZ觉得这条路无望，只得转向技术方面……
而且，就算免了客户端，电信仍然可以部署共享检测。
电信搞客户端的目的就是不让共享，但封共享不止这一种手段。

更重要的，LZ希望得知，在技术方面，用户能做到什么程度。

现在已知的检测手段及应对方法：

1.TTL，经过一个路由就-1
应对办法：iptables改掉

2.IPID，路由后每一个机器都会在数据上呈现一条上升的线
应对方法：iptables IPID模块，改掉它（网上找到的IPID模块有两种模式，不知道应该用pace 1还是chaotic？也许是pace 1吧，这里我还没弄懂）

3.MAC地址
真的会检测这个么？NAT出去全是一个MAC地址啊。而且没听说用户不能换电脑啊……可能MAC地址上有制造商的信息吧。变化频繁可能也会被盯上。
应对办法：克隆MAC地址。openwrt等linux系统的，用GNU macchanger

4.TCP timestamp
原理似乎是：每台机器的时钟都不一样，各有偏差，这反映到TCP timestamp中。（很奇怪，ccseven提供的PPT说还需要依靠统计规律？）
应对方法：
a.同步时间
缺陷：android等系统可能对此支持不好，比如电信的CDMA会强制同步电信的时钟，移动会同步移动的时钟。可能的应对办法：使用软件同步，或者GPS同步
b.在路由上丢掉timestamp（http://blog.csdn.net/dog250/article/details/18959401）
缺陷：兼容性未知，可能丢掉了timestamp会成为新的特征。

5.应用层的检测，如：
a.HTTP user-agent（个人觉得不太靠谱，但ISP可能不惜误报也要部署）
b.Windows Update（我去，这也行）
c.MSN等IM登录的账号数（如果加密了协议就不行，估计不靠谱）
d.HTTP session cookie（LZ不太懂这方面，但这个应该跟着HTTP明文传输了，而且绝大多数学生都会使用一些不加密的应用，比如QQ空间）
其他更猥琐的手段……

6.“主动探测”，如SNMP
原理：貌似是相当于间谍软件，植入到NAT后面进行探测
疑问：SNMP？上网的机器不支持怎么办？难道客户端里面有SNMP支持？

其他：希望众V友补充修正！

“万能”的应对方法：
1.加密代理，如VPN
原理：我全加密了，看你还检测个毛线
缺陷：
a.可能加密代理本身就是一种特征
b.哪里去找VPN服务器？免费或公共VPN隐私存在隐患；租VPS国内很贵，国外也不算便宜，流量还要绕道回国，产生延迟、丢包、撞墙等问题；自设VPN比较麻烦，而且很多地方的ISP限制上行速度
c.上面一条说了，延迟明显增大，可能会丢包，速度可能受限，打网游的不愿意用这个——也许可以设置只让部分流量，如TCP 80通过VPN传输来解决
2.本地socks5代理
原理：重新包装，消除不同机器协议栈暴露的特征（LZ外行，理解有误请纠正！）
缺陷：
a.需要应用支持——也许可以采用redsocks之类软件弥补
b.不加密，对付不了应用层的检测
疑点：据某百科对网络尖兵的描述，可以查出用户在私设代理！？

其他：希望众V友补充修正！

规避

TTL

iptables

33 replies • 2018-10-31 18:13:55 +08:00

my623

Feb 10, 2015

通过user-agent. 检测到两个不同的UA就会封锁请搜索网康科技

weisoo

Feb 10, 2015

@my623 如果是这样的话，我一台电脑装多个浏览器也不行了？

9hills

Feb 10, 2015

在阿里云/青云等做个shadowsocks，然后全局shadowsocks好了。。流量特征全部抹平

sandideas

Feb 10, 2015 via Android

用两个路由器可破。。

ScotGu

Feb 10, 2015

@sandideas +1 双路由的确挺好用，我在大学就这么干。

my623

Feb 10, 2015

@weisoo 根据类型来的，比如说同时出现桌面浏览器和移动浏览器，同时出现两个不同品牌手机的浏览器。校园网不安全，如果不缺钱，最好不要用。别折腾了，得不偿失。

fchypzero

Feb 10, 2015

@sandideas 没想通，怎么破法？求教。

acess

Feb 10, 2015

@fchypzero 第一个路由拨上宽带，它的LAN口接第二个路由WAN口，第二个路由设置WAN口为DHCP，LAN口网段与第一个不同
这样就经过了2层NAT
很奇怪，这样真的有效么？

acess

Feb 10, 2015

@9hills 这两个网费都好贵啊

sandideas

Feb 10, 2015

@acess 可以试试。。

ccseven

Feb 10, 2015

@acess 华为SIG非法共享接入监控解决方案20051223

http://wenku.baidu.com/link?url=xU4GYye80AtlSIaU4BY5ixm5u2EC1-P4WhBYr87DoIgvS0TwyH62KIec8ZSuTw9Y01JXVvvXGQS0PO_kkIXzjKmlncAlw4h4n-EXQFpIYlG

某市某运营商该项目就是华为SIG方案！不要问我怎么知道的 (￣▽￣)"

ccseven

Feb 10, 2015

准确点说整个省都是!

weisoo

Feb 10, 2015

@my623 对网站开发者来说，同时开几个类型的浏览器很常见，那不要活了？

extreme

Feb 10, 2015

@sandideas 路由器连接上网了，算一个上网终端，第二个路由使用前一个路由器上网，算第二个上网终端。

sandideas

Feb 11, 2015

@extreme 那你会不会用电脑连接路由器上网呢

extreme

Feb 11, 2015

@sandideas 你是不是没在自己的电脑上用过PPPOE？
电信肯定是想你们都用Modem，然后唯一与Modem连接的主机再通过PPPOE上网。

wohenyingyu01

Feb 11, 2015

以前我们学校是加密PPPOE的密码，即输入的密码与真实的密码不一致，要安装专用客户端才能解密拨号，于是路由器用不了，而且该客户端会禁用电脑上其他的网络适配器防止共享。于是一大堆算号器应欲而生，百度河南网通在线算号器有真相。

acess

Feb 11, 2015

@ccseven 感谢分享，虽然资料看起来有点老
这个PPT上说的传输层的检测有IPID和TCP时间戳，还有TTL（若理解有误请轻拍）
IPID和TTL都能用iptables改，但是IPID要费点事（编译模块）
TCP时间戳呢？有办法搞定这个么？

另外这个PPT似乎反映出一点：被封是不定时的，情况可能在一周内都会有很大变化，取决于电信那边操作者的心情。（扑朔迷离，用起来提心吊胆，威慑效果也更好）

另外，还有没有其他传输层可以做的检测？有没有办法规避？

@my623 我觉得电信不会BT到查User Agent，至少不会作为主要手段。
对于主要目标：多台电脑共享，检测结果又不准（也许大家都是一样的系统，一样的浏览器）
可以查到你的手机平板也跟着上网了，但封这个没多大意思啊，归根到底就一个人在用，流量又不会多大。就算逼人用数据流量，也未必用的是电信的。
但我记得有一次被封很像是被查User Agent了。只出现过一次，那时拿ChinaNet这个wifi热点来共享，身边人拿出手机连上使用，很快就连接被重置了。那次之后就没有这种现象了。

要是分析流量到如此地步，也许只有在外面搭一个VPN，使用加密连接才能绕过了。

acess

Feb 11, 2015

@wohenyingyu01 已经有人做了拨号器，帖子里说了，和算号器应该等效。
根据网上的分析，和自己的使用感觉，这个客户端的制作还是蛮低劣的，应该不会有太复杂的东西。
比如连上任何wifi，这个客户端都会提示你连了电信校园wifi，而且这时关掉客户端，wifi就会断线。
www.f-young.cn也是这样，正常点进去下载客户端，会发现下载页面就是连接出错的警告页面（请卸载猎豹云云）
但是网络明显受到人为干扰。照这样说，还是电信在通过分析流量来检测共享。

sandideas

Feb 11, 2015 via Android

@extreme 用无线路由器A拨号，然后在无线路由器A的Lan口和另外一个无线路由器B的wan口接起来。所有电脑都通过一个无线路由器B上，无线路由器B接在拨号的无线路由器A上面。

sandideas

Feb 11, 2015 via Android

好像检测的东西叫做网络尖兵。。楼主可以去了解下

extreme

Feb 11, 2015

@sandideas 算了，不浪费时间和你解释了，你是无法理解的。

sandideas

Feb 11, 2015 via Android

@extreme 真奇怪你这人，我这种方法是我实打实试出来的。什么叫我无法理解。
我在学校的时候用的是联通的网，可以用无线路由器拨号，但是如果两台电脑同时连一个无线路由器，就会提示多个用户使用。所以必须是一个无线路由器外面再套一个无线路由器，这样随便怎么连联通都检测不出来。
不知道你扯那么多什么意思，你试过么。。
好好说话，有谁是无法理解的。真的是。
无线路由器就不能通过猫来拨号了？还是什么的？我电脑可以通过无线路由器来连接上网，路由器连接路由器就算第二个终端从而不能上网了？

extreme

Feb 11, 2015

@sandideas 那是因为你ISP限制的终端数不是一。

extreme

Feb 11, 2015

@sandideas 按照你说的，你ISP限制的终端数是二(为什么是二，恐怕是检测方法的原因)，达到三就执行相应的措施。
如果限制的是二，你这方法理论上根本不可行。

extreme

Feb 11, 2015

@extreme 居然打错字了：
按照你说的，你ISP限制的终端数是二(为什么是二，恐怕是检测方法的原因)，达到三就执行相应的措施。
如果限制的是一，你这方法理论上根本不可行。

acess

Feb 11, 2015

@extreme 这里讨论的是电信是如何得知这个终端数的，还有用户能采取什么方法规避
一般路由NAT出去，就像是一台机在上网，除非抓包仔细分析
如果两层路由都没有搞定流量的特征，那么两层NAT和一层NAT我觉得效果没啥区别，所以我怀疑双路由的效果（如果有效，我觉得可能是其中一个的固件有反制措施，掩盖了一些流量特征）
另外ISP貌似也可能采取主动探测（SNMP之类），但这个我觉得就是利用埋设好的后门，这肯定需要电信强制用户使用自己的设备，比如校园无线盒子、光猫之类的。但这意义不大，因为可以在这个设备后面再接路由。

acess

Feb 11, 2015

@sandideas 很奇怪，为什么一层会被封，两层就不会了，我很好奇联通是怎么检测的。

acess

Feb 11, 2015

找到一个貌似是去掉TCP Timestamp的办法：
http://blog.csdn.net/dog250/article/details/18959401
看起来还得稍加折腾，和ipid一样需要编译模块
但好处是编译一次应该就可以共享出来，大家一起用了。

另外这样即使有效也不是长久之计——如果大家都有timestamp，就你没有，这也算特征吧。最好能伪造一个

如果理解有误请轻喷。

sandideas

Feb 11, 2015 via Android

@acess http://wk.baidu.com/view/9217acbbfd0a79563c1e72d1?pcf=2&bd_source_light=1550401你可以看看。。

invite

Feb 11, 2015

@acess 如果检测IPID这些，那么你用一台电脑做代理当路由器使，这样不是检测不到了？

sadpencil

Aug 27, 2017

IPID 和 timestamp 确实是比较难防，但是，ISP 如果根据这种手段检测的话，会误伤虚拟机
有了虚拟机这个借口，似乎就不用担心 NAT 封锁了

Benson1212

Oct 31, 2018