【转贴】破解isp安装的网络尖兵来实现多机上网

yansy

ADSL给大家上网带来的极大地方便，许多家庭都有好几台计算机，通过ADSL共享上网的方式可以各自上网，互不干扰，可最近很多朋友告诉我，如果只有一台机子访问互联网，一切正常，若两台机子都要访问互联网，则都打不开网页，打听来的消息说，电信新装网络硬件：网络尖兵。

　　上网查了一下关于网络尖兵的资料，只提到了实现的功能，没有提到实现原理，要想解决不能共享上网必须摸清它的工作原理，ADSL共享上网有两种方式，一种是代理，一种是地址翻译（NAT），大家常说的路由方式其实就是NAT方式，其实路由和NAT的原理还是有区别的，这里不作讨论，现在的ADSL猫一般都有NAT的功能，用它本身的功能实现共享上网是比经济方便，本文主要讨论这种方式。

　　要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台，NAT的工作原理如图一所示，经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址，也就是说，从原理上讲，直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。那是如何发现的呢？

yansy

一、分析原因

　　首先用superscan对ADSL猫进行扫描，发现开着161端口，161是SNMP（简单网络管理协议）的服务端口，难道是通过SNMP协议发现的主机数量，用xscan对猫进行了漏洞扫描，果然有默认密码，登陆到猫的管理界面但是找不到关闭SNMP服务的地方，看来是留的后门，由此基本可断定是通过SNMP协议发现的主机数。为了进一步证实，用SNMP的一个管理软件ActiveSNMP查看ADSL猫的连接情况，如图二所示，可以清楚地看出通过SNMP协议可以发现同时上网的主机数量。

yansy

二、解决方法

　　解决的方法就是屏蔽SNMP协议。有以下几个思路。

　　1、  猫中没有任何关闭SNMP协议的地方，可以换一个能关闭该协议的猫。

　　2、  修改配置文件，可以将配置转换成一个文件，用二进制编辑工具修改默认密码，然后再加载到猫中，这只是一种思路，没有试过。

　　3、  买一个ADSL路由器，例如TP-LINK TL-R400，放到如图三所示的地方，在该路由器中再做一个NAT服务，这样进到ADSL猫中的就是一个地址，这样就解决了共享上网。注意在路由器中要关闭SNMP协议。

yansy

原文出处：

http://www.yesky.com/ServerIndex ... 40325/1780852.shtml

JUST_ICE

最近几天和邻居家共享上网不行了,我的分配不到IP,ADSL猫在邻居家通过5口的交换机分线,他家的可以上,买个ADSL路由器就可以了吗?多少钱???

668866

不知道对河南的宽带认证有用吗

Alert

这种方法比较少了，现在很多可以监控你的计算机你不是有开PROXY或者nat，或者限制你的连接数量（主要防止私开网吧）

老树

我以前在9130.cn上写的两个帖子 拿到这里和大家交流一下

我个人对网络尖兵机制的一些看法（绝对原创）

网络尖兵一定是用了多种机制在侦测 多用户的行为 譬如基于adsl猫的snmp router的snmp可以直接看到用户的连接情况  基于http的请求头 就可以判断出用户使用了Proxy甚至可以捕捉到内网用户的ip  目前议论最多的是对于透明的NAT 譬如说宽带router（关掉snmp)他是怎么判断的 确实因为NAT这种形式 在出口抓包是看不到异常的数据的 所以我看网络尖兵对于NAT也没有直观的判断办法



但是有一点是要注意的 ：从出口上捕获数据包后进行分析 一个用户和多用户的出口的数据有很大的不同 这一点用siniffer在出口上捕捉一定量的包 就能看出来 单用户ip 和公用IP  的数据包有很多不同的特征 打个比方说 在HTTP层上看 多用户的ip可能在很短的时间内可能发起对不同web site的请求 而在这一点上单用户存在这样的行为的几率就很小 诸如此类的还有流量的大小等等 网络尖兵完全可以基于分析这些数据来判断是否存在多用户的行为。



这只是我对网络尖兵的一些看法 希望大家讨论。。。。。。。。

老树

关于网络尖兵的机制（原创、重要！！）

昨天晚上 突然想起一件事 突然觉得以前对网络尖兵的推测有很大部分是错误的。如果我是做这个设备的，完全有更方便、更直观、更准确的方法判断用户是否起用了猫的路由 是否使用了宽带router

大家知道 每一个支持路由的adsl modem都有一个MAC ,如果modem启用了nat 那么在链路层 和ISP的设备通讯的时候 我们发送的数据包 源mac地址就不是我们网卡的mac 而是modem的mac 而ISP完全可以根据这个Mac来判断了。一个完整的mac类似这样：00-0d-60-2c-8b-f2 mac地址的前几位表示是那个公司出品的 后几位应该有代表是什么设备的字节 譬如说 是网卡、交换机、路由器、adsl modem等等。即使没有这样的标志位 电信也应该能搞到这样的数据库：哪些是adsl  modem的mac。这样如果用户只要启用了modem的路由，ISP马上能发现并且过滤掉这样的数据。



而adsl modem是没有克隆mac这个功能的 所以用户完全没有办法。



对于宽带router一个道理，但一般的router都有mac克隆这个功能 所以用户是可以解决的。

nello

^_^,这样大家又可以共享上网了!HOHO

T22-T22

新版河南通信宽带用户客户端禁止代理共享的原理及解决办法

新版河南通信宽带用户客户端禁止代理共享的原理及解决办法 新版河南通信宽带用户客户端禁止代理共享的原理及解决办法
  
作者：未知 文章来源：未知 点击数： 1106 更新时间：2004-11-1
  
  
   不知你注意没有，在C:\Program Files\河南通信宽带用户客户端\目录下有这样一个DOS软件：npf_mgm.exe。它就是Winpcap中的网络数据包截取驱动程序；NPF(Netgroup Packet Filter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，通过对数据包的捕捉\过滤操作，检查其是否满足过滤条件而动作。这就是网友说的："打开代理共享后，如果客户端机器没有上网的话，用新拨号软件可以长时间上网，而一旦客户端机器上网有数据传送，马上就提示有代理软件，用XP本身的共享也是一样！"。它是随河南通信宽带用户客户端启动而自动加载的。

    针对这个原理，只要不让河南通信宽带用户客户端启动时加载NPF，就有可能通过禁止而完成共享。

    我们在命令提示符模式下运行npf_mgm.exe，会出现以下提示：

NPF Management - Written by Gianluca Varenni (varenni@polito.it)
syntax: npf_mgm -s -x -u -i -r -a -d

        -s starts NPF driver
            起动  NPF 驱动程序
        -x stops NPF driver
            终止 NPF 驱动程序
        -u uninstalls NPF driver
            卸载      NPF 驱动程序
        -i installs NPF driver
            安装    NPF 驱动程序
        -r uninstalls and reinstalls NPF driver
            卸载      和  重新设置   NPF 驱动程序
        -a changes the NPF driver start-type to auto-start
            改变    NPF 驱动程序 的 起动 类型 为 自动 起动
        -d changes the NPF driver start-type to demand-start
            改变    NPF 驱动程序 的 起动 类型 为 需要时  起动

从而可以建立以下批处理文件来达到我们的目的，我把它命名为"河南通信宽带共享"：

@echo off
npf_mgm -x
npf_mgm -u
cls

经反复试验证明：在河南通信宽带用户客户端启动后，运行我们建的批处理文件并不能达到让NPF驱动程序立即停止和卸载，它只是在河南通信宽带用户客户端上做个卸载NPF驱动程序的标记，使其在下次启动时不加载。要注意的是在河南通信宽带用户客户端没有完全启动以前应用该批处理文件只会提示NPF驱动程序没有启动，而不会作上卸载标记，从而弹出代理警示引起共享失败。


所以，它的运用方法只能是：
   
      1、首先运行"河南通信宽带用户客户端"程序；（NPF驱动程序被加载）
      2、打开"河南通信宽带共享"；（做上卸载NPF驱动程序的标记）
      3、退出已正常运行的"河南通信宽带用户客户端"程序；（以使做上卸载标记的NPF驱动程序卸载）
      4、再次运行"河南通信宽带用户客户端"程序。（NPF驱动程序没有被加载）

该方法用新版河南通信宽带用户客户端在WinXP+单网卡＋Sygate代理的环境下100％成功共享。

最好注明转载以及出处,谢谢

[ Last edited by nello on 2005-1-28 at 13:36 ]

gaosuu

不管成功与否，都要看看这个方法了。不就是加多个hub或交换机嘛。

金算盘

看过了帖子，回头我来写个合肥宽带的破解安装。

jnzxsir

写的都比较复杂啊!看不懂,难道就没有人会用抓图,搞个图文并貌的方法呀?我们可以模仿啊,毕竟不会的人多啊.

[ 本帖最后由 jnzxsir 于 2006-9-2 09:04 编辑 ]

mjy105

我是网通的用户现在还没有说不让代理,是不是就电信的取消代理了?
方法都不错,值得学习!

ddtx

现在各ISP都更新设备了，严格的讲电信对付共享的监测手段是多重的，
1，首先是接入设备，adsl猫和电信的接入设备是一体的，通过对adsl猫的网管系统，可以读取adsl猫的数据，当然，如果猫工作在桥接状态，用户小心设置自己的网络，这个系统能做的也有限，

2，欺骗装置，设置一机器绑定192.168.0.0/255.255.0.0等网段的IP，并在到用户的路由器上做一些非正规的设置，用户的内网机器不小心可能向这台欺骗机器发包，这能了解内网的状况，对策是严格的防火墙措施，阻断内网通过路由器向非路由地址发包。

3，扫描，通过扫描用户IP，可以知道路由器软件版本，并推测出制造商，另外可以向路由器发一些特殊的包，可以获得内网的信息，例如向通常的内网广播地址发包，可以引起内网各机器的响应，根据回应可以准确的数出内网机器的数量，应对的办法还是防火墙，因为这些扫描技术差不多都是古老的黑客技术了，现代的防火墙都应该都能对付，问题是现在没有多少廉价路由器有足够的计算能力去防火，

3，被动指纹分析，这个是几个热门系统（尖兵，信风等）的机制，通过对IP头，TCP头等协议设计或实现上缺陷的分析，可以分析出很多数据，例如IPID最方便，可以直接数出机器的数量，ttl，mss(mtu), recwin，recwin和mss的比例关系等等，也能分析出机器是否用nat，更综合一步，通过对IP指纹可以得知一个IP内有几个操作系统，对proxy，也能分析出来，除proxy的http_via forward_for等醒目标记和使用代理后应用程序协议版本的变化外（如,http 1.1 -> 1.0），proxy软件会使用一些特殊的tcp包，例如push...对应的办法还是防火墙，开启防火墙的normalizer功能，使发出的包正常化，遗憾的是廉价防火墙即使想给包整型，也难做得好。

4。应用层的分析，例如用户浏览器的版本次版本，连接的数量， windows update次数等

5，干扰用户的数据包，向用户已经连接的通信过程注入一些干扰包……讲起来有点复杂，初步分析是针对normalizer系统的攻击，已观察到信风系统有此行为。应对措施是小心配置normalizer，避免被骗到了，包注入技术很难缠。

6，其他新技术？

fssttk

这个方法现在还能用吗？

fifa002

烦,希望多几家ISP进来竞争

oigprs

在家真烦，这边的电信也是这样子一用户一台电脑上网，我现在还是用ＧＰＲＳ上的，晕哦

liuhz1976

好的