我爱电脑技术论坛 » 网络安全区 » 反网络尖兵

小迷糊 发表于 2008-6-29 09:17

反网络尖兵

反网络尖兵  
!F`S9|xn6o$e)pPo `JnaU-?U0pQH
U*hz;_{
E&]
网络尖兵 限制用户共享上网的临时解决方案,最近电信局试探着用“网络尖兵”限制共享上网，并且技术很不成熟，造成用户机打开网页很慢，严重影响用户权利。 &Lx-RS u2WW
经过监测，我们发现中国电信存在以下侵害用户权利行为：
dD"O#[+i'R ho(_ H rp$Xt`
1、其设备“网络尖兵”非法扫描用户路由器SNMP161端口数据；
W#E{D0wL3h
A 2、其设备“网络尖兵”非法扫描与监测用户并发的端口数据； h9n:QtqL2k6Y|| ~
3、其它未知有可能探测到用户敏感信息的措施；
WSeN f \nP@W @8hzM 4、其设备“网络尖兵”技术运用很不成熟，直接影响用户的使用权利； r|6[x0[4]UN!l
5、不尊重用户权利，单方面更改服务措施，而未给予用户利益应有的关照，并且未有任何令人信服的解释；
4F4[x*@(Z 1.端口映射破解网络尖兵
\2_g`ob`Go 求助:speed home plus 511不能设成路由
!Y6n'R?VxO,x 原来本地的SPEED HOME PLUS 511设自动拔号路由一直正常，一个星期前，有些用户反映设完路由后不到两分钟就断线，MODEM重启，如果设为初始状态，用ETHERNET300等拔号正常。 5qR$|yeZ
听说是电信局做了手脚，防止用户设为路由共享上网，不知这种问题有没有应付方法？请高手赐教！ :Z%k G"w,WU;q'|3c"t
另：我在网上查的说有网络尖兵一类的设备用在电信局，专门阻止用户设路由，对应方法要屏掉snmp端口，但我在FIREWALL里不知该怎么添加防火墙列表？希望知道的说一下。
`["P }5a
cg6FF!h
ng 端口映射【snmp（端口161）】破解网络尖兵
1J7R\ a7tQ4|&w%s
j4gvm4\-teC
L snmp端口就是161吧，做个端口映射把该端口映射到内网不存在的ip试试，这主意好像是hiker出的？
I4c9j*e5H*MZd|&`O l%pILl3?p
我也用511，试着做了这样的两个（tcp和udp各一）端口映射（映射到10.0.0.88），发现在user.ini中显示为： @B:M~
e
m8J9d4J
Xqjne%^(e
create protocol=tcp inside_addr=10.0.0.88:snmp outside_addr=0.0.0.0:snmp foreign_addr=0.0.0.0:0 *hJK+P O&`OD
create protocol=udp inside_addr=10.0.0.88:snmp outside_addr=0.0.0.0:snmp foreign_addr=0.0.0.0:0
v4CH*c-V2_6XN-G
"|&d4NoR 在web设置界面显示为：
aD
XJ*FC;QZ `}WV&vc8D

}@h}-d 2. 破解“网络尖兵”
M9M5\EH?,Ek
FHkjaV*N^YT5j6U
      受病毒攻击时ADSL MODEM一般要重启才能用，而受“网络尖兵”影响的等上几分钟就可以继续上网了，而且打开一个网页要经常刷新好几次才能打得开。 0lZ)q)o@Hk
QxD6qZe-oKQ
　　上网查了一下关于网络尖兵的资料，只提到了实现的功能，没有提到实现原理，要想解决不能共享上网必须摸清它的工作原理，ADSL共享上网有两种方式，一种是代理，一种是地址翻译（NAT），大家常说的路由方式其实就是NAT方式，其实路由和NAT的原理还是有区别的，这里不作讨论，现在的ADSL猫一般都有NAT的功能，用它本身的功能实现共享上网是比经济方便，本文主要讨论这种方式。
,U YF,N;cp e n5f:d&n'\,X
　　要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台，NAT的工作原理如图一所示，经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址，也就是说，从原理上讲，直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。那是如何发现的呢？经过研究发现它是采用多种方法探测用户是否用共享方式上网，从而进行限制，下面我分别进行破解：

小迷糊 发表于 2008-6-29 09:17

一、NAT工作原理 -QiLL:X
^*Ko
.z.?5T{M
分析原因
-B.L7eB^0ot
$L,[X
T z8G ISP如何检测控制多机共享ADSL连接
q*~[$c(y Rs 7f ~8{4tK+u
　　猜测：可能是用类似于superscan之类的软件对ADSL猫进行扫描，发现开着161端口，161是SNMP（简单网络管理协议）的服务端口，然后通过SNMP协议发现的主机数量。
%PCLZ!a/r       为了证实，俺在这里用xscan对猫进行了漏洞扫描，果然有默认密码，登陆到猫的管理界面但是找不到关闭SNMP服务的地方，看来是留的后门，由此基本可断定是通过SNMP协议发现的主机数。为了进一步证实，用SNMP的一个管理软件ActiveSNMP查看ADSL猫的连接情况，如图二所示，可以清楚地看出通过SNMP协议可以发现同时上网的主机数量。
0ZS2~.|q f'Z_@K9Y:`^1W
'jPj._*o
h!khHoy]+i)P

9mUU[jJD 二、ActiveSNMP显示的ADSL中的连接情况

V OZ I+h"z l!Y"a'MzOj r
此外，俺还检测到中国电信还监测用户机的并发端口数，当并发端口多于其设定数判定为共享。这是一个令人哭笑不得的设定，“网络尖兵”不停扫描用户打开的端口数，多于设定值的就判断是共享，有时连按几次F5键它是认为是共享，连单用户上网也受到了影响，这个就没法破解了(除非你把网络尖兵黑了)，俺这里的解决办法是装成无辜的用户到ISP的客服电话大骂，并声明搞不好就换ISP，一会儿网络就正常了；  
o0B#|Q:q
8GGJc;b5x!y
$tyw-l6T0l|WmG 2 反网络尖兵  
:P(L?/?;qs WK;Av|%\
“网络尖兵”还使用了未知的方法从共享的计算机中探测到共享的信息，目前解决的办法是所有共享的客户机均要安装防火墙，把安全的级别设为最高，因条件有限，只试用了几种防火墙，发觉金山网镖V有用,把IP配置规则里面所有的允许别人访问本机规则统统不要，允许PING本机不要，防止ICMP,IGMP攻击也要勾选。如果是WINXP,要打开网卡的网络防火墙。  
.^7~`5vr8A iZ&m7j 采取以上破解的办法后，在自己的局域网不能看到本机，而且WINXP打开网卡的网络防火墙后，在QQ不能传送文件，网速有所减慢，但总算又可以共享了，如果有好的办法，也请大家告知。  -fGLPBf
总的来说，“网络尖兵”还是一个不成熟的产品，主要是他对单用户上网也产生影响，浏览网页经常要刷新几次，有的网页比较复杂，要调用几个服务器文件时它也当你是共享，造成网页部分不能显示。并且由于“网络尖兵”不停扫描用户端口占用带宽，导致网速变慢，我这儿ISP用了之后用户意见很大，客服电话几乎给打爆，现在ISP只敢在晚上偷偷开一两小时：-p  
[9q}L X8L ,Ds;KV:xS

4WL%`0H)]
k(W8S D 对应的解决办法 t _;Lsob2Ph

'd9ZRDoWsQ}Z.u 　　解决的方法就是屏蔽SNMP协议。有以下几个思路。
{AgiR%@;ni
1J\ EWJ7` 　　1、  禁用SNMP协议的161端口，要想知道自己的路由器或大猫是否开放了SNMP服务，随意找一个扫描软件(ipscan、superscan......)扫描一下，如果开放了161端口的就是内置有SNMP服务，解决的办法是把SNMP用的161端口禁止就行了。 猫中没有任何设置SNMP协议的地方，只好换一个能设置该协议的猫。 8C d1U'P*@$N-iX"kv
1~_{d1mORY
　　2、  修改配置文件，可以将配置转换成一个文件，用二进制编辑工具修改默认密码，然后再加载到猫中，这只是一种思路，没有试过。
`*^7I)Yt b4\,Xnw
　　3、  买一个ADSL路由器，例如TP-LINK TL-R400，放到如图二所示的地方，在该路由器中再做一个NAT服务，这样进到ADSL猫中的就是一个地址，这样就解决了共享上网。注意在路由器中要关闭SNMP协议。 "T"@&_Od#wHH
-zk;^QPK
      4、  检查同一IP地址的数据包中是否有不同的MAC地址，如果是则判定用户共享上网。破解的办法是把每台机的MAC地址改为一样；修改的方法很多，这里就不再详述了，自己用GOOGLE搜索关键字“修改MAC地址”吧。

小迷糊 发表于 2008-6-29 09:18

　　破解一：  
.gX;PGkIODH;i .tx'j8T
E
　　将所有共享的客户机均要安装防火墙，把安全的级别设为最高。把IP配置规则里面所有的允许别人访问本机规则统统取消。如果使用WinXP，也可以直接打开网卡设置中的防火墙。  
$nT.L6Sw[0H&_?
7M$Xw,W(n7Z4?QT
Z-V 　　破解二：  
itx~V*\a "W"Q0`c DF)s{b]
　　在ADSL Moden中关闭SNMP协议；如果无法修改这种协议，只好换一个能更改设置的猫。  
:q{(f9E a3We
8JV_,Z a q];H 　　破解三：  b+]i"n elxFU|
EJ%A$ek+V!e]
　　共享上网中的主机安装WIN2000服务器版，然后禁掉161端口或在防火墙上禁掉161的端口。  H"w v-@/U'sp,m,M
}(A~ AT5\2Z G
　　方法还有很多，在网上还有不少的网友在继续热烈讨论这个问题。道高一尺，魔高一丈，可以说一场针对网络尖兵的网上攻防战已经悄然展开。  
H-@A3~Ac&_ 3.NetSniper网络尖兵：宽带网络运营维护管理器
JS'}Fi,]X
nA|W9U NetSniper网络尖兵是上海上大雷克网络系统有限公司开发的网络接入检测及控制器。它可以自动检测出网络中私自架设的代理服务器系统或非法路由器，并对通过非法代理服务器的IP包以及流向非法路由器的IP包进行控制。通过这种控制，有效的避免了用户恶意偷逃上网费用的情况发生。同时NetSniper可以精确控制一个网络接口连接的用户计算机数量。NetSniper的出现，成功的解决了宽带社区、校园网中出现的费用流失问题。NetSniper也可应用于局端，解决各ISP拨号上网中产生的费用流失问题。
e['G5H1ylg#`$v 　　一、为什么要使用NetSniper
?4rs1A OG 　　目前网络已经是我们学习办公不可缺少的工具，特别是宽带网络的使用日渐普及。然而，在运营商实际经营过程中，出现了这样一个问题：就是某些“技术高手”利用TCP/IP的一些特性，在自己的电脑上安装代理服务器或网络地址转换软件，使得多个住户可以利用同一包月帐号上网、企业办公，甚至私自架设网吧。在校园网中，上述情况已经非常普遍。在小区中，也开始出现并在迅速蔓延。最终将导致接入商投入的巨额基础建设费用难以正常回收。NetSniper的设计目的，就是要简单解决这一问题。

查看完整版本: 反网络尖兵