V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaozhizhu1997
V2EX  ›  路由器

设计一种方案,让连接者不认证即无法上网?

  •  
  •   xiaozhizhu1997 · 2015-03-13 10:09:49 +08:00 via Android · 3857 次点击
    这是一个创建于 3547 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:常去某处,此地布有公共WLAN,但有认证页面,需要关注他们的微信公众号来通过认证。本人厌恶微信,不想安装。
    直到有一天偶然发现跳到认证页面似乎是个HTTP劫持的原理,尝试HTTPS,能直接上。
    从此,连上后开全局SS,跳过认证。
    如果我是此WLAN的运营者,如何阻止用户以诸如此类的手段跳过认证?
    12 条回复    2015-03-14 00:45:44 +08:00
    learnshare
        1
    learnshare  
       2015-03-13 10:23:23 +08:00
    HTTP 可以劫持,HTTPS 暂时劫持不了。

    认证页面能看到,其实已经可以联网了,只是把未认证的设备重定向到认证页面上。可以在此基础上考虑劫持 HTTPS(几乎为不可能?),或者从更底层上完成认证动作。
    azuis
        2
    azuis  
       2015-03-13 10:32:06 +08:00
    可以考虑通过防火墙策略来控制,默认仅能连接微信服务器IP。 认证成功后开放其他IP连接。
    winterx
        3
    winterx  
       2015-03-13 10:32:21 +08:00
    这种完全是最基本的WLAN认证

    市场上有更深入的认证,是基于协议控制+端口控制
    我见过的一款,就是在端口跟协议做手脚,连上去禁止部份协议,只开放认证域名与80端口,并且把所有域名重定向+白名单

    楼主可以看一下wifidog,还有CMCC
    honeycomb
        4
    honeycomb  
       2015-03-13 10:50:04 +08:00
    如果压根就不用WiFi呢?
    111111111111
        5
    111111111111  
       2015-03-13 11:49:46 +08:00
    用过机场的公共wifi,验证的时候系统记录了MAC
    111111111111
        6
    111111111111  
       2015-03-13 11:53:09 +08:00
    顺便吐个槽,现在很多企业路由器都有这个功能啊
    gamexg
        7
    gamexg  
       2015-03-13 12:10:49 +08:00 via Android   ❤️ 1
    Cmcc

    实际上Cmcc也可以走 DNS VPN 来免费上网,就是速度太慢。
    lshero
        8
    lshero  
       2015-03-13 13:07:50 +08:00
    不重定向HTTPS主要是懒得区分微信的服务器地址
    真想弄严格点微信的服务器的IP加个白名单行了
    另外做公共WIFI 没认证之前 DNS的53端口也一定要重定向可信的DNS上
    frankzeng
        9
    frankzeng  
       2015-03-13 13:41:28 +08:00
    cmcc难道可以吗,它应该堵上了吧
    gamexg
        10
    gamexg  
       2015-03-13 19:55:03 +08:00
    @lshero 有正规的域名+自己的dns服务器即使是将53端口流量定向到可信dns上面也可以用 dns vpn 的。

    为了防止客户端缓存错误的dns记录,cmcc 不会对dns响应进行劫持,只对http之类的流量劫持到登陆界面。网上就出现了利用dns解析来上网的vpn方法... 听说速度只有几k ...
    lshero
        12
    lshero  
       2015-03-14 00:45:44 +08:00
    @gamexg
    DNS VPN是因为为了保证获取解析正确,计费认证之前没有把UDP 53端口的请求过滤,所以可以用OPENVPN 的53端口建立VPN

    但是如果认证之前把端口重定向到指定可信的DNS的话,所有DNS请求都被劫持到了DNS服务器,连VPN服务器都没法到达自然没法建立隧道

    至少重庆移动12年前就把我们学校的这个漏洞封堵住了,以前确实可用一段时间而且速度没有特意限制速度

    看一下移动研究院13年的文章 中早就提及了这种方法所以运营商该做防范措施的早就做过防范措施,还没做防范措施的是压根就不重视这块的业务
    http://labs.chinamobile.com/news/99098_p1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1105 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:52 · PVG 06:52 · LAX 14:52 · JFK 17:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.