V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Zachery
V2EX  ›  问与答

为何电信能侦测到"多设备正在共享网络"

  •  
  •   Zachery · 2016-01-22 21:17:49 +08:00 · 9361 次点击
    这是一个创建于 3212 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近换了宽带套餐,无意中测试网速时发现,电信的测速页面能侦测到有多少台设备共享网络(测试地址: http://speedtest.jsinfo.net/#)

    之前用的是光猫---路由器---电脑 /iPhone/iPad 等的连接方式,能被测试出正在使用网络的设备数目;

    我又加了一个路由器,变成光猫---路由器 1---路由器 2---电脑 /iPhone/iPad 等,还是能测出共享设备数。

    请问各位,这个是如何实现的?怎么样处理才能不被发现多台设备呢?

    多谢!

    51 条回复    2016-01-31 00:43:42 +08:00
    v1024
        1
    v1024  
       2016-01-22 21:23:05 +08:00 via iPhone   ❤️ 1
    方法很多,比如 ip 头(透过 NAT 会有标记什么的我也不太懂楼下指正)、 ttl 、 user agent ,甚至行为侦测,比如你一般不会同时听着音乐又看着视频。
    gamexg
        2
    gamexg  
       2016-01-22 21:57:05 +08:00   ❤️ 2
    这两天正在研究 IP 报文结构。
    IP 报文里面有个 16 位标识,正常系统是全系统每发一个包+1 ,初始值是根据系统引导时间设置的。
    单电脑的 16 位标识是连续的,只要发现不连续的标识就可以认为有多台设备。
    Zachery
        3
    Zachery  
    OP
       2016-01-22 22:14:32 +08:00
    @gamexg 是不是就算通过路由器的中转,也能侦测出你说的不连续的标识呢?我对这些原理完全不懂。请教。
    KenGe
        4
    KenGe  
       2016-01-22 22:20:14 +08:00   ❤️ 1
    测速环境检测完成,建议处理以下问题多设备正在共享网络: 10 台电脑
    带宽被其它程序占用: 2 KB/秒 22 KB/秒
    建议关闭部分程序:共 11 个
    湖北联通也可以被发现
    不过加上我的交换机和 2 级路由器和用户确实是 11 个
    Zachery
        5
    Zachery  
    OP
       2016-01-22 23:30:20 +08:00
    @KenGe 我测试过,在不同的省,用电信的宽带,也都能检测出共享的用户数。
    之前有一次突然打不开网页,电信的外包维修说,是用了路由被侦测到了,猫的 mac 被封。给换了一个猫立即就好了。这次偶尔发现,电信还真是有这个能力。要是以后限制宽带的终端用户数,就有点麻烦了。
    xuhaoyangx
        6
    xuhaoyangx  
       2016-01-22 23:35:19 +08:00   ❤️ 1
    @Zachery 深圳电信已经这么做,限速 1/3
    Zachery
        7
    Zachery  
    OP
       2016-01-22 23:43:13 +08:00
    @xuhaoyangx 是不是说超过一定数量的终端,就将总带宽变成 1/3 ?电信真狠啊!你管我接几个灯泡啊。
    但是就没有办法可以隐藏起来不被发现吗?
    kmahyyg
        8
    kmahyyg  
       2016-01-22 23:57:32 +08:00   ❤️ 1
    组个 vlan 隔离开行不?

    意思是从路由端设置 vlan ,只有当前 pc 连入测速页面且可以被检测,剩下的所有机器接入 vlan 被检测为只有一台机器,行不?
    Zachery
        9
    Zachery  
    OP
       2016-01-23 01:03:13 +08:00
    @kmahyyg vlan 我完全不懂,不知道怎么设置。不知你有没有空帮忙测试研究一下。
    xuhaoyangx
        10
    xuhaoyangx  
       2016-01-23 01:04:56 +08:00   ❤️ 1
    @Zachery 可以通过 linux 的上的 ip 伪装骗过去,理论上。
    现在就是走流程,今天刚去工信部投诉,反正我家是经常和电信撕逼, 100M 我都用了三年, 2 年来家里网络架构硬件都没变过,突然限速 1/3 简直不可忍。

    最搞笑的,派上来的师傅说,电信没有做限制,他只管电脑接光猫拨号速度正常,结果我用 linux 拨号上网也被限速 2333 。然后继续 10000 号投诉,说接路由器设备就会被分流速度,两者互相冲突,做好撕到套餐结束的时候
    wy315700
        11
    wy315700  
       2016-01-23 01:07:00 +08:00
    最简单 IPID
    xsn
        12
    xsn  
       2016-01-23 04:11:21 +08:00
    安装电信的插件了?
    会扫描当前主机的内网信息吧.
    xsn
        13
    xsn  
       2016-01-23 04:16:26 +08:00
    虚拟机内开启, 桥接模式 会发现手机和其他电脑, NAT 模式 只能找到宿主机和自身.
    loading
        14
    loading  
       2016-01-23 07:16:11 +08:00 via Android
    keyword:网络尖兵
    tanyuxiang
        15
    tanyuxiang  
       2016-01-23 09:01:32 +08:00 via Android
    大体上是端口检测配合一大堆技术。坑爹。
    sutking
        16
    sutking  
       2016-01-23 09:06:06 +08:00 via iPhone
    @Zachery
    @xuhaoyangx
    (。☉౪ ⊙。)卧槽,电信好贱啊!不知道联通有没有这样做?
    Zachery
        17
    Zachery  
    OP
       2016-01-23 09:21:26 +08:00 via iPhone
    @sutking 看四楼的回复 联通也可以被发现 说明几家侦测技术上应该都没有难度了 下面就是何时找我们开刀这个时间问题了
    Zachery
        18
    Zachery  
    OP
       2016-01-23 09:23:26 +08:00 via iPhone
    @tanyuxiang 那有没有办法隐藏起来呢 用什么设备 如何设置一下
    loading
        19
    loading  
       2016-01-23 09:28:54 +08:00 via Android   ❤️ 1
    楼主,你没看到我的回复吗?
    你不搜索一下?有路由带防尖兵的功能。
    Zachery
        20
    Zachery  
    OP
       2016-01-23 09:52:04 +08:00 via iPhone
    @loading 多谢 正在看相关的帖子 似乎磊科的路由器可破 也有帖子说磊科现在也没有用了
    ThreeBody
        21
    ThreeBody  
       2016-01-23 09:55:31 +08:00 via Android   ❤️ 1
    @Zachery 我有磊科的路由 NI360 刷成 NR236 ,今晚回家记得的话我去试试
    Zachery
        22
    Zachery  
    OP
       2016-01-23 10:05:45 +08:00 via iPhone
    @ThreeBody 多谢多谢 有了结果再发上来讨论哈
    tanyuxiang
        23
    tanyuxiang  
       2016-01-23 10:28:18 +08:00 via Android   ❤️ 1
    @Zachery 你已经用两个路由器了,简单的端口检测是检测不出的。不知道到底是啥新手段。随便借个带破网络尖兵的路由试试吧。
    kn007
        24
    kn007  
       2016-01-23 10:32:42 +08:00
    关注,东莞电信不限设备
    gamexg
        25
    gamexg  
       2016-01-23 11:42:20 +08:00   ❤️ 1
    好吧,今天实测了一下,发现 Windows10 IPID 不是全系统连续递增的了,看样像针对目标 ip 递增。
    这样比较麻烦些了,需要测试同一目标 ip 的 ipid 是否顺序递增才能知道是否有多台设备。

    除了这种办法还有很多办法可以发现多台设备,例如 cookie 、 ttl 、 User-Agent 等方式都可以识别到多用户。而且 cookie 探测很难做防探测,类似于反入侵检测系统了。
    a342191555
        26
    a342191555  
       2016-01-23 11:45:24 +08:00 via iPhone
    全局 vpn ?
    est
        27
    est  
       2016-01-23 12:21:09 +08:00   ❤️ 1
    @v1024
    @gamexg
    @KenGe
    @xuhaoyangx
    @loading
    @gamexg

    你们都 too simple 了。真正的原理是这个:

    KenGe
        28
    KenGe  
       2016-01-23 12:21:39 +08:00
    @est 图裂了?
    qq651438555
        29
    qq651438555  
       2016-01-23 12:26:58 +08:00
    假的,不准的。江苏电信早就搞这个了。
    h1029306
        30
    h1029306  
       2016-01-23 13:18:59 +08:00
    MAC 地址?
    kmahyyg
        31
    kmahyyg  
       2016-01-23 13:25:38 +08:00
    @xuhaoyangx 换个 modem 就行, modem mac banned
    Halry
        32
    Halry  
       2016-01-23 13:53:48 +08:00 via Android
    @est 我也觉得,昨天上厕所我就想说了,然后就拉完了,就没说。。。
    hinate
        33
    hinate  
       2016-01-23 14:04:58 +08:00
    北京联通也能探测到,直接让多交钱
    Zachery
        34
    Zachery  
    OP
       2016-01-23 14:15:06 +08:00 via iPhone
    @est 这么说,主要是这个 ie 插件的发挥了测速时侦测共享主机的作用?如果这样的话,是不是我们也不用担心什么了?
    BOYPT
        35
    BOYPT  
       2016-01-23 14:22:46 +08:00
    居然这个年代还有不许多终端的宽带?谁家没一堆手机 ipad 的
    smileawei
        36
    smileawei  
       2016-01-23 14:37:10 +08:00   ❤️ 1
    散了,散了。没什么黑科技,这货监测多少终端 就是通过狂发 arp 实现的。

    实验方法:

    先执行 arp -d 清除 arp 表缓存。

    然后执行 arp -a 看缓存表

    然后打开测速页面。安装插件。

    再执行 arp -a 查看缓存表

    你就明白了

    更直观的。可以抓包 抓广播包看下。
    ThreeBody
        37
    ThreeBody  
       2016-01-23 14:52:33 +08:00
    @Zachery 看了一下要装插件,然后再看看上面的回复,看来我不用测试了,我还以为只要 web 测试就能确定了
    wwek
        38
    wwek  
       2016-01-23 15:46:03 +08:00   ❤️ 1
    看 南京信风 的网络监兵设备的 介绍

    只有通过 vpn 来突破. 不然没办法的!

    能判断的特征实在是太多的
    wwek
        39
    wwek  
       2016-01-23 15:48:48 +08:00
    不管你怎么折腾为什么还是能检查.因为是基于 ip 包的检查.
    里面能提取的特征实在是太多了 很容易判断多设备
    为什么 vpn 确可以突破. 因为他们只能查到 vpn 的加密隧道,不能看到里面的内容
    Comdex
        40
    Comdex  
       2016-01-23 16:29:54 +08:00
    是查数据包中电脑网卡的物理地址吧?
    LEFT
        41
    LEFT  
       2016-01-23 16:42:29 +08:00 via iPhone
    研究下 IP 协议就知道这是多么简单的事情了
    DendimoN
        42
    DendimoN  
       2016-01-23 20:53:17 +08:00
    @smileawei 66666
    hAppyTreeFrienDs
        43
    hAppyTreeFrienDs  
       2016-01-23 21:25:21 +08:00
    @xuhaoyangx 成功找到你....
    xuhaoyangx
        44
    xuhaoyangx  
       2016-01-23 22:50:16 +08:00
    kiral
        45
    kiral  
       2016-01-23 23:04:43 +08:00
    都是插广告,顺便检查一下你是不是用了共享啦。插广告的时候浏览器的分辨率之类的信息,它就收集到了,然后分析一下,就知道你有几个机器共享上网。
    datocp
        46
    datocp  
       2016-01-23 23:14:11 +08:00 via Android   ❤️ 1
    这么高级啊,用的电信送的设备?把木马带进家里。

    电信的光纤设备直接 5 个终端限制,竟然要申请来才 8 个。不喜欢用电信的设备拔号各种限制各种坑,早些年送的 adsl 猫一迅雷速度就从 2m 变 1m ,刷了 tp 固件解决,电信客服当然说我们不会限制用户的,其实设备里各种坑。 20m 的光纤还不如 4m 的速度,还是得用自己的设备拔号。

    以前有些据说是用一些 snmp 协议侦测的,没道理可以越过 iptables 防火墙检测到内部数量,用电信设备就不说,现在的光纤猫电信都远程控制直接帮你更新固件,至于网页能马上侦测到,原因不明。
    m939594960
        47
    m939594960  
       2016-01-24 00:04:15 +08:00
    我觉得这东西他限制不了终端数量的


    这限制如果真的流行起来 估计淘宝上就会有卖过限制路由器了~
    Zachery
        48
    Zachery  
    OP
       2016-01-24 00:37:27 +08:00 via iPhone
    @datocp 是的 电信的光猫 华为的 我试过两个地区的不同型号的猫 都能发现
    可能正如是上面 v 友提出的 是 ie 测速插件的作用
    webjin
        49
    webjin  
       2016-01-24 03:43:57 +08:00 via Android
    @h1029306 三层隔离广播
    hAppyTreeFrienDs
        50
    hAppyTreeFrienDs  
       2016-01-24 10:06:36 +08:00 via iPhone
    @xuhaoyangx 旧关方团友
    acess
        51
    acess  
       2016-01-31 00:43:42 +08:00
    @Halry 南京电信校园宽带用户路过,电信在我们学校封路由那一阵子,天天被 RST 。
    我们几个都不记得自己装过什么测速控件。
    被 RST 的也不止我一个, V2EX 上就可以找到好多位吧,难道都中了这个 ActiveX “木马”不成……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1096 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:39 · PVG 06:39 · LAX 14:39 · JFK 17:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.