论坛 › 无线路由器 › 路由器防网络尖兵技术初探

yyuunnnn 发表于 2009-5-5 20:59

路由器防网络尖兵技术初探

本帖最后由 yyuunnnn 于 2009-5-9 00:06 编辑

根据我目前知道的就是
网络尖兵采用的检测技术主要是：
一、扫描用户路由器SNMP161（SNMP－简单网络管理协议）端口，通过SNMP协议来发现多机共享上网
二、监测用户的数据包，通过分析IP数据包头及指纹信息来发现多机共享上网
内容大概有：
1、检查IP数量，
2、检查从下级IP出来的IP包的IP-ID是否是连续的，如果不是连续的，则判定下级使用了nat。
3、检查从下级IP出来的IP包的ttl值是否是32、64、128这几个值，如果不是，刚判定下级使用了nat。
4、检查从下级IP出来的http请求包中是否包含有proxy的字段，如果有，则下级用了http代理。
5、分析指纹信息
原理大概为：
假定有PC1和PC2通过NAT上网出去，它们的数据包在经过MODEM的时候，还是保留了一个指纹信息的。这个指纹信息使得外网的监测设备可以推断出内网有多少台电脑。
这个指纹信息其实就是一个等量增加的计数器。仅仅微软系统有，如果用户换成Linux，发出的数据包就没有这个计数器了。
比如PC1开机以后，上网，发出的数据包，在包头信息中，会包含一个计数器，数值从1000开始，每个数据包，该计数器记数增加10。
比如PC2开机以后，上网，发出的数据包，在包头信息中，会包含一个计数器，数值从5001开始，每个数据包，该计数器记数增加10。
这样，外网监测MODEM发出的数据包的计数器内容：
1000、5001、1010、5011、1020、5021、1030、5031、1040、5041……
这样就能马上判断出，内网有两台WINIDOWS的电脑。
6、数据包头中的其它信息。如数据报文中的HTTP报头中的User－agent字段因操作系统版本、IE版本和布丁的不同而不同，因此通过分析不同的HTTP报头数而确定主机数。

传说可防的方法有两种：
一种是使用可防检测的Roter。Roter要有重新封装功能，但能有重新封装功能的路由还真的不多。目前好像有TP LINK402, 410, wr340G+,wr541G+....                     
                                                                        磊科NR205、NR215nr235，nw605plus.....
一种是软路由了。它是一种非基于windows的路由，是目前最有效的方式，它是一台单独的主机做成一个路由器，它功能强大，有灵活性，尖兵升级它也升级，足可以对付两种类型,但它需要占用一台电脑并且要有较强能力的人才能管理。

其实也还有人用其它的方法如:关闭路由器161端口,   双(多)路由串连,    共享神盾这类的软件 , 但这些从尖兵原理可以看出不太行得通

这里是有最全最新的防尖兵方法：
http://www.chinadsl.net/bbs/?fromuid=63512

最后希望行内人士指正底到尖兵采用的技术是什么?

wlantemp 发表于 2009-5-5 22:01

认真学习中。

yyuunnnn 发表于 2009-5-10 16:24

顶一下，这么有用的东东让大家多看看

lily9719 发表于 2009-5-10 16:41

破尖兵还是TP的特殊拨号有效果

yyuunnnn 发表于 2009-5-10 22:34

tp那种叫补丁式，磊科那种叫原生式

LAG仔 发表于 2009-5-12 14:33

顶一下, 努力学习中^^

flyzlf 发表于 2009-5-13 11:55

学习中..........

丢三落四 发表于 2009-5-17 06:00

顶，偶们这还没有这东东限制。

zqbxfev 发表于 2009-5-20 09:39

认真学习中，谢谢分享！

81847331 发表于 2009-6-9 01:24

好学习一下啊！！！！！！！！！！

ybbujjaps 发表于 2009-6-13 11:29

这个比较高深哦

我爱徐工 发表于 2009-6-13 17:19

有没有机器可以 反啊

查看完整版本: 路由器防网络尖兵技术初探