|
5.修改PPPOE认证方式 这个方法比较靠谱,一般作为PPPOE服务器,都会使用PAP、CHAP、MSCHAP V1,MSCHAP V2这4种认证方法,先来科普一下 密码身份验证协议 (PAP)密码身份验证协议 (PAP) 是一种简单的身份验证协议,在该协议中,用户名和密码以明文(不加密的)形式发送到远程访问服务器。强烈建议您不要使用 PAP,因为在身份验证过程中,您的密码可以被很容易地从点对点协议 (PPP) 数据包中读取。PAP 一般只用于连接到较旧的基于 UNIX 的远程访问服务器(不支持更安全的身份验证协议)。 质询握手身份验证协议 (CHAP)“质询握手身份验证协议”(CHAP) 是一种被广泛支持的身份验证方法,在该方法的验证过程中,将发送用户密码的表示而非密码本身。通过 CHAP,远程访问服务器将质询发送给远程访问客户端。远程访问客户端使用哈希算法(也称为哈希函数)根据质询和从用户密码计算的哈希结果,计算消息摘要 5 (MD5) 的哈希结果。远程访问客户端将 MD5 哈希结果发送给远程访问服务器。远程访问服务器也可以访问用户密码的哈希结果,使用哈希算法执行相同的计算,并将结果与客户端发送的结果相比较。如果结果匹配,则认为远程访问客户端的身份凭据可信。哈希算法提供了单向加密,意味着容易计算数据块的哈希结果,但是要从哈希结果中确定原始数据块在数学上却不可行。 Microsoft 质询握手身份验证协议 (MS-CHAP)Microsoft 创建 MS-CHAP 是为了对远程 Windows 工作站进行身份验证,同时集成LAN 用户所熟悉的功能,以及用于 Windows 网络的散列算法。与 CHAP 相似,MS-CHAP 使用质询响应机制来对不发送任何密码的连接进行身份验证。 MS-CHAP 使用消息摘要 4 (MD4) 哈希算法和数据加密标准 (DES) 加密算法来生成质询和响应。MS-CHAP 还提供了用于报告连接错误和更改用户密码的机制。响应数据包的格式被设计为了可与 Windows 95、Windows 98、Windows Millennium Edition、Windows NT、Windows 2000、Windows XP 以及 Windows Server 2003 家族中的网络连接产品一起使用。 Microsoft 质询握手身份验证协议第二版 (MS-CHAP v2)Windows Server 2003 家族支持 MS-CHAP v2,它可以提供交互身份验证、生成“Microsoft 点对点加密 (MPPE)”的更强初始数据加密密钥,以及在发送和接收数据时使用不同的加密密钥。为降低更改密码时密码泄漏的风险,较旧的 MS-CHAP 密码更改方法不再受支持。 因为 MS-CHAP v2 比 MS-CHAP 更加安全,所以对于所有连接,它将优先 MS-CHAP (如果已启用) 使用。 运行 Windows XP、Windows 2000、Windows 98、Windows Millennium Edition 和 Windows NT 4.0 的计算机支持 MS-CHAP v2。对于运行 Windows 95 的计算机,MS-CHAP v2 仅支持 VPN 连接,不支持拨号连接。 [attach]210182[/attach] [attach]210183[/attach] [attach]210184[/attach] 好了,理论上的课程就说完了,下面来到测试一下实际效果,手头上有2个最老款的路由器,一个是NR2805,一个是R402 先在ROS的PPPOE服务器里面取消PAP与CHAP的验证方式,看看拨号有什么反应 第一个图从日志中可以看到,peer refused to authenticate,意思是客户端拒绝身份认证,也就是说拨号识别 第二个图把CHAP验证方式启用,又看看能不能拨号,从日志上面可以看到已经连上了,路由器的WAN口也可以通过拨号获得IP地址 第三个图测试一下R402,很可惜的是,R402能支持MSCHAP V1、MSCHAP V2 一般路由器由于受迫于MS的淫威下,只支持PAP、CHAP验证方式,可以看到只使用MSCHAP V1/V2的验证方式,NR2805拨号失败,有些稍微变态的路由器则没问题,所以这个方法成功率还是不高,跟TTL不相上下 6.配合PA做二级路由器检测 [attach]210188[/attach] 这个就不说了,也就是点点鼠标就能完成,成功率还是相当高的 7.客户端修改密码 顾名思义,就是通过专用的客户端,在系统中设置用户的账号是123,密码就是!@123,而实际告诉用户的密码则是123,只能通过客户端才能补全密码,用操作系统、路由器拨号均会显示密码错误 电信的星空极速客户端也是这样的原理 [attach]210185[/attach] [attach]210186[/attach] [attach]210187[/attach] 第一个图,我创建一个test的用户名,密码为!test,而正常告诉用户的密码是test,通过客户端拨号,会自动补全所需的密码,密码认证通过就能成功上网 而使用系统自动的客户端呢?由于告诉用户密码是test,所以拨号均会显示失败 如果某个用户需要用到无线路由器无线上网,要怎么样做呢?很简单,自己手动帮用户补全所需的密码 不过缺点是,如果用户配合计费系统,自助修改密码的时候,就会出现问题,需要修改一下计费系统才行 成功率还是相当的高 8.另类方法 [attach]210189[/attach] [attach]210190[/attach] 另类的方法,不需要修改密码,不影响计费系统原有的设置,而且可以做到提示,用户通过路由器、操作系统自带拨号软件拨号成功后,不能访问外网,而且访问任何的网页均会显示提示页面,提醒用户下载客户端进行拨号 而用户通过使用客户端进行拨号后,就能正常上网 成功率也是相当的高 配合客户端,还可以做一个其它的应用,比如说首次上网提示(可以是广告或者通知) 还有就是显示管理员下发的最新消息,不用逐个用户通知 还有一个就是定时弹出广告,增加管理员的收入 [attach]210191[/attach] [attach]210192[/attach] |
Powered by Discuz!
© 2003-2024 广州威思信息科技有限公司
