拒绝忽悠，关于限制二级路由的深入探讨

twinsandme3

做二级ISP的用户，一直被二级路由器的问题严重影响，原本能出租50个用户，结果一个二级路由器接下来共享，很多用户都不租你的网络的，严重影响盈利。。。
看到这个帖子很多人在讨论二级路由器，http://forum.anywlan.com/thread-94851-1-1.html
下面针对几个网上已有的方法进行探讨，802.1X认证不在此讨论之列（主要是成本高）
1.传说中的绑定IP、MAC地址（无效）
2.传说中的修改链接数与限速（不推荐）
3.传说中的修改TTL（部分路由器有效）
4.传说中的网页认证（{:2_37:}最搞笑可谓这个，简直是不知所谓，完全无效）
5.修改PPPOE认证方式（部分路由器有效）
6.配合PA做二级路由器检测（有效）
7.客户端修改密码（有效）
8.另类方法（有效）

1.传说中的绑定IP、MAC地址
通过计费系统绑定MAC地址，首次拨号的时候绑定设备的MAC地址，很久以前的电信都有使用这个方法，但是现在很多路由器都支持MAC克隆，这个方法基本上已经失效






大哥啊，做广告也要有忽悠人家的能力啊，软路由不是万能的。。。

2.传说中的修改链接数与限速
这个方法主要是通过限制链接数和速度，完全不能限制二级路由器，只是限制速度和链接数，如果单个用户在下载，你限制链接数很容易造成下载速度上不起，有时候连网页也不能正常打开
更搞笑的是，如果某些用户在看网页，某在玩游戏，那么链接数、流量根本占用不大
这个方法根本就是治标不治本

3.传说中的修改TTL
TTL 是数据包为了防止数据包在网络中无限制的循环，而设定的网络数据包在网络传输中最大的转发次数。因为每转发一次在路由器，就会转向下一跳，所以，又通常称为最大跳数。具体的含义是这样的。我们本地机器会发出一个数据包，数据包经过一定数量的路由器传送到目的主机，但是由于很多的原因，一些数据包不能正常传送到目的主机，那如果不给这些数据包一个生存时间的话，这些数据包会一直在网络上传送，导致网络开销的增大。当数据包传送到一个路由器之后，TTL就自动减1，如果减到0了还是没有传送到目的主机，那么就自动丢失。例如:你定义了数据包的TTL为64.那么在你的数据包被转发了64次，也就是经过了63个中间路由器后，还没有到达目的网络，那么，你的电脑就会显示Requet time out （请求超时）了。例如:你定义了数据包的TTL为64.那么在你的数据包被转发了64次，也就是经过了63个中间路由器后，还没有到达目的网络，那么，你的电脑就会显示Requet time out （请求超时）了。这就是TTL的意思了

至于TTL有没有效果呢？答案是有的，但是并不是适用于所有路由器




上面的2张图片是TTL修改前后的效果，修改前接了一个TP R402作为二级路由器，ping ROS网关的TTL值为64
如果按照上面的理论，在ROS里面修改TTL为0的时候，理论上应该ping不通ROS的，但是实际上还是可以ping通




上面的3个图是tomato的，第一个是在ROS里面修改TTL为1，这时可以看到效果了，ping ROS已经ping不通了
下面在tomato里面把TTL +1看看有什么效果
可以看到已经能正常ping通ROS了
在ROS的控制台里面可以看到修改TTL的规则是有流量，但是实际上被二级路由器重新修改了一次TTL，所以换句话说，这个方法是无效了

这个方法只适用于某部分的路由器，对于TP这类，连最低端的R402都可以自动把TTL值+1，其它的openwrt、tomato、ROS更加不用说了。所以打算通过TTL封二级路由器的朋友请无视吧，成功率实在是杯具

4.传说中的网页认证（{:2_37:}最搞笑可谓这个，简直是不知所谓）


看到这些回复，还真是觉得很好笑，不知道对网络协议不熟悉，还是怎么样，这个完全是最搞笑的，如果网页认证能封到二级路由器，那么还中继CMCC、Chinanet个P啊？麻烦回去看一下NAT的原理（维基百科）
本身二级路由器就是一个NAT功能，把内网的一堆IP映射到外网的一个IP，在一级路由器上面看到二级路由器，会把它当做为一个合法用户
用户只需要把路由器的WAN口设置为自动获取IP地址，自己电脑访问任何IP均会转跳到认证页面，不信的话自己试试


5.修改PPPOE认证方式

这个方法比较靠谱，一般作为PPPOE服务器，都会使用PAP、CHAP、MSCHAP V1，MSCHAP V2这4种认证方法，先来科普一下

密码身份验证协议 (PAP)密码身份验证协议 (PAP) 是一种简单的身份验证协议，在该协议中，用户名和密码以明文（不加密的）形式发送到远程访问服务器。强烈建议您不要使用 PAP，因为在身份验证过程中，您的密码可以被很容易地从点对点协议 (PPP) 数据包中读取。PAP 一般只用于连接到较旧的基于 UNIX 的远程访问服务器（不支持更安全的身份验证协议）。


质询握手身份验证协议 (CHAP)“质询握手身份验证协议”(CHAP) 是一种被广泛支持的身份验证方法，在该方法的验证过程中，将发送用户密码的表示而非密码本身。通过 CHAP，远程访问服务器将质询发送给远程访问客户端。远程访问客户端使用哈希算法（也称为哈希函数）根据质询和从用户密码计算的哈希结果，计算消息摘要 5 (MD5) 的哈希结果。远程访问客户端将 MD5 哈希结果发送给远程访问服务器。远程访问服务器也可以访问用户密码的哈希结果，使用哈希算法执行相同的计算，并将结果与客户端发送的结果相比较。如果结果匹配，则认为远程访问客户端的身份凭据可信。哈希算法提供了单向加密，意味着容易计算数据块的哈希结果，但是要从哈希结果中确定原始数据块在数学上却不可行。


Microsoft 质询握手身份验证协议 (MS-CHAP)Microsoft 创建 MS-CHAP 是为了对远程 Windows 工作站进行身份验证，同时集成LAN 用户所熟悉的功能，以及用于 Windows 网络的散列算法。与 CHAP 相似，MS-CHAP 使用质询响应机制来对不发送任何密码的连接进行身份验证。
MS-CHAP 使用消息摘要 4 (MD4) 哈希算法和数据加密标准 (DES) 加密算法来生成质询和响应。MS-CHAP 还提供了用于报告连接错误和更改用户密码的机制。响应数据包的格式被设计为了可与 Windows 95、Windows 98、Windows Millennium Edition、Windows NT、Windows 2000、Windows XP 以及 Windows Server 2003 家族中的网络连接产品一起使用。

Microsoft 质询握手身份验证协议第二版 (MS-CHAP v2)Windows Server 2003 家族支持 MS-CHAP v2，它可以提供交互身份验证、生成“Microsoft 点对点加密 (MPPE)”的更强初始数据加密密钥，以及在发送和接收数据时使用不同的加密密钥。为降低更改密码时密码泄漏的风险，较旧的 MS-CHAP 密码更改方法不再受支持。
因为 MS-CHAP v2 比 MS-CHAP 更加安全，所以对于所有连接，它将优先 MS-CHAP (如果已启用) 使用。
运行 Windows XP、Windows 2000、Windows 98、Windows Millennium Edition 和 Windows NT 4.0 的计算机支持 MS-CHAP v2。对于运行 Windows 95 的计算机，MS-CHAP v2 仅支持 VPN 连接，不支持拨号连接。





好了，理论上的课程就说完了，下面来到测试一下实际效果，手头上有2个最老款的路由器，一个是NR2805，一个是R402
先在ROS的PPPOE服务器里面取消PAP与CHAP的验证方式，看看拨号有什么反应

第一个图从日志中可以看到，peer refused to authenticate，意思是客户端拒绝身份认证，也就是说拨号识别

第二个图把CHAP验证方式启用，又看看能不能拨号，从日志上面可以看到已经连上了，路由器的WAN口也可以通过拨号获得IP地址

第三个图测试一下R402，很可惜的是，R402能支持MSCHAP V1、MSCHAP V2

一般路由器由于受迫于MS的淫威下，只支持PAP、CHAP验证方式，可以看到只使用MSCHAP V1/V2的验证方式，NR2805拨号失败，有些稍微变态的路由器则没问题，所以这个方法成功率还是不高，跟TTL不相上下

6.配合PA做二级路由器检测

这个就不说了，也就是点点鼠标就能完成，成功率还是相当高的

7.客户端修改密码
顾名思义，就是通过专用的客户端，在系统中设置用户的账号是123，密码就是！@123，而实际告诉用户的密码则是123，只能通过客户端才能补全密码，用操作系统、路由器拨号均会显示密码错误
电信的星空极速客户端也是这样的原理



第一个图，我创建一个test的用户名，密码为！test，而正常告诉用户的密码是test，通过客户端拨号，会自动补全所需的密码，密码认证通过就能成功上网
而使用系统自动的客户端呢？由于告诉用户密码是test，所以拨号均会显示失败
如果某个用户需要用到无线路由器无线上网，要怎么样做呢？很简单，自己手动帮用户补全所需的密码
不过缺点是，如果用户配合计费系统，自助修改密码的时候，就会出现问题，需要修改一下计费系统才行
成功率还是相当的高

8.另类方法


另类的方法，不需要修改密码，不影响计费系统原有的设置，而且可以做到提示，用户通过路由器、操作系统自带拨号软件拨号成功后，不能访问外网，而且访问任何的网页均会显示提示页面，提醒用户下载客户端进行拨号
而用户通过使用客户端进行拨号后，就能正常上网
成功率也是相当的高



配合客户端，还可以做一个其它的应用，比如说首次上网提示（可以是广告或者通知）
还有就是显示管理员下发的最新消息，不用逐个用户通知
还有一个就是定时弹出广告，增加管理员的收入

twinsandme3

:lol

twinsandme3

:lol

LY678

     拒绝忽悠         

adsl4321

拒绝忽悠

liangli

wzhcnpc

是不是有货？

天地一沙鸥

不许忽悠……

04687166

忽悠

whm505031939

     拒绝忽悠         

yjqsvip

探讨，你还呀钱，明显坑人！！！！

风一样的男子ANG

拒绝忽悠