中尉
- 注册时间
- 2009-2-8
- 金币
- 547 个
- 威望
- 6 个
- 荣誉
- 6 个
尚未签到
|
本帖最后由 yyuunnnn 于 2009-5-9 00:06 编辑
根据我目前知道的就是
网络尖兵采用的检测技术主要是:
一、扫描用户路由器SNMP161(SNMP-简单网络管理协议)端口,通过SNMP协议来发现多机共享上网
二、监测用户的数据包,通过分析IP数据包头及指纹信息来发现多机共享上网
内容大概有:
1、检查IP数量,
2、检查从下级IP出来的IP包的IP-ID是否是连续的,如果不是连续的,则判定下级使用了nat。
3、检查从下级IP出来的IP包的ttl值是否是32、64、128这几个值,如果不是,刚判定下级使用了nat。
4、检查从下级IP出来的http请求包中是否包含有proxy的字段,如果有,则下级用了http代理。
5、分析指纹信息
原理大概为:
假定有PC1和PC2通过NAT上网出去,它们的数据包在经过MODEM的时候,还是保留了一个指纹信息的。这个指纹信息使得外网的监测设备可以推断出内网有多少台电脑。
这个指纹信息其实就是一个等量增加的计数器。仅仅微软系统有,如果用户换成Linux,发出的数据包就没有这个计数器了。
比如PC1开机以后,上网,发出的数据包,在包头信息中,会包含一个计数器,数值从1000开始,每个数据包,该计数器记数增加10。
比如PC2开机以后,上网,发出的数据包,在包头信息中,会包含一个计数器,数值从5001开始,每个数据包,该计数器记数增加10。
这样,外网监测MODEM发出的数据包的计数器内容:
1000、5001、1010、5011、1020、5021、1030、5031、1040、5041……
这样就能马上判断出,内网有两台WINIDOWS的电脑。
6、数据包头中的其它信息。如数据报文中的HTTP报头中的User-agent字段因操作系统版本、IE版本和布丁的不同而不同,因此通过分析不同的HTTP报头数而确定主机数。
传说可防的方法有两种:
一种是使用可防检测的Roter。 Roter要有重新封装功能,但能有重新封装功能的路由还真的不多。目前好像有TP LINK402, 410, wr340G+, wr541G+....
磊科NR205、NR215 nr235,nw605plus.....
一种是软路由了。它是一种非基于windows的路由,是目前最有效的方式,它是一台单独的主机做成一个路由器,它功能强大,有灵活性,尖兵升级它也升级,足可以对付两种类型,但它需要占用一台电脑并且要有较强能力的人才能管理。
其实也还有人用其它的方法如:关闭路由器161端口, 双(多)路由串连, 共享神盾这类的软件 , 但这些从尖兵原理可以看出不太行得通
这里是有最全最新的防尖兵方法:
http://www.chinadsl.net/bbs/?fromuid=63512
最后希望行内人士指正底到尖兵采用的技术是什么? |
评分
-
1
查看全部评分
-
|
IP卡
狗仔卡
发表于 2009-5-5 20:59
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
