网络尖兵_共享检测

网络尖兵_共享检测 网络尖兵共享检测 IP报头格式 TCP报头格式 UDP报头格式 网络尖兵可能使用的检测技术主要是: 1、检查从下级IP出来的IP包的IP-ID是否是连续的，如果不是连续的，则判定下级使用了nat。 2、检查从下级IP出来的IP包的ttl值是否是32、64、128这几个值，如果不是，刚判定下级使用了nat。 3、检查从下级IP出来的http请求包中是否包含有proxy的字段，如果有，则下级用了http代理。 4、检查下级 IP包中 TCP包的中Sequence Number、Acknowledgment Number、Slide Window、Time Stamp等参数。 5、检测同一时间范围内，同一个IP对同一个网址发送的http请求头中cookie字段是否相同，如果不同则判定下降使用了nat。 6、检测同一时间范围内，同一个IP对同一个网址发送的http请求头是否相同，如果不同，则判定下级使用了nat。 7、检测同一IP包中 TCP数据报文中的HTTP GET报文，报文中的User,agent字段因操作系统版本、浏览器、IE版本和布丁的不同而不同。因此通过分析不同的HTTP报头数而确定主机数，主机数超过一台则视为共享。 8、检测同一IP发出的 Windows update 报文里，Windows update包含一些操作系统版本信息，根据此信息判断主机数。 9、扫描snmp端口161，通过snmp代理软件查询adsl modem状态，判断是否存在共享ip上网。 由于检测和防检查技术的对抗升级，现在可能增加了检测的内容: 一、通过行为统计: 1. 在三秒内同一IP对两个以上的网站进行Request，将此IP视为通过NAT进行传输。 2. 在两秒內，,同一IP对同一个网站，进行两次以上的Request，将此IP视为通过NAT进行传输。 3. 在同一时间范围内，检测同一IP的SYN包，如果超过某个上限值，则视为使用NAT. 二、深度检测数据包内容: 1.检测并发连接数量 2.检测下级IP出来的QQ号码数量,如果同时有5个QQ号,则判定为共享. 3.更多的检测 三、 网络尖兵封路由方法 当检测设备检测出使用nat 路由上网后，通常会阻止TCP请求或者网址从定向跳出警告页面。 1. 阻止TCP协议通信的作法是在用户发起TCP连接请求的时，当目的服务器还未对用户的 请求进行应答的时，由监测设备模拟目的服务器给用户发送一个RST包，在目的服务器 的应答到达用户之前，中断用户发起的TCP请求，使得用户无法建立起TCP连接。 2. 对于某些地方的网络尖兵，当浏览器打开网页时，电信就会返回一个302错误，告诉浏览器该网页地址变了，浏览器自动会打开新的地址，这个新的地址就是电信的警告网页。 四、 早期NetSniper管理界面截图分析 五、防止网络尖兵，突破检测方法 针对上述情况，为了使路由器能突破网络尖兵，就必须对从路由器wan口发送出去的报文进行修改，主要有下面几个地方。 1.修改所有ip报文的ttl为128。 2.修改所有ip报文的IP-ID，第一个报文IP-ID为1，第二个报文IP-ID为2，…，IP-ID到达65535后又从1开始。 3.nat转换端口范围1030,5000，第一个连接用1030端口，下一个连接用1031端口，…，端口达到5000时又从1030开始。 4.对于tcp的syn报文，window size改为16426。如果tcp选项超过2个，则只保留mss选项，其余选项去掉，修改mss选项的值为1380。 5.对于tcp的rst报文，window size改为16426。 6.对于普通的tcp报文，window size改为原始的减去49109，如果该值小于等于0，则用16426。 7.对于HTTP GET报文，如果报文中有Cookie选项，则在报文中Cookie的前面插入16个字节数据 Cookie= \r\n。这样修改有可能导致部分网页打不开。 8.修改HTTP GET报文， 在HTTP GET报文 Accept字段后添加1380个随机数据，由于mss值为1380，添加1380个随机数据用一个数据包存储不下，故需要把HTTP GET报文分成两数据包发送，实现添加1380个随机数据的目的，并删除HTTP报文中标识的特殊主机或时间非必要字段，如If-Modified-Since字段和If-None-Match字段等。 9.从wan口收到的tcp报文中，如果带有rst标志就丢弃该报文。 10.对于某些地方的网络尖兵，检测设备检测出使用NAT上网时，当下面电脑使用浏览器打开网页时，电信就会返回一个302错误，告诉浏览器该网页地址变了，浏览器自动会打开新的地址，这个新的地址就是电信的警告网页。对于这种情况可以直接将这个报文丢弃即可，那样的浏览器上就不会再出现警告页面。