大家都来看看，最近山东的情况

robur · 发表于 2007-10-22 19:20:07

最近山东网通开始封路由，大家都知道。
封路由的手段，我们看看，还是针对客户端发送的HTTP GET数据包，给出一个伪造的回应，让客户端转向到那个提示页面。

###最关键的问题就是，网通似乎根本就没有转发你这个HTTP GET的数据包，或者把服务器的回应给丢弃了，或者在给服务器发送了RST数据包，总之，就是，客户端收不到来自任何服务器的回应。（当然，第二次握手是可以回来的，能建立tcp，但是一GET就完蛋。）

因为现在有几个朋友都是在内网抓的包，这样并不能从网通的角度看用户的数据包。
我的意见是，最好能在接入设备外围建立一个监控主机，捕获所有从接入设备收发的数据包。
比如你用路由拨号，就在路由器和ADSL之间，接入一台主机开Sniffer，反正都是RJ45的以太口，没有问题的。
这样捕获的，除了MAC不同，剩下的都与在公网上传输的数据无异。

我的一个猜想是，网通是否是通过判断客户连续发送的IP包的IP IDF（标识）的巨大差异来判断用户是否使用路由的。
目前，一个简单的路由的基本观点是，只改写IP，不改写IP层及以上层的其他内容。

为什么我这么猜想？因为有一个理由。我分析过一些山东朋友的数据包样本，发现那个伪造的HTTP响应数据包的IP IDF是与客户的HTTP GET数据包的IP IDF一致的，网通的劫持设备如果不考虑IP IDF，那么它没有理由去刻意返回一个变量IP IDF。比如GFW发送的RST包，里面的IP IDF在很多出口就是一个定量，个别的出口是随机的但是与上一个数据包的IP IDF没有直接或显而易见的关系。

各位都来分析，墙倒众人推啊！！！！

qzyuanmu · 发表于 2007-10-22 20:44:09

原帖由 robur 于 2007-10-22 19:20 发表
最近山东网通开始封路由，大家都知道。
封路由的手段，我们看看，还是针对客户端发送的HTTP GET数据包，给出一个伪造的回应，让客户端转向到那个提示页面。

###最关键的问题就是，网通似乎根本就没有转发你这个H ...

如果只针对HTTP的话，用HTTP代理的话，不知道能解决么？

robur · 发表于 2007-10-23 08:21:13

确实是只针对HTTP，貌似还是80端口的标准HTTP，请求的方式为GET，请求的文件后缀为htm、asp、php之类的一些text/html类型的文件
因为据说http下载、QQ、网游等均没有受到影响。

qzyuanmu · 发表于 2007-10-23 09:50:41

如果可以把一层到七层的数据都给替换掉，那肯定就没问题了
此类设备应该有应用层网关的硬件或软件。

robur · 发表于 2007-10-23 20:13:11

如果网通要用高端口、并发连接数、甚至应用层数据的内容（比如UserAgent）等判断客户是否路由，那可就太tm操蛋了

comgw · 发表于 2007-10-26 10:21:18

我是山东泰安的，这边科技市场里已经出现了破解版的宽带路由器，有腾达和Netcore的，在原来的基础上升级一下就可以了，是针对网络尖兵的

robur · 发表于 2007-10-26 13:44:53

原帖由 comgw 于 2007-10-26 10:21 发表
我是山东泰安的，这边科技市场里已经出现了破解版的宽带路由器，有腾达和Netcore的，在原来的基础上升级一下就可以了，是针对网络尖兵的

看来还是改进了NAT的某些技术
行之有效行之有效啊

ie0546 · 发表于 2007-11-7 10:39:22

我也是山东的，网上流传的各种破解办法（软、硬都有）均试过了，无效！！！据称OpenDNS可以解决，可我试用过了，还是经常被阻断，仅部分站点可以访问，无奈啊

jocabin · 发表于 2007-12-17 22:01:54

用代理开网页时没问题的，这个我测试过，但是现在代理太难找，而且速度慢，能否把IE浏览改成非80等主流端口？