针对电信、网通封杀路由的解决方法

qzyuanmu

   根据大家最近的反映，分析为电信只对DNS请求进行监控，只所以不对所有的流量进行分析，是因为技术上有难度（如使用加密和认证协议的连接请求，）、并会引起有关法律问题（侵犯隐私等）、再则那得多花多少金钱才可以满足服务质量（在大家对速度如此敏感的时期，分析数据要延迟多长时间 ，电信、网通不怕众怒？）。
   至此的对策是 一、对HTTP协议使用代理软件完成。（这样的软件很多，就不介绍了）
               二、如果上面那样还不可以，那么可以推出其对其他协议可能进行到第二层的分析，至此应当保证出去的数据包其MAC地址相同（之所以说 电信、网通分析第二层协议，是因为那样实现还是比较简单的，虽然技术含量不高，但效果还是有的，而听论坛上兄弟说，网页打不开，QQ可以上 ，看来，他们也没搞这个也说不定，毕竟也得花大部分金钱进去才行）。
   以上是对这样事情的一点分析，不对和有好的想法，大家一同讨论。
  
   另外对这样的事件发生 ，大概可以知道一点，电信、网通并没有相关限速的设备和技术应用其上，如果非要说用了的话，那就是 如ADSL的本身物理特性以及电信提供的总带宽决定的，（100M 连200个用户，还需要限制吗？）。
   100M 连200个用户或更多 ，如此会有什么问题呢 ？
   那就是当网络内所有机器都打开的时候，只要是在正常的浏览网页和玩游戏等，是可以满足大家的需要的 ，但是，越来越多的家庭，电脑数量超过了两台，使用了路由，这样，每个用户都使用了本身的最大宽带，这样只要100个用户，就使得电信、网通的100M总线上将满负荷运行，如此，投诉增加（两兆的怎么这么慢呢 ？ 等等），为此，才有如上一招。
   与上可以看出，我国的ISP经营方式并不怎么对大家负责，哎，不知道是我国人民比较容易满足，还是有关监督部门睁一眼闭一只眼呢 ？ （纯属自由观点，望见谅）
   也许我们并不能做什么 ？ 但对这样的行为还是希望大家共同起来抗议。要加钱可以，必须解决从自身做起，认真认真的做好，千万不要忽悠我们广大淳朴的中国人民。大事都不体现，小事体现有何用乎？

longyufei

顶一下，是啊!现在的电信真的是……

菜鸟人飞

针对qzyuanmu提到的ISP对DNS请求进行监控，来发现是否使用路由，也就是是否多人共享上网的方法，我有一点其它的想法。

首先我们来看DNS请求的解码图，如下。


查问DNS的RFC文档，以及查看此图可知，要判定是否是不同机器发出，个人认为唯一可用的条件是标识字段，但标识字段的作用是，确认DNS的请求和应答的匹配关系，即客户端的请求中用了某个标识，服务器返回的响应也使用此标识，完成配对。
如果qzyuanmu的这种推测属实，那么ISP是在标识字端上做了文章，进行了分析？（纯属推测，无任何依据）

为了验证是否是对DNS进行了监控，我们可以在一个封杀了路由的ISP下，通过路由接入多台机器，并在这些机器上使用IP访问外面的网站，如果可以，则表示的确是在DNS上做的文章，如果仍不行，则可能和DNS没有太大关系。

另外，对于第二层的分析，也就是查看MAC地址的那种情况，目前应该说已不现实，因为使用路由共享后出去的所有数据包，其MAC地址均相同（三层设备转发数据包时将MAC更改为其出口MAC，这个大家都知道吧）。

同时，qzyuanmu还提到，ISP并没有限速的设备？
那不同的线路，带宽不一样，如512K，2M，4M是怎么设置的呢？（对此一点不了解，还望各位兄弟支招，谢谢）

qzyuanmu

对于 路由转发后 是否更改其 MAC 地址 ，还真没研究过，对此保留疑问 ？
   另外对与 512K 2M的ADSL 完全是因为加没加过滤器的区别，即 D.LITE   和 D.DMT （没写错吧？）
   至于4M ，可能使用是另外技术 如 HDSL VDSL 等。

菜鸟人飞

三层设备转发数据包时，将数据包的源MAC更改为自己出口MAC的情况，楼主可以做实验的。
也可以从OSI七层的封装与解封装中得出结论。

ADSL的对我而言，是全新的知识，受教了。

qzyuanmu

针对 路由转发的问题，我用科来抓了一下数据包 ，发现如下：
主机-----远程主机 的数据包为
   源IP：192.168.1.2                 源MAC ：00-00-00-00-02（主机MAC）
目的IP ： 202.12.1.8                 目的MAC：00-00-00-00-01 （路由MAC）
远程主机---主机 （经路由转发后）为   
  源IP： 202.12.1.8                     源MAC ：00-00-00-00-01（路由MAC）
目的IP ：192.168.1.2                 目的MAC：00-00-00-00-02 （主机MAC）
那么 路由---远程主机为 ：
  源IP：202.12.1.7（外网IP）    源MAC ：？（这个不好说）
目的IP ： 202.12.1.8                    目的MAC：00-00-00-00-03（远程主机MAC）
   远程主机--路由为
源IP：202.12.1.8                         源MAC ：00-00-00-00-03（远程主机MAC）
目的IP ： 202.12.1.8 7               目的MAC：？ （这也不好说）
   由于个别原因，没能在路由上直接采集数据包，所以有上两个问号 ，望有朋友提供具体数据包 。在次先 谢过。
   还有，为什么远程主机进 主机的时候路由改了其MAC呢 ？ 那是因为局域网只工作在下二层的原因 。
   至于路由和远程主机之间的通信，是工作在3层网络，完全不必要修改MAC，这样不仅节省路由开支，更可作为转发的依据，（不错的选择，个人观点 ）

bin0131

听一个电信的网络监控的领导说,是通过分析数据包的里每台机子发出去的包的特征不一样来判断是否有路由器的

wlqqzy

看了没什么收获啊，能有人有具体的解决方法吗？象robur一样，搞了安装程序什么的，能解决一下，我江苏的。呵呵，谢谢哪位高手能解决，发短消息给我！谢谢

菜鸟人飞

原帖由 wlqqzy 于 2007-11-12 18:46 发表
看了没什么收获啊，能有人有具体的解决方法吗？象robur一样，搞了安装程序什么的，能解决一下，我江苏的。呵呵，谢谢哪位高手能解决，发短消息给我！谢谢

这年头，像robur这样既有水平，又热心的兄弟，不多了。
所以我们大家才在这儿讨论，期待提高水平。

zenki_82

原帖由 bin0131 于 2007-11-11 13:40 发表
听一个电信的网络监控的领导说,是通过分析数据包的里每台机子发出去的包的特征不一样来判断是否有路由器的

简单点的路由识别就是用TTL值，因为操作系统的默认TTL就那么几个：32、64、128、255。用户IP到检测设备的TTL衰减值是被ISP知道的，只要查看相应的TTL是不是规范的几个就知道了。

复杂点的可以检查IP包头的ID值，一台计算机发出的IP->ID是顺序的。

wastebaby

要我说我的2M基本上没有别人1M的快。。。。了不起打个平手

qzyuanmu

呵呵，看来还是有点 实际根据的

人淡如菊

关于线路速度，是在路由器中做限速策略，并绑定帐号或MAC地址。

人淡如菊

原帖由 bin0131 于 2007-11-11 13:40 发表
听一个电信的网络监控的领导说,是通过分析数据包的里每台机子发出去的包的特征不一样来判断是否有路由器的

没有任何参考价值。

erich_213

广州电信这边可以确定是用TCP会话劫持的方法，先欺骗客户去访问121.32.136.231这台服务器，在上面执行一段代码，然后再条件跳转，也就是跟以前免费请人看广告差不多