联通最新封路由情况详解

robur · 发表于 2010-12-3 01:04:39

今天突然发现，我处的几台电脑，居然有很多网站打不开，一律都是迅速的出现“该页无法显示”。

我们都知道，TCP-TimeOut是需要时间的，如果快速（1秒钟左右）出现“该页无法显示”的提示，那么这个TCP会话肯定是被复位了。

鉴于是很多常用的网站都打不开，想都不用想，这肯定不是我自己的问题。

在另一台电脑上不用路由，直接PPPoE拨号上去，访问这些网站完全无问题，看来ISP的基础设施并未出现异常。那么，我几乎可以肯定，我最不愿意看到的事情发生了。

为了验证我的猜测，打开科来网络分析系统，随便访问了一个网站，马上返回“无法显示”。看了一下数据包，果然是客户端发送GET之后，收到了一个服务器返回的复位请求。

对付“会话劫持”这一类的，还是老办法，看TTL，看IPID。TTL可以很明显看出来，有非常大的差异，这个就不说了。
IPID，我抓了几次，发现每次都是不一样的，这应该是我目前见过的伪装的最好的劫持了。

整个数据包，根本没有任何的明显特征，如果你不去对比上下文进行分析，那么完全看不出这是一个不合法的数据包。

这样就给我们的过滤造成了诸多不便。最后考虑了一下，直接在路由器上写了个ACL，过滤掉了所有源自80端口的TCP-RST。

经测试，确实可以很好地抵御联通的可耻行径了。

robur · 发表于 2010-12-3 01:16:28

手头暂时没有设备可以对所有出网的IPID进行“序列化”，所以也没法测试到底是依据什么判断客户端的主机数量的。

我用的路由器中规中矩，绝对大厂出品——Cisco 3725。没有什么乱七八糟的防封锁功能。带了五台机器，还经常开2个虚拟机。

准备弄一台PIX防火墙，看看有什么好办法没。或者弄一台，WRT54G神马的，刷个Tomato，序列化一下IPID。

这倒是不影响我上网，我这里还有一条铁通的备份线，开网页用那个也没问题。关键是憋气是吧，就这破网，DSLAM上直接给限制到4096/640了，一年还那么多钱，我多带几台自己的机器还不行，我也不开网吧，你管个p啊。

robur · 发表于 2010-12-3 01:21:22

联通真是越来越CAO蛋了，早晚有一天得滚犊子！有多远滚多远的那种！
这条联通的线路跟北美的分支连接，原来延迟300多，后来400多，500多，600多，700多。
现在有时候到800多，眼看奔着1000大关去了。
我擦泪，你这是坑爹呢吧！

有时候我SSH登上那边改个配置，那tmd叫一个折磨啊，我一个命令按下去，等半天回显才出来。
我在本地路由器上做配置，敲键盘说不上是行云流水，不过也是噼里啪啦。登到那边去可好，两个手指头就够用了……

牛二 · 发表于 2010-12-3 09:56:26

综上所述，联通该死！同情加愤怒！

lovehuhu · 发表于 2010-12-4 12:49:38

强烈支持楼主

aigo · 发表于 2010-12-5 19:51:38

联通的网络真是糟糕肆了，还不如网通合并联通哪
在网通和联通没有合并之前，网通的网络还是蛮好的嘛，现在在用网通的网，也就是联通的网络，觉的太对不起用户了，所的是4M,平时也就2M而已！

半缘君 · 发表于 2010-12-6 00:04:38

楼主，你是没用铁通的，如果用了铁通那才叫受不了，到晚上开始p2p限速看youku 10-30k 分配的ip是内部ip 动不动弹广告真是要吐

nsexpert · 发表于 2010-12-6 09:12:11

路由器上写了个ACL，过滤掉了所有源自80端口的TCP-RST。

这个方法好，顶楼主。

robur · 发表于 2010-12-6 09:36:30

联通的网络真是糟糕肆了，还不如网通合并联通哪
在网通和联通没有合并之前，网通的网络还是蛮好的嘛，现在在用网通的网，也就是联通的网络，觉的太对不起用户了，所的是4M,平时也就2M而已！
aigo 发表于 5/12/2010 19:51

的確不如原來網通的時候。

基本什麼好東西給聯通都得被它糟蹋了。

robur · 发表于 2010-12-6 09:40:58

楼主，你是没用铁通的，如果用了铁通那才叫受不了，到晚上开始p2p限速看youku 10-30k 分配的ip是内部ip 动不动弹广告真是要吐
半缘君发表于 6/12/2010 00:04

我這裡的鐵通還可以，沒你說的那種情況。
鐵通確實有公網IP，我這裡是122開頭的。
P2P下載肯定不行的，因為鐵通到國內的電信、聯通網絡很少有正規網間結算通道過去的，都是他們自己拉的私線做NAT。
鐵通的骨幹網有時候會抽風，到香港國際出口的延遲突然由40～50變成140～150。很殘念。

我這裡鐵通到多倫多，一天大多數時間穩定在290-300ms。
鐵通骨幹網抽風的時候，一般在400多ms。

lsp1224 · 发表于 2010-12-6 14:28:53

菜鸟求助：楼主能不能详细说下设置过程！本人非常菜！

蓝轩 · 发表于 2010-12-6 14:30:12

直接在路由器上写了个ACL，过滤掉了所有源自80端口的TCP-RST。

Lz你这个是怎么做的啊，我就用2台机器也被网通给监测，实在是受不了，可以指点下我！

robur · 发表于 2010-12-6 14:49:04

回樓上兩位，這是Cisco的企業級路由才能做的設置……

普通soho級路由恐怕不帶這種功能。

建議你們買能刷第三方固件的路由，或者買tp等廠商出的專門對付封路由的路由器。

lsp1224 · 发表于 2010-12-6 14:54:38

哦谢谢楼上的解答

redhat9i · 发表于 2010-12-7 08:46:50

顶楼主，高人

liny600299 · 发表于 2010-12-9 10:57:22

还好我这没有封

13463812000 · 发表于 2010-12-15 13:42:30

直接在路由器上写了个ACL，过滤掉了所有源自80端口的TCP-RST。

方法

城市穿梭 · 发表于 2010-12-15 14:15:19

哪的联通，北京没事啊

sunnydarker · 发表于 2010-12-16 10:31:30

学习了。但是有一些好点儿的soho路由，；

xuyimin · 发表于 2010-12-17 19:25:58

真是高手啊，我听的云里雾里，LZ能不能详细给我们菜的，讲下原理啊。。

hx251 · 发表于 2010-12-20 22:20:26

7# 半缘君
电信、联通、铁通没一个好鸟

feng02012 · 发表于 2010-12-20 23:08:30

TCP-RST what ?

guangzy · 发表于 2010-12-21 20:45:05

好啊，没事看看

feiying · 发表于 2010-12-23 09:29:35

支持一下，同声讨

hailingege · 发表于 2010-12-28 23:26:49

呵呵 ACL写的不错好主意

sounix · 发表于 2010-12-30 12:16:25

魔高一尺道高一丈

ghostbj · 发表于 2010-12-30 14:49:16

海蜘蛛里面好像找不到针对tcp-rst的设置，难道没有嘛?

feifei0375 · 发表于 2010-12-30 21:35:44

robur，能和你用即时通讯工具联系吗，我的QQ是6326458，研究电信的共享检测

shuhan · 发表于 2011-1-1 19:31:35

谢谢楼主分享！！

和楼主一样愤怒！！

ewangsoft · 发表于 2011-1-4 20:14:38

用小路由的，可以考虑下ROS，这个基本还不错的软路由，基于IPTABLE。可以设置TCP-RST的ACL

联通最新封路由情况详解

评分