|
|
原帖由 vob 于 2007-4-22 11:51 发表 ![]()
对于这个不太理解
楼上的兄弟能否阐述一下,通过防火墙后仅看IP报头如何能看出内网客户端信息的?
至于这个首次访问偷换HTTP访问目标嵌入运行小程序来报告客户端的信息
未经用户同意而篡改目标访问肯定 ...
第一个问题,很多人都有分析文章,抄一篇你看。比较老的文章了,说明一下大概意思,也许其中的手段已经更新。
第二个问题,我以前的分析数据、报告删掉了,没法详解。最近电信比较乖不用此烂招,我也没法抓包给你看。大致是你发出http请求,电信截获该请求,伪装目标服务器返回定制的数据给浏览器,浏览器隐藏打开连接至电信服务器报告从浏览器获取的信息,最后电信将连接重定向至目标服务器完成正常连接。
共享上网破解方法
前一段时间,网上盛传电信在运行所谓检测系统,用来检测使用一个帐号多台机器共享上网的用户,这次真的让我给撞上了。看来电信真他*的疯了,在网上一搜,还真有好几个地方的电信这么在干,看来自己花钱买的带宽还得给电信交人头税,真无耻啊!
因自己专业原因,家里有4台电脑,结果就收到电信强制发来的页面,称什么“我公司检测到您使用了多台机器共享上网,超出您申请的宽带接入使用许可。因此暂时终止您的上网服务,请尽快致电10000与我公司联系恢复服务”。上网先搜索看有没有办法破解,果然,TP-LINK针对这个问题提供了TL-R402M V2版本路由器升级软件 http://www.tp-link.cn/download/list.asp?id=489 ,可惜我不是用的这款路由器,看来得自己动手破解了。 于是我借了一台路由器, 升级后来分析他们之间差异,这样就可以着手破解了。
大家共享上网,一般都是用路由器作NAT、NAPT方式的IP地址转换,把多个内网地址转换成一个公网IP地址。
路由器或者代理只是对IP地址作了转换,从外部来看是看不出来与普通的IP包有什么不同的,那么是如何检测到的呢,用IP协议构建的互联网,一共有5层结构,电信能获取得只能是第三层到第五层,至于网上有TX说的什么伪造MAC地址的办法肯定不行,MAC地址出了路由器就被重新封装了,电信根本拿不到。 至于应用层分析,狗的这层千差万别的应用,他们也更本没这个技术能力来确定我们机器的数量。看来只有分析IP和TCP包头了,仔细分析IP报头看看到底有那些信息可能泄漏我们内网机器得数量。看一下IP报文的结构:
0 4 8 16 31
版本 首部长 服务类型 总长度
标识 标志 片偏移量
寿命 协议 首部校验和
源端IP地址
目的端IP地址
长度可变的任选字段 填充
数据
…
版本:IP协议的版本,大家都是4。
首部长度:报头首部的长度,4字节的整倍数。
服务类型(TOS):每个机器都一样,用来表示优先级。
总长度:整个报文首部和数据的长度。
标识(identification):数据报的标识,用来标识出数据长度超过MTU分片时,进行重新组装数据的位置标识。这部分可以用来分析共享上网的特征。
标志:有MF和DF分别标志分片结束和不能分片。
片偏移: 长报文分片后,在原报文中的位置。
生存时间(TTL):数据报在网络中的寿命。
协议: 携带数据使用的协议。
首部校验和:报文首部的校验信息。
源地址:4字节源IP地址。
目的地址:4字节目的地址。
从IP报头的组成来看,只有可能携带内网信息的就是“标识(IPID)”,在每一台内网机器作地址转换时,IPID的序号是没变化的,而每台机器又是随机从一个数开始,有规律单调增加,看来根据这个ID的不连续来判断机器的数量。 抓包看看,果然:
12:19:41.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4292552168 win 64240 (DF) (ttl 127, id 40255, len 40)
12:20:23.000000 10.10.49.204.62017 > 10.199.201.37.http: . [tcp sum ok] ack 1 win 64240 (DF) (ttl 127, id 40756, len 40)
12:21:37.000000 10.10.49.204.62216 > 10.54.226.252.http: S [tcp sum ok] 1820371619:1820371619(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 127, id 57601, len 48)
12:21:40.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4293696808 win 64240 (DF) (ttl 127, id 41427, len 40)
12:22:06.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4293946004 win 64240 (DF) (ttl 127, id 41671, len 40)
12:23:10.000000 10.10.49.204.62017 > 10.199.201.37.http: . [tcp sum ok] ack 1633741 win 64240 (DF) (ttl 127, id 42293, len 40)
12:24:00.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 4294795172 win 64240 (DF) (ttl 127, id 42632, len 40)
12:24:24.000000 10.10.49.204.61993 > 10.199.201.37.http: SFRPW [bad tcp cksum 1748!] 2115643160:2115643180(20) ack 972685314 win 46144 urg 3585 (DF) (ttl 125, id 42893, len 40)
12:25:05.000000 10.10.49.204.62259 > 10.200.222.45.http: P [bad tcp cksum 6be7!] ack 1 win 19652 (DF) (ttl 127, id 1673, len 40)
12:25:53.000000 10.10.49.204.61993 > 10.199.201.37.http: . [tcp sum ok] ack 940080 win 64240 (DF) (ttl 127, id 43799, len 40)
12:25:56.000000 10.10.49.204.61993 > 10.199.201.37.http: . [bad tcp cksum 579d!] ack 1019539 win 17520 (DF) (ttl 125, id 43846, len 40)
12:25:56.000000 10.10.49.204.62017 > 10.199.201.37.http: E [bad tcp cksum 8380!] 2120652494:2120652506(12) win 11414 urg 5633 (DF) (ttl 125, id 43859, len 40)
12:26:05.000000 10.10.49.204.62259 > 10.200.222.45.http: R [tcp sum ok] 3206002624:3206002624(0) win 0 (DF) (ttl 127, id 1731, len 40)
有三个变化范围的IPID序号,彩色标记出来的IPID序列号的变化很有规律,一定范围内变化的报文就是由一台机器发出的,嘿嘿,根据这个因此可以判断有三台机器共享上网。
再看看TCP头里面有什么东西可以看看,抓包来看,居然Windows将每个TCP的包头中的可选扩展段用来打标每台机器的时间戳,想必我们每台机器的时间不会都调得如此精准,每个机器发出的时间戳的误差不会完全相同,看来利用这个时间戳也可以大致判断内网的机器数量。
好了,有了上述这些分析,你大概知道怎么破解了吧,打乱IPID的发包规律,或者顺序或者分散IPID就能使电信的检测系统失效,将机器的时间戳没掉或者用Internet时间同步。哥们编了一个小程序,只要安装到共享的全部计算机上,必须全部!,就OK了,试用了一下,几个朋友开的网吧再没受到骚扰了,哈哈。
我开发的共享上网破解软件下载地址
http://pickup.mofile.com/2102092737411390 在ShareIPCrackSetup.rar 的右方点击下载即可,安装后会在Windows的System32下生成DrvFltIpRan.sys,ShareIP.EXE和ShareIPCrack.EXE等几个程序,其中ShareIP是Windows服务程序,可以在控制面板的服务中看到,停止服务后只有重新启动服务才有效果。
对于一般用户最明显的是,你把系统时钟随便改,启动服务后时间就会自动同步为北京时间了。另外IPID效果可以通过任何抓包软件看到,启动服务后IPID会被改变,否则是连续的。
只有被共享主机全部安装才有效果。
如果对软件不放心,可以下载TPLink R402M的破解补丁,TPLink网站的补丁好像被删了,我留了一个备份,注意是TPLink R402M的V2版本,20060905发布的,升级请一定注意自己路由的版本,当然由于水星804是OEM TP402的,因此也可以用,但要小心。
http://pickup.mofile.com/9949934462813528
-=-=-=- 以下内容由 ellie21201 在 2006年09月24日 09:17pm 时添加 -=-=-=-
说时间仓促没有做IP校验,因此不支持2000和2003,如果谁能提供空间,就提供源代码一起分析,许多路由没有改时间,因此需要同步时间戳,我那个网址就是同步用(主要怕国外有时连不上,希望大家积极提供时间戳服务器),其他地方从TCP协议上没有不同,因此可以不考虑
-=-=-=- 以下内容由 ellie21201 在 2006年09月26日 10:38am 时添加 -=-=-=-
经过一段网友测试,验证在以下地区已经成功破解:
湖北省荆州市
湖北仙桃市
云南省曲靖市
其他地区请网友积极测试,如有问题及时跟贴,我们好加以改进。
最好能提供网站,我们将积极更新,免费提供
-=-=-=- 以下内容由 ellie21201 在 2006年09月26日 10:57am 时添加 -=-=-=-
经分析,有的路由器破解并没有修改有些MSN和Voip协议的时间戳,因此可能在有些地方无效。另外Windows域登陆有局域网同步时间功能,也可以参考。我们的破解补丁2003版本已经制作完毕,希望网友积极提供空间。
-=-=-=- 以下内容由 ellie21201 在 2006年09月26日 01:32pm 时添加 -=-=-=-
近来许多专门网的网友问电信可不可能采用类似移动手机上网的User-Agent头判定技术,经过我研究,回答是不可能,因为由于遨游、IE、FireFox、FoxMail的User-Agent都不一样,用户正常使用的时候,一台计算机也可以产生4-5个User-Agent头,电信不可能这么SB,等着大家投诉呀,^_^。
---------------------------
楼主可以参考下:
在注册表中可以修改时间戳问题,只要修改注册表中的下列选项就可以了!
在以下注册表项中 Tcp1323Opts 值可被添加到控制缩放窗口和 timestamp:
HKEY _ LOCAL _ MACHINESystemCurrentControlSetServicesTcpipParameters
1. 在工具栏上单击 A0 > 开始 , 单击 运行 , 然后键入 Regedit 要启动注册表编辑器。
2. 注册表编辑器中, 指向 新建 , 依次 DWORDvalue@@@ 编辑 。
3. 在 新值 框中, 键入 Tcp1323Opts , 按下 Enter , 然后在 编辑 菜单上, 单击 修改 。 注意 : 有效范围是 0,1,2 或 3 位置:
0 (禁用 RFC 1323 选项)
1 只启用 (窗口缩放)
2 仅启用时间戳 ()
3 (两个选项启用)
此注册表项控制 RFC 1323 时间戳和窗口缩放选项。 时间戳和缩放窗口默认情况下, 启用但可使用标志位操作。 位 0 控件窗口缩放, 和位 1 控件时间戳。
|
|
IP卡
狗仔卡
发表于 2007-4-20 21:16
QQ好友和群
收藏
分享
好贴
烂贴
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主