1
oovveeaarr 2018-09-22 20:49:33 +08:00 7
深信服侵入式检测,Android 和 iOS 不要一起连
如果不给连手机的话,手机也不要连,手机和电脑通过 UA 检测 电脑和电脑检测通过 HTTP 劫持检测,屏蔽 TTL 为 127、189 的包就好,把防火墙加入路由器 iptables -I FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "5&0xFF=0x7F" -j DROP iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x7F" -j DROP iptables -I FORWARD -p tcp -m tcp --sport 8080 -m u32 --u32 "5&0xFF=0x7F" -j DROP iptables -I FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "5&0xFF=0x80" -j DROP iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x80" -j DROP iptables -I FORWARD -p tcp -m tcp --sport 8080 -m u32 --u32 "5&0xFF=0x80" -j DROP logger -t " [防火墙规则] " "防深信服劫持完成" |
2
iwtbauh 2018-09-22 20:50:36 +08:00 via Android
最简单的方法,路由器上开个代理服务器,关闭 nat,然后都连代理服务器用
|
3
oovveeaarr 2018-09-22 20:51:01 +08:00
@oovveeaarr #1 噢对了,如果是 padavan 的话,选择始终不要减小 TTL
|
4
TKzero 2018-09-22 20:53:17 +08:00 via Android
那通过掌上大学客户端的是什么认证?可以破解吗
|
5
Benson1212 OP @TKzero 也是电信的认证,只不过是不同的而已,我也不清楚为什么会有那么多种认证
|
6
Benson1212 OP @oovveeaarr 道理上,路由器上任意一部设备通过网页认证,路由器下的任何一部设备都可以用网了。。。这防火墙的规则直接添加进去就可以了吗
|
7
Benson1212 OP @iwtbauh 普通路由器怎么开代理,还是说要网件华硕刷梅林才可以开
|
8
iwtbauh 2018-09-22 21:12:14 +08:00 via Android 1
@Benson1212 普通路由器肯定没法开,需要能刷 openwrt 等的
|
9
illl 2018-09-22 21:21:11 +08:00 via iPhone
我学校的是 dr.com ( x 版)也开了防私接检测。初步测试 Apple 设备流量全部走代理是不会被检测出来,安卓设备没条件检测。防私接的检测也存在误报(据其他人反映)。
|
10
celeron533 2018-09-22 21:38:42 +08:00
以前听说路由器下再级联路由器能躲过。毕竟做了两次 NAT。
|
11
illl 2018-09-22 21:48:29 +08:00
@celeron533 我试过了,不可以绕过,依旧被检测出来了,怀疑已经对流量进行了分析。
|
12
ypx5 2018-09-22 21:50:57 +08:00
@oovveeaarr 我们学校用的也是深信服防共享,网上查了一下好像说的很牛逼啊,难道就是通过简单的 ttl 来检测路由器共享的???这个防火墙规则实测有效吗?
|
13
oovveeaarr 2018-09-22 23:06:26 +08:00
|
14
Benson1212 OP @oovveeaarr 麻烦啊。。。感觉不会。。
|
15
moposx 2018-09-22 23:18:37 +08:00 via Android
我们是 h3c inode,portal 认证是深澜软件...
依我看我们学校根本不检测... |
16
eag73 2018-09-23 00:55:04 +08:00
@Benson1212 刚好最近遇到相关问题,请教一下大神,路由器桥接无密码的公共 WIFI 之后,能通过设备验证上网,但信号源的信道经常变动导致断网,这个怎么破?路由刷的是 Padavan。
|
17
ksa909409531 2018-09-23 01:33:22 +08:00
原来是广科的师弟
宽带的账号可以在 N 台机上登陆,不会挤下线 |
18
yingfengi 2018-09-23 01:46:05 +08:00 via Android
@ypx5 @oovveeaarr 没那么简单,有流量特征检测的。
|
19
Mijjj 2018-09-23 02:35:12 +08:00 via iPhone
我们学校是锐捷,曾经试过安卓和 iOS 同连上路由器一个小时后发现被拉黑名单,现在一直多台 iOS 加 pc 以及几个智能电器,一年多了没啥问题,坐标暨大。
|
20
ech0x 2018-09-23 08:00:44 +08:00 via iPhone
@Mijjj 没有改动配置吗?
我以前试过,把最后从 Wi-Fi 走的流量全部打到 ss-redis 上,然后再打到 shadowsocks 上,还是会有问题。 |
21
ech0x 2018-09-23 08:04:00 +08:00 via iPhone
|
23
shm7 2018-09-23 08:24:57 +08:00 via iPhone
哎,双十一联通 200M 只要 288,为啥一定要用天翼。各位还在上学要被学校坑啊,多花点时间看看书,以后一个月工资多出来的,就抵上四年网费了
|
24
EthanZhuXE2V 2018-09-23 08:32:26 +08:00 via Android
以前用的淘宝买的破解路由器,水星的辣鸡路由器刷的,卖两百多块😕
|
25
Benson1212 OP @eag73 这个我也不清楚。。。如果所桥接的 wifi 频繁变换信道导致频繁掉线,那这个 wifi 下的客户端也会频繁掉线吧。。。
|
26
Benson1212 OP @ksa909409531 啊哈哈是,只不过学校还会对路由器检测,检测到一次,封网 4 个小时
|
27
Benson1212 OP @shm7 学校只能用电信的校园宽带啊。。。
|
30
chongdianbao 2018-09-23 10:35:20 +08:00 via Android
像我学校是后来有人工信部投诉解决的,都不需要涉及技术问题
|
31
Kagari 2018-09-23 10:50:21 +08:00 via Android
@oovveeaarr 不怕用户体验的话直接把所有 UA 都改成一样的,会导致部分 app 出错
|
32
shm7 2018-09-23 11:05:59 +08:00 via iPhone
@Benson1212 抱歉 选择性的无视我吧。
|
33
oovveeaarr 2018-09-23 11:45:30 +08:00
@yingfengi #18 流量特征检测这个感觉是玄学
|
34
yingfengi 2018-09-23 14:04:08 +08:00 via Android
@oovveeaarr 我上架了挺多台 AC,还算了解,确实检测的到。不然怎么能叫上网行为管理
|
35
bankroft 2018-09-23 15:01:04 +08:00 via Android
有的是多设备同时存在流量就封,初步判定是根据 mac
|
36
oovveeaarr 2018-09-23 15:07:51 +08:00
@yingfengi #34 开了的话,我觉得就是基于 DPI 方面,但是 DPI 方面误报非常高呀。最常用的基于 TCP 包时序检测,还有 timestamp,直接通过楼上各位说的通过路由器代理服务器就可以解决。简单地说就是把 FORWARD 动作全部取消,这类 DPI 就基本完全失效了。
其实这些设备说是行为管理,实际上更倾向于行为检测+人工行政手段干预一些,格则越严格误报率越高,学校一般这么搞是会被投诉的,所以我觉得大部分策略都没开这么严格。 |
37
yingfengi 2018-09-23 16:10:46 +08:00 via Android
@oovveeaarr 检测手机端 APP 的流量,同时检测到手机端 APP 和 PC 端 APP 就认为是共享了。
同时私接路由,代理也能检测。 但是这种一般是企业场景才用的,学校啥的这种,按理说不会去用这个,用的话应该也局限于微机教室这种地方。 现在学生宿舍的网络不应该直接丢给运营商去搞吗 |
38
sky92682 2018-09-23 16:38:17 +08:00
全局飞机不行吗?
|
39
Cu635 2018-09-23 16:42:17 +08:00
换一个不检测路由的学校。
|
41
Benson1212 OP @Cu635 我去。。。
|
42
ksa909409531 2018-09-23 17:18:38 +08:00
@Benson1212 封网了直接换一个 IP 就好了,再过两个月学校就不检测路由器了
我在学校的时候,把路由器的 dhcp 关了,把网线插到 lan 口上当无线交换机用 |
43
eag73 2018-09-23 19:21:56 +08:00 via iPhone
@Benson1212 它好像是有几个信号,经常是两到三个。手机直连它的 WiFi 没有问题。感谢~
|
44
goofool 2018-09-23 19:45:25 +08:00 via Android
路由器上起一个透明代理是不是可以解决?
|
45
guoyijun163 2018-09-23 19:51:08 +08:00
我以前是家里放一个 openwrt 路由器……当 pptp server,宿舍里放一个 openwrt 路由器当 pptp client,PPTP 没有建立成功时候不允许下级设备访问网络,完美。
(那时候家里上行 8M,学校下行 10M,同城) |
47
yingfengi 2018-09-24 17:13:13 +08:00 via Android
@ech0x 这是被代理商忽悠了,什么集中管控,行为管理,上网审计 balabala。你干啥了都知道
|
48
wonathan 2018-09-26 09:16:16 +08:00
openwrt 我记得应该有插件就可以完美使用了
|
49
Benson1212 OP @wonathan 什么插件…
|
50
Benson1212 OP 顶帖
|
51
tingfen 2018-10-07 07:29:51 +08:00 via iPhone
所以最后解决了么
|
52
ryahcs 2018-10-08 22:43:10 +08:00
@oovveeaarr 感谢,我这儿( openwrt )使用了这个规则之后安卓和 iOS 可以一起连了,但过一会还是会断网。
用 ttl+1 似乎也不管用。 |
53
oovveeaarr 2018-10-08 22:48:15 +08:00
@ryahcs #52 android 和 ios 是通过 ua 检测的,除了全局挂代理以外暂时无解哦
|
54
Benson1212 OP @tingfen 没有解决
|
56
bbmike253455 2022-04-15 22:56:45 +08:00
@wnxkiwi 还需要吗? 我用了挺长时间了 挺稳的 但是最近不知道为啥被封了几次 可能开了虚拟机的原因
|