ISP宽带出租怎样防止用户私接路由
声明:该贴转自友情论坛 (anywlan中国无线论坛)版权归该论坛网友:twinsandme3 所有,在此表示感谢!为了方便大有阅读和理解,我们稍有编译。
--------------------------------------------------------------------------------------------------
做二级ISP宽带出租业务的BOSS(自己电信联通租条光纤宽带,再把这条宽带分租给小区里面的住户。这其中有正规的,也有非法营运的),一直被二级路由器的问题严重影响,例如原本能对外出租50个用户,结果很多人买了无线路由与隔壁分享多络分摊费用。这样下来,很多客户就流失了,多人通过路由器共享宽带,严重影响ISP的盈利,所以要坚决予以打击....
怎么样才能防止用户私接路由呢?
老是跳出来拨号连接下面针对几个网上已有的方法进行探讨,802.1X认证不在此讨论之列(主要是成本高)
1.传说中的绑定IP、MAC地址(无效)
2.传说中的修改链接数与限速(不推荐)
3.传说中的修改TTL(部分路由器有效)
4.传说中的网页认证(最搞笑可谓这个,简直是不知所谓,完全无效)
5.修改PPPOE认证方式(部分路由器有效)
6.配合PA做二级路由器检测(有效)
7.客户端修改密码(有效)
8.另类方法(有效)
1.传说中的绑定IP、MAC地址
通过计费系统绑定用户电脑的MAC地址,首次拨号的时候服务器自动把客户电脑的MAC地址与IP地址捆绑,如果客户换了电脑那MAC地址也就变化了,以此来判定用户是不是用了多人共享。很久以前电信有使用过这种方法,但是现在很多路由器都支持MAC克隆,所以这个方法基本上已经失效。
2.传说中的修改链接数与限速
这个方法主要是通过限制链接数和速度,它不会限制用户使用二级路由器,但是限制了用户速度和链接数后容易造成误伤。比如如果单个用户它开了下载,你限制链接数后就很容易造成他下载时网页也不能正常打开。
(在楼主看来,这个才是王道,这种方法比较适合很多非法营运的ISP,因为它们自身的互联网出口带宽就不够 ,所以包括有些电信运营商现在都在使用这种方法对付用户路由!从我们收到的消息来看,某些运营商只给ADSL端口每线400个左右的连接数,你要是用二台以上机器就没通道可用)
3.传说中的修改TTL
TTL 是数据包为了防止数据包在网络中无限制的循环,而设定的网络数据包在网络传输中最大的转发次数。因为每转发一次在路由器,就会转向下一跳,所以,又通常称为最大跳数。具体的含义是这样的。我们本地机器会发出一个数据包,数据包经过一定数量的路由器传送到目的主机,但是由于很多的原因,一些数据包不能正常传送到目的主机,那如果不给这些数据包一个生存时间的话,这些数据包会一直在网络上传送,导致网络开销的增大。当数据包传送到一个路由器之后,TTL就自动减1,如果减到0了还是没有传送到目的主机,那么路由就会自动把数据包抛弃。
例如:你定义了数据包的TTL为64.那么在你的数据包被转发了64次,也就是经过了63个中间路由器后,还没有到达目的网络,那么,你的电脑就会显示Requet time out (请求超时)了。这就是TTL的意思了。至于TTL有没有效果呢?答案是有的,但是并不是适用于所有路由器
上面的2张图片是TTL修改前后的效果,修改前接了一个TP R402作为二级路由器,ping ROS网关的TTL值为64,如果按照上面的理论,在ROS里面修改TTL为0的时候,理论上应该ping不通ROS的,但是实际上还是可以ping通,这个方法只适用于某部分的路由器,不过现在对于TP这类,连最低端的R402都可以自动把TTL值+1,其它的openwrt、tomato、ROS更加不用说了。所以打算通过TTL封二级路由器的朋友请无视吧,成功率实在是杯具。
4.传说中的网页认证
如果网页认证能封到二级路由器,那么还中继CMCC、Chinanet个P啊?二级路由器就本身是一个NAT功能,把内网的一堆IP映射到外网的一个IP,在一级路由器上面看到二级路由器,会把它当做为一个合法用户。用户只需要把路由器的WAN口设置为自动获取IP地址,自己电脑访问任何IP均会转跳到认证页面,输入用户名密码后就能得到正确的IP地址(现在CMCC和CHINANET会同时使用多种认证方法,所以中继了也不能共享!)
5.修改PPPOE认证方式
这个方法比较靠谱,一般PPPOE服务器都会使用PAP、CHAP、MSCHAP V1,MSCHAP V2这4种认证方法,先来科普一下
密码身份验证协议 (PAP)密码身份验证协议 (PAP) 是一种简单的身份验证协议,在该协议中,用户名和密码以明文(不加密的)形式发送到远程访问服务器。强烈建议您不要使用 PAP,因为在身份验证过程中,您的密码可以被很容易地从点对点协议 (PPP) 数据包中读取。PAP 一般只用于连接到较旧的基于 UNIX 的远程访问服务器(不支持更安全的身份验证协议)。
质询握手身份验证协议 (CHAP)“质询握手身份验证协议”(CHAP) 是一种被广泛支持的身份验证方法,在该方法的验证过程中,将发送用户密码的表示而非密码本身。通过 CHAP,远程访问服务器将质询发送给远程访问客户端。远程访问客户端使用哈希算法(也称为哈希函数)根据质询和从用户密码计算的哈希结果,计算消息摘要 5 (MD5) 的哈希结果。远程访问客户端将 MD5 哈希结果发送给远程访问服务器。远程访问服务器也可以访问用户密码的哈希结果,使用哈希算法执行相同的计算,并将结果与客户端发送的结果相比较。如果结果匹配,则认为远程访问客户端的身份凭据可信。哈希算法提供了单向加密,意味着容易计算数据块的哈希结果,但是要从哈希结果中确定原始数据块在数学上却不可行。
Microsoft 质询握手身份验证协议 (MS-CHAP)Microsoft 创建 MS-CHAP 是为了对远程 Windows 工作站进行身份验证,同时集成LAN 用户所熟悉的功能,以及用于 Windows 网络的散列算法。与 CHAP 相似,MS-CHAP 使用质询响应机制来对不发送任何密码的连接进行身份验证。
MS-CHAP 使用消息摘要 4 (MD4) 哈希算法和数据加密标准 (DES) 加密算法来生成质询和响应。MS-CHAP 还提供了用于报告连接错误和更改用户密码的机制。响应数据包的格式被设计为了可与 Windows 95、Windows 98、Windows Millennium Edition、Windows NT、Windows 2000、Windows XP 以及 Windows Server 2003 家族中的网络连接产品一起使用。
Microsoft 质询握手身份验证协议第二版 (MS-CHAP v2)Windows Server 2003 家族支持 MS-CHAP v2,它可以提供交互身份验证、生成“Microsoft 点对点加密 (MPPE)”的更强初始数据加密密钥,以及在发送和接收数据时使用不同的加密密钥。为降低更改密码时密码泄漏的风险,较旧的 MS-CHAP 密码更改方法不再受支持。
因为 MS-CHAP v2 比 MS-CHAP 更加安全,所以对于所有连接,它将优先 MS-CHAP (如果已启用) 使用。
运行 Windows XP、Windows 2000、Windows 98、Windows Millennium Edition 和 Windows NT 4.0 的计算机支持 MS-CHAP v2。对于运行 Windows 95 的计算机,MS-CHAP v2 仅支持 VPN 连接,不支持拨号连接。
一般正规路由器由于受迫于MS版权问题的淫威,只支持PAP、CHAP验证方式,所以看到纯使用MSCHAP V1/V2的验证方式时,磊科NR2805拨号失败,但有些稍微变态的路由器则支持全部认证方式,所以这个方法成功率还是不高,跟TTL不相上下
--------------------------------------------------------------------------------------------------
做二级ISP宽带出租业务的BOSS(自己电信联通租条光纤宽带,再把这条宽带分租给小区里面的住户。这其中有正规的,也有非法营运的),一直被二级路由器的问题严重影响,例如原本能对外出租50个用户,结果很多人买了无线路由与隔壁分享多络分摊费用。这样下来,很多客户就流失了,多人通过路由器共享宽带,严重影响ISP的盈利,所以要坚决予以打击....
怎么样才能防止用户私接路由呢?
老是跳出来拨号连接下面针对几个网上已有的方法进行探讨,802.1X认证不在此讨论之列(主要是成本高)
1.传说中的绑定IP、MAC地址(无效)
2.传说中的修改链接数与限速(不推荐)
3.传说中的修改TTL(部分路由器有效)
4.传说中的网页认证(最搞笑可谓这个,简直是不知所谓,完全无效)
5.修改PPPOE认证方式(部分路由器有效)
6.配合PA做二级路由器检测(有效)
7.客户端修改密码(有效)
8.另类方法(有效)
1.传说中的绑定IP、MAC地址
通过计费系统绑定用户电脑的MAC地址,首次拨号的时候服务器自动把客户电脑的MAC地址与IP地址捆绑,如果客户换了电脑那MAC地址也就变化了,以此来判定用户是不是用了多人共享。很久以前电信有使用过这种方法,但是现在很多路由器都支持MAC克隆,所以这个方法基本上已经失效。
2.传说中的修改链接数与限速
这个方法主要是通过限制链接数和速度,它不会限制用户使用二级路由器,但是限制了用户速度和链接数后容易造成误伤。比如如果单个用户它开了下载,你限制链接数后就很容易造成他下载时网页也不能正常打开。
(在楼主看来,这个才是王道,这种方法比较适合很多非法营运的ISP,因为它们自身的互联网出口带宽就不够 ,所以包括有些电信运营商现在都在使用这种方法对付用户路由!从我们收到的消息来看,某些运营商只给ADSL端口每线400个左右的连接数,你要是用二台以上机器就没通道可用)
3.传说中的修改TTL
TTL 是数据包为了防止数据包在网络中无限制的循环,而设定的网络数据包在网络传输中最大的转发次数。因为每转发一次在路由器,就会转向下一跳,所以,又通常称为最大跳数。具体的含义是这样的。我们本地机器会发出一个数据包,数据包经过一定数量的路由器传送到目的主机,但是由于很多的原因,一些数据包不能正常传送到目的主机,那如果不给这些数据包一个生存时间的话,这些数据包会一直在网络上传送,导致网络开销的增大。当数据包传送到一个路由器之后,TTL就自动减1,如果减到0了还是没有传送到目的主机,那么路由就会自动把数据包抛弃。
例如:你定义了数据包的TTL为64.那么在你的数据包被转发了64次,也就是经过了63个中间路由器后,还没有到达目的网络,那么,你的电脑就会显示Requet time out (请求超时)了。这就是TTL的意思了。至于TTL有没有效果呢?答案是有的,但是并不是适用于所有路由器
上面的2张图片是TTL修改前后的效果,修改前接了一个TP R402作为二级路由器,ping ROS网关的TTL值为64,如果按照上面的理论,在ROS里面修改TTL为0的时候,理论上应该ping不通ROS的,但是实际上还是可以ping通,这个方法只适用于某部分的路由器,不过现在对于TP这类,连最低端的R402都可以自动把TTL值+1,其它的openwrt、tomato、ROS更加不用说了。所以打算通过TTL封二级路由器的朋友请无视吧,成功率实在是杯具。
4.传说中的网页认证
如果网页认证能封到二级路由器,那么还中继CMCC、Chinanet个P啊?二级路由器就本身是一个NAT功能,把内网的一堆IP映射到外网的一个IP,在一级路由器上面看到二级路由器,会把它当做为一个合法用户。用户只需要把路由器的WAN口设置为自动获取IP地址,自己电脑访问任何IP均会转跳到认证页面,输入用户名密码后就能得到正确的IP地址(现在CMCC和CHINANET会同时使用多种认证方法,所以中继了也不能共享!)
5.修改PPPOE认证方式
这个方法比较靠谱,一般PPPOE服务器都会使用PAP、CHAP、MSCHAP V1,MSCHAP V2这4种认证方法,先来科普一下
密码身份验证协议 (PAP)密码身份验证协议 (PAP) 是一种简单的身份验证协议,在该协议中,用户名和密码以明文(不加密的)形式发送到远程访问服务器。强烈建议您不要使用 PAP,因为在身份验证过程中,您的密码可以被很容易地从点对点协议 (PPP) 数据包中读取。PAP 一般只用于连接到较旧的基于 UNIX 的远程访问服务器(不支持更安全的身份验证协议)。
质询握手身份验证协议 (CHAP)“质询握手身份验证协议”(CHAP) 是一种被广泛支持的身份验证方法,在该方法的验证过程中,将发送用户密码的表示而非密码本身。通过 CHAP,远程访问服务器将质询发送给远程访问客户端。远程访问客户端使用哈希算法(也称为哈希函数)根据质询和从用户密码计算的哈希结果,计算消息摘要 5 (MD5) 的哈希结果。远程访问客户端将 MD5 哈希结果发送给远程访问服务器。远程访问服务器也可以访问用户密码的哈希结果,使用哈希算法执行相同的计算,并将结果与客户端发送的结果相比较。如果结果匹配,则认为远程访问客户端的身份凭据可信。哈希算法提供了单向加密,意味着容易计算数据块的哈希结果,但是要从哈希结果中确定原始数据块在数学上却不可行。
Microsoft 质询握手身份验证协议 (MS-CHAP)Microsoft 创建 MS-CHAP 是为了对远程 Windows 工作站进行身份验证,同时集成LAN 用户所熟悉的功能,以及用于 Windows 网络的散列算法。与 CHAP 相似,MS-CHAP 使用质询响应机制来对不发送任何密码的连接进行身份验证。
MS-CHAP 使用消息摘要 4 (MD4) 哈希算法和数据加密标准 (DES) 加密算法来生成质询和响应。MS-CHAP 还提供了用于报告连接错误和更改用户密码的机制。响应数据包的格式被设计为了可与 Windows 95、Windows 98、Windows Millennium Edition、Windows NT、Windows 2000、Windows XP 以及 Windows Server 2003 家族中的网络连接产品一起使用。
Microsoft 质询握手身份验证协议第二版 (MS-CHAP v2)Windows Server 2003 家族支持 MS-CHAP v2,它可以提供交互身份验证、生成“Microsoft 点对点加密 (MPPE)”的更强初始数据加密密钥,以及在发送和接收数据时使用不同的加密密钥。为降低更改密码时密码泄漏的风险,较旧的 MS-CHAP 密码更改方法不再受支持。
因为 MS-CHAP v2 比 MS-CHAP 更加安全,所以对于所有连接,它将优先 MS-CHAP (如果已启用) 使用。
运行 Windows XP、Windows 2000、Windows 98、Windows Millennium Edition 和 Windows NT 4.0 的计算机支持 MS-CHAP v2。对于运行 Windows 95 的计算机,MS-CHAP v2 仅支持 VPN 连接,不支持拨号连接。
一般正规路由器由于受迫于MS版权问题的淫威,只支持PAP、CHAP验证方式,所以看到纯使用MSCHAP V1/V2的验证方式时,磊科NR2805拨号失败,但有些稍微变态的路由器则支持全部认证方式,所以这个方法成功率还是不高,跟TTL不相上下
6.配合PA做二级路由器检测
这个就不说了,也就是点点鼠标就能完成,成功率还是相当高的
7.终结者--专用客户端软件拨号
基本上各大高校都是使用的这种方法,通过专用拨号认证软件来上网,完全杜绝路由器多人共享。
配合软件琮可以弹出广告业务
而用户通过使用客户端进行拨号后,就能正常上网
这个就不说了,也就是点点鼠标就能完成,成功率还是相当高的
7.终结者--专用客户端软件拨号
基本上各大高校都是使用的这种方法,通过专用拨号认证软件来上网,完全杜绝路由器多人共享。
配合软件琮可以弹出广告业务
而用户通过使用客户端进行拨号后,就能正常上网
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论