设计一种方案，让连接者不认证即无法上网？

HTTP 可以劫持，HTTPS 暂时劫持不了。

认证页面能看到，其实已经可以联网了，只是把未认证的设备重定向到认证页面上。可以在此基础上考虑劫持 HTTPS（几乎为不可能？），或者从更底层上完成认证动作。

可以考虑通过防火墙策略来控制，默认仅能连接微信服务器IP。 认证成功后开放其他IP连接。

这种完全是最基本的WLAN认证

市场上有更深入的认证，是基于协议控制+端口控制
我见过的一款，就是在端口跟协议做手脚，连上去禁止部份协议，只开放认证域名与80端口，并且把所有域名重定向+白名单

楼主可以看一下wifidog，还有CMCC

如果压根就不用WiFi呢？

用过机场的公共wifi，验证的时候系统记录了MAC

顺便吐个槽，现在很多企业路由器都有这个功能啊

Cmcc

实际上Cmcc也可以走 DNS VPN 来免费上网，就是速度太慢。

不重定向HTTPS主要是懒得区分微信的服务器地址
真想弄严格点微信的服务器的IP加个白名单行了
另外做公共WIFI 没认证之前 DNS的53端口也一定要重定向可信的DNS上

cmcc难道可以吗，它应该堵上了吧

@lshero 有正规的域名+自己的dns服务器即使是将53端口流量定向到可信dns上面也可以用 dns vpn 的。

为了防止客户端缓存错误的dns记录，cmcc 不会对dns响应进行劫持，只对http之类的流量劫持到登陆界面。网上就出现了利用dns解析来上网的vpn方法... 听说速度只有几k ...

@frankzeng

dns 隧道 上网

https://www.google.com/search?es_sm=93&q=dns+%E9%9A%A7%E9%81%93+%E4%B8%8A%E7%BD%91&oq=dns+%E9%9A%A7%E9%81%93+%E4%B8%8A%E7%BD%91&gs_l=serp.3...271237.289292.0.289545.69.45.7.0.0.9.505.7120.3-13j5j1.19.0.msedr...0...1c.1j4.62.serp..56.13.2927.JMntzxcT2cQ

@gamexg
DNS VPN是因为为了保证获取解析正确，计费认证之前没有把UDP 53端口的请求过滤，所以可以用OPENVPN 的53端口建立VPN

但是如果认证之前把端口重定向到指定可信的DNS的话，所有DNS请求都被劫持到了DNS服务器，连VPN服务器都没法到达自然没法建立隧道

至少重庆移动12年前就把我们学校的这个漏洞封堵住了,以前确实可用一段时间而且速度没有特意限制速度

看一下移动研究院13年的文章 中早就提及了这种方法所以运营商该做防范措施的早就做过防范措施，还没做防范措施的是压根就不重视这块的业务
http://labs.chinamobile.com/news/99098_p1